농협 악성코드 샘플 분석해보니…

사상초유의 농협사태가 '북한소행'이라는 검찰 수사결과가 발표 된지 한 달이 가까워오고 있다. 그러나 여전히 업계 일각에서는 기술적 문제점을 근거로 검찰 발표결과가 석연치 않다는 의견이 존재하고 있다. 이러한 가운데 악성코드 전문가들이 농협사태에 대한 새로운 분석을 내놨다.

지난 12일 한국인터넷진흥원(KISA)은 주요 백신업체에 농협 악성코드 샘플을 배포했다. 백신업체들은 이에 대해 공식적으로 정기적인 업데이트를 위한 것일 뿐 분석을 위해 전달받은 것은 아니라고 해명했다.

하지만 이를 분석한 악성코드 전문가들 중 일부는 당국이 국가안보를 이유로 많은 정보를 공개하지 않고 있어 분석에 한계점이 있지만 악성코드적 측면에서만 보면 북한소행이나 외부해킹 가능성이 아예 없는 것은 아니다고 설명했다. 그러나 이들은 총체적인 분석이 어려운 상황이기 때문에 단지 악성코드적 관점에서만 가능성이 있는 것으로 보이는 것이라고 덧붙였다.

■IBM직원 노트북에선 무슨 일이?

이달 초 검찰은 IBM직원 노트북에서 발견된 악성코드가 7.7 및 3.4 분산서비스거부(DDoS) 공격에 이용된 악성코드와 유사한 형태를 보이고 있다고 밝혔다. 이를 근거로 농협사태의 배후로 북한을 지목했다. 지난 두 차례의 DDoS공격 당시에도 검찰은 악성코드와 IP 등이 동일하다는 이유로 북한을 배후로 꼽았다.

이에 대해 익명을 요구한 관련업계 한 관계자는 31일 실제 IBM직원의 노트북에서 수집한 일부 악성코드 샘플을 보면 사용자 시스템정보를 전송하는 기능을 가지고 있다고 밝혔다. 그는 키보드 입력값을 탈취하는 키로깅, 화면캡쳐, 녹음기능 등을 가진 악성코드가 심겨져 있었다고 전했다. 이를 통해 정보를 수집했을 수 있다는 것이다. 하지만 200대가 넘는 서버를 삭제할 수 있을 만큼 상세정보를 알 수 있는가에 대해서는 전문가들도 악성코드 이외 다른 정보가 없어 판별할 수 없는 문제라고 덧붙였다.

또한 그는 PC에 백신 프로그램이 설치됐다 하더라도 사용자가 감염사실을 알지 못하는 상태에서 해당업체에 샘플까지 보내지 않았다면, 백신이 악성코드를 진단할 수 없을 것이라고 설명했다.

실제 해외에서는 수년간 기업에 숨겨진 악성코드가 발견되지 않은 경우도 보고된 바 있어 전문가들은 전혀 불가능한 일은 아니라고 분석했다.

■노트북 내 악성코드…DDoS때와 유사?

실제 IBM직원 노트북에서 앞선 두차례 DDoS와 유사한 형태의 악성코드가 존재했던 것으로 확인됐다.

이 관계자는 악성코드 제작자들이 자신만의 방식으로 악성코드를 제작하기 때문에 샘플을 보면 실제 DDoS때와 유사한 통신이나 암호화 방법을 사용하고 있는 것은 사실이라고 밝혔다. 악성코드 샘플만 보면 DDoS 유발 악성코드와 동일 제작자일 가능성도 있다는 것이다.

하지만 그는 공격자 사이에 소스공유가 가끔 이뤄지기도 하기 때문에 배후를 북한이라고 단정지을만한 근거는 아니다고 덧붙였다.

그렇다면 이제 가장 의문으로 남는 것은 악성코드가 감염된 노트북이다. 금융권 대부분은 내외부망이 분리뿐 아니라 보안관리 또한 철저히 이뤄져야 하는 것이 일반적이다. 하지만 내외부망 분리가 이뤄졌더라도 노트북 내부반입, 이동식저장장치(USB)등의 오염원을 통한 악성코드 감염 가능성도 존재한다.

보안전문가들은 악성코드에 감염된 노트북이 내부에 존재하기만해도 피해가 발생할 소지가 크다고 지적했다. 내부망에서는 정보를 수집하고 인터넷 접속시엔 정보를 전송할 수 있기 때문에 이런 점을 충분히 악용할 수 있는 것이다.

또 다른 악성코드 전문가는 사실상 농협의 경우, IBM직원 노트북이 실제 무선인터넷에 연결되어 있었기 때문에 농협 내부 보안장비를 모두 우회할 수 있어 외부침입이 사실상 아예 불가능한 일은 아니다고 설명했다. 때문에 주요기관은 무선인터넷 차단시설을 만들어 보안을 강화할 필요가 있다고 덧붙였다.