시만텍 "6.25 사이버 테러 배후 다크서울"

시만텍이 6.25 사이버 테러를 포함해 국내에서 지난 4년간 국내에서 발생한 공격의 배후로 '다크서울'을 지목했다.

26일(현지시간) 시만텍에 따르면 6.25 사이버 공격과 관련해 다수의 공격이 이뤄졌다. 우리나라 정부 웹사이트를 겨냥한 분산서비스거부(DDoS) 공격 가운데 하나가 다크서울(DarkSeoul) 공격집단 및 카스토브 트로이목마(Trojan.Castov)와 관련 있다는 것이다.

해외 보안회사들은 지난 3.20 사이버 테러 때도 다크서울에 대해 언급한 바 있다. 이는 유독 한국을 대상으로 비슷한 유형의 악성코드를 이용한 공격이 지속되면서 동일 집단의 소행이라고 보고 이들을 지칭하는 말을 만든 것이 다크서울이다. 아직 이 공격조직의 실체는 밝혀지지 않고 있으나 북한 혹은 북한과 관련됐을 가능성이 높은 것으로 추정된다.

시만텍은 다크서울이 지난 4년간 국내에서 발생한 주요 공격을 주도해왔다고 설명했다. 지난 3월 국내 주요 은행과 방송사의 컴퓨터 하드 드라이브를 삭제하며 엄청난 피해를 입힌 '조크라(Jokra)'라는 이름의 3.20 사이버 테러, 5월에 발생한 국내 금융기관 대상의 사이버 공격도 다크서울과 관련있다는 것이다.다크서울의 사이버 공격은 역사적으로 중요한 날짜에 DDoS 공격을 감행하고 하드 디스크를 삭제하는 유사한 공격 방식을 취했다. 이전에도 이 조직은 미국 독립기념일에 DDoS 공격과 데이터 삭제 공격을 감행하기도 했다.

시만텍이 분석한 다크서울 공격의 특징은 ▲국내 주요 기관 및 시설을 겨냥한 조직적인 다단계 공격 ▲하드 디스크 데이터 삭제 ▲역사적으로 중요한 날짜에 실행되도록 설정된 DDoS 공격과 같은 파괴적인 페이로드 ▲정치적 성향의 문구로 디스크 섹터 덮어쓰기 ▲조직내 네트워크를 통한 확산을 위해 합법적인 제3자의 소프트웨어 업데이트 매커니즘 이용 ▲특정 암호화 및 난독화 방식 이용 ▲유사한 명령제어(Command & Control) 구조 이용 등이다.

다크서울이 실행한 공격들은 고도의 인텔리전스와 조직적인 협력을 필요로 한다. 일부 공격들은 기술적 정교함을 보여주고 있다고 시만텍은 분석했다. 현재 이 조직을 특정하기는 어렵지만 국내 보안전문가들은 배후에 북한이 있다고 지목하고 있다.