25일 청와대 등 정부기관, 정당, 언론사 공격에 사용된 악성파일은 웹사이트 2곳에 유포됐다는 분석이 나왔다.
이날 잉카인터넷 대응팀은 공격에 사용된 악성파일(Trojan/W32.KRDDoS)이 국내 특정 파일공유(웹하드) 사이트 2곳의 설치프로그램을 변조하는 수법을 사용한 것으로 확인됐다고 밝혔다. 기존에는 '*디스크'라는 웹하드 사이트를 통해 유포된 것으로 나타났으나 추가로 1곳의 웹하드가 악성파일 유포 경로로 활용된 것이다.
분석에 따르면 웹하드 설치프로그램으로 위장해 숨겨져 있는 악성파일이 실행되면 국내 특정 고시원 및 자취생 커뮤니티 사이트에 숨겨져 있는 c.jpg 또는 d.jpg 파일이 다운로드돼 설치된다. 이 파일은 그림파일처럼 위장하고 있지만, 실제로는 실행 가능한 EXE 악성파일이다. 이와 함께 해당 사이트에는 또 다른 악성파일이 숨겨져 있는 것으로 확인됐다. 악성파일 분석가들이 쉽게 분석을 하지 못하도록 고의적으로 코드를 조작했다는 설명이다.
이중 c.jpg 파일은 임시폴더(Temp)에 웹하드 파일처럼 위장해 생성되고 실행된다. 그 이후 감염 시스템에 실행돼 있는 프로세스 파일 중에 하나의 파일명을 임의로 선정해 악성파일의 복사본을 생성해 작동된다. 때문에 파일명만 봐서는 정상파일로 오인할 수 있다.
문종현 잉카인터넷 대응팀장은 악성파일 중 일부는 2013년 06월 25일 이른 새벽시간 대에 제작됐고, 다양한 변종이 발견됐다며 다량의 네트워크 패킷 쿼리를 정부전산정보관리소(*.gcc.go.kr)의 DNS 서버로 전송해 정부기관의 웹사이트 접속을 고의적으로 방해하도록 제작됐다고 밝혔다.
관련기사
- 어나니머스, 北고위간부 13명 신원공개 주장2013.06.25
- 정부 "해킹 총 16개 기관...유출정보 파악중"2013.06.25
- 국정원 홈페이지도 해킹 추정2013.06.25
- 청와대 해킹 주체, 어나니머스냐 북한이냐2013.06.25
청와대 홈페이지에는 Hacked by Anonymous. 통일대통령 김정은장군님 만세!라는 정치적 문구와 특정기관의 개인신상 정보가 링크돼 있어 마치 어나니머스 소행인 것처럼 보이나 실제 공격수법은 지난 2009년 7.7 분산서비스거부(DDoS), 2011년 3.3 DDoS 공격 때와 마찬가지로 웹하드 설치프로그램을 변조해 이용자들이 악성파일에 동시 노출되도록 유도했다. 이에 다라 이 공격은 어나니머스를 사칭한 북한 소행일 가능성이 높다고 문 팀장은 설명했다.
잉카인터넷 대응팀은 이날 발견된 악성파일들을 엔프로텍트 안티-바이러스 제품에 긴급 업데이트 하고, 관련 정보를 잉카인터넷 대응팀 공식 블로그(http://erteam.nprotect.com)에 상세하게 업데이트 중이다.
