고객센터

[여성종합뉴스] 지난 25일 청와대 홈페이지를 해킹하고 16개 정부 및 언론사 사이트에 디도스(DDoS) 공격을 감행한 해커그룹이 최소한 해당 악성코드를 최소한 열흘 이전부터 은밀히 유포시킨 정황이 포착됐다.

30일 국내 보안 전문가들이 6.25 악성코드를 분석한 결과, 당일 디도스 공격을 위해 총 10개의 C&C(공격명령중개)서버와 총 21개 버전의 악성코드들을 순차적으로 유포한 것으로 확인됐다.

이들 악성코드 가운데 가장 마지막 버전인 21번째 버전은 24일 자정에 배포됐다.
이를 통해 공격자는 25일부터 최종 디도스 공격을 감행해 131대의 서버 다운을 비롯해 총 16개 이상 국가기관 및 언론사에 피해를 입혔다.

최상명 하우리 선행연구팀장은 "이들 버전을 역추적한 결과 지금까지 확인된 버전 중 유포시점이 가장 빠른 것은 9번째 버전으로, 지난 16일 유포됐던 것으로 분석했다"고 밝혔다.

그 이전 제작됐을 것으로 추정되는 1~8번째 버전은 확인되지 않았다. 이를 감안하면 해커그룹이 적어도 16일 이전부터 25일 디도스 공격을 위한 악성코드 유포와 업데이트를 착실히 진행해왔다는 분석이다.

특히 이 악성코드는 방화벽과 네트워크탐지시스템 등 기업의 보안시스템을 우회하기 위해 C&C서버와 좀비PC간 교신하는 트래픽을 암호화하는 '익명 네트워크(TOR)'까지 이용하는 치밀함까지 보여 25일 디도스 공격 이전 대다수 피해기업 및 보안업계가 사이버 테러 징후에 대한 낌새조차 차릴 수 없었던 이유다.

이들 6.25 해커그룹의 치밀함은 새누리당 당원명단을 비롯해 정보유출 공격에서도 드러나고 있다.

해커그룹은 사전에 탈취한 청와대 홈페이지 회원정보 10만명과 새누리당 당원명부 10만명, 군 장병 2만명 등의 신상정보를 25일 청와대 홈페이지 공격과 함께 공개했다. 이들이 공개한 신상정보는 상당수 실제 정보였던 것으로 속속 밝혀지고 있다.

보안 전문가들은 "해커가 정당, 청와대, 주한미군, 군장병 등의 신상정보를 빼내기 위해서는 상당한 시일이 걸렸을 것"이라며 "특히 같은 날 디도스 공격과 신상정보 공개, 홈페이지 변조 등 동시 복합 공격을 감행할 수 있었던 것도 사전에 치밀한 준비가 없었다면 불가능한 일"이라고 지적했다.

한편, 사이버위기 정부합동대응팀은 25일 이후에도 국가기관을 비롯해 총 4곳이 디도스 공격 등의 추가 피해를 입었다고 밝혔다. 이로써 공식적으로 6.25 사이버테러 이후 피해가 확인된 기관수는 20개 기관 이상으로 확대됐으며, 지난 28일까지도 변종 악성코드가 추가 유포된 흔적이 발견돼 앞으로도 피해기관 수는 더욱 늘어날 전망이다.