시만텍 "소니픽쳐스 해킹에 3.20과 동일 서버 발견"

시만텍은 지난달 말 발생한 소니픽쳐스 시스템 해킹 사건에서 작년 국내에서 발생한 3.20 사이버테러와 동일한 공격용 서버(C&C서버)를 발견했다고 밝혔다. 동일 해커그룹의 소행으로 확신하기는 어렵지만 유사성이 높다는 분석이다.

시만텍은 자사 보안블로그를 통해 소니픽쳐스에 사용된 악성코드인 '백도어.데스토버(Backdooe.Destover)'의 일부 샘플에서 과거 우리나라를 공격하기 위해 악용됐던 것과 같은 C&C서버를 공유하고 있다고 8일 밝혔다.

3.20 사이버테러 등에 악용된 C&C서버는 시만텍이 '트로이목마 볼그머(Trojan.Volgmer)'라고 명명한 악성코드와 같은 C&C서버를 악용했다. 이에 따라 두 공격의 배후에 동일한 조직이 있는 것으로 볼 수 있다고 시만텍은 분석했다.

더구나 3.20 당시 시만텍이 '조크라(Jokra)'라고 명명한 악성코드에 사용된 해킹 수법이나 일부 기술이 소니픽쳐스 해킹에 사용된 것과 유사하다는 분석도 제기됐다.

조크라의 경우 국내 주요 은행, 방송사 내부 시스템을 마비시킨 뒤 여기에 사용되는 PC의 마스터부트레코드(MBR) 영역을 조작해 하드 디스크 드라이브(HDD)에 저장된 내역을 모조리 삭제해 버리는 공격을 초래했다.

데스토버 역시 조크라와 마찬가지 공격수법을 썼다. 시만텍은 특히 데스토버에 사용된 공격요소(컴포넌트) 명칭이 동일하다는 점에서 두 공격 간 연관성을 의심하고 있다.

그러나 이러한 공격이 반드시 동일범 소행으로 볼 수 있는 확실한 증거는 공개되지 않고 있다. 때문에 시만텍은 일종의 모방공격이었을 가능성도 배제하지 않고 있다.

미국 연방수사국(FBI)이 발표한 데스토버 보고서에 따르면 공격에 악용된 악성파일은 diskpartmg16.exe, net_ver.dat, igfxtrayex.exe, iissvr.exe 등이 있다.

diskpartmg16.exe는 감염된 PC에 생성되는 첫번째 파일로 실행 시 net_ver.dat과 igfxrayex.exe 파일을 생성한다. diskpartmg16.exe 파일을 실행하면 IP 범위 내에 있는 다수의 특정 IP 주소로 연결될 뿐만 아니라 'USSDIX[기계명]' 형태의 PC명으로 연결된다. 이를 근거로 데스토버는 무차별적인 공격을 위한 것이라기보다는 특정 목표를 공격대상으로 삼고 있다는 점을 확인할 수 있다.

igfxtrayex.exe는 데스토버의 파괴적인 페이로드를 실행한다. 악성코드 실행 시 고정 드라이브 및 원격 드라이브 내 모든 파일 삭제, 파티션 테이블 변경, 추가 모듈(iissvr.exe) 설치, 8080 및 8000 포트 상의 특정 IP 주소로 접속해 피해를 입히는 것으로 분석됐다.