[아이뉴스24 김국배 기자] 지난해 국내 해양산업 분야를 대상으로 사이버 공격이 잇따라 발생한 것으로 나타났다.
7일 안랩에 따르면 지난해 3월부터 9월까지 다섯 차례에 걸쳐 해양 업체 관련 문서 등으로 위장한 악성 파일이 공격이 확인됐다.
'퇴사 인수인계 자료', '2018년 해양경찰청 공무원', '중형방탄정 업무연락망' 등 제목이 붙은 문서 내용으로 미뤄볼 때 해양 분야 정부기구 등을 노린 것으로 추정된다.
특히 안랩은 이번 공격의 배후로 국내 군사 기업과 방위산업체를 오랫 동안 공격해온 해킹 조직을 의심하고 있다. 공격에 사용된 악성코드가 유사하기 때문이다.
이번 공격에서 사용된 악성코드를 생성하는 '드롭퍼(Dropper)'는 공격자가 새롭게 제작한 것으로 추정되나, 추가 악성코드를 다운로드하는 다운로더와 원격명령을 수행하는 백도어의 경우 2014년 당시 공격과 연관성이 있다는 게 확인됐다.
또한 '비소날'류로 분류되는 악성코드 변형(Bisoaks)이 2014년과 지난해 동일하게 공격에 쓰였다.
차민석 안랩 시큐리티대응센터 분석연구팀 수석연구원은 "일부 변형의 다운로드 주소는 국내와 연관돼 있으며, 악성코드 파일에는 안랩으로 위장한 허위 인증서가 포함돼 있다"며 "한국이 주요 공격 대상임을 추론할 수 있는 대목"이라고 말했다.
해당 백도어의 변형은 총 29개로 2014년 9월부터 관련 변형이 존재하며 국내 정부기관이 주요 공격 대상이었다. 공격자가 최소 4년 전부터 한국에서 활동하고 있는 것이라는 추정이 나오는 배경이다.
안랩은 2011년부터 비소날 류의 악성코드를 사용해 국내 주요 기관을 공격하는 해킹 공격을 추적해왔다. '오퍼레이션 비터 비스킷'이라 이름붙인 공격이다. 2017년 가을 이후 잠잠하더니 이번 공격에서 보듯 지난해 봄부터 다시 활동을 시작하며 공격 대상을 해양 분야까지 넓혔다는 게 안랩 측 분석이다.
다만 오퍼레이션 비터 비스킷 공격을 하나의 조직에서 수행하고 있는 지는 확인되지 않았다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기