19일부터 시작한 을지연습이 이틀째를 맞은 시점에서 지난 6.25 사이버 테러때 사용됐던 분산서비스거부(DDoS) 공격용 악성코드가 유포되는 정황이 포착돼 조기 차단됐다.
하우리(대표 김희천)은 모니터링 결과 20일 오전 9시 23분께 6개의 토르 C&C서버 중 1대가 오픈됐으며, 이를 통해 오전 11시 13분에 체코에 위치한 서버로부터 DDoS 악성코드를 다운로드한 정황을 발견했다고 밝혔다.
악성코드는 특정 목표에 대한 DDoS 공격, 키보드 입력 내용을 훔쳐보는 키로깅, 화면캡처, 추가 악성코드 다운로드 및 실행 등의 기능을 수행하는 것으로 나타났다. 하우리 관계자는 이 악성코드는 기존에 국방 관련 섹터에서 발견됐던 악성코드의 변종으로 확인됐다고 말했다.
관련기사
- 미래부, 을지연습 실제훈련…통신재난 대비2013.08.20
- 을지훈련D-7, 6.25 사이버테러조직 활동 재개2013.08.20
- 6.25 사이버 공격, 北 소행 추정 근거는?2013.08.20
- 정부 “6.25 사이버공격, 북한 수법과 일치”2013.08.20
하우리 선행연구팀 최상명 팀장은 현재 해당 악성코드를 가장 빠르게 탐지해 정부당국과 정보를 공유했다며 악성코드 유포에 대한 조기 발견은 지난 7일부터 토르 C&C 서버에 대한 지속적인 모니터링의 결과라고 밝혔다.
이 회사는 앞으로도 조기 탐지, 모니터링 체계를 구축해 사전대응에 힘쓴다는 계획이다.
