정보보안업체 시만텍 “10~50명으로 구성”…국적은 규명 못해

청와대 등 정부기관 홈페이지에 대한 지난 25일 공격도, 지난 3월의 3.20 사이버테러도, 그리고 2009년의 7.7 디도스 사건도….

최근 4년여 동안 우리나라를 혼란에 빠뜨렸던 8건 이상의 사이버 테러가 동일한 공격자 집단의 소행이라는 주장이 나왔다.

미국 정보보안업체 시만텍은 26일(현지시간) 발표한 보고서를 통해 한국에서 발생한 주요 사이버 공격의 수법이나 프로그램 암호화 기법 등에서 동일 집단의 소행으로 결론지을 수 있는 일정한 특성을 찾아냈다고 발표했다.

시만텍은 이 공격자 집단에 ‘다크서울’(DarkSeoul)이라는 이름을 붙였다.

3.20 사이버테러는 국내 주요 방송사와 일부 금융사의 전산망을 한꺼번에 마비시키며 혼란을 초래했고, 7.7 디도스 사건은 한국뿐 아니라 미국 주요 정부기관 웹사이트까지 동시에 공격했다는 점에서 충격을 줬다.

이밖에도 2011년 3월의 디도스 공격을 포함해 2010년에 1건, 2012년에 2건, 그리고 지난 5월에 발생한 1건의 사어버 테러가 이 집단에 의해 저질러진 것으로 추정된다고 시만텍은 분석했다.

보고서에서 거론된 공통적인 공격 수법으로는 역사적으로 의미 있는 날에 동시다발적으로 벌어지는 자료 삭제와 디도스 공격, 검증된 프로그램 갱신 기관의 침투, 정치적으로 해석될 수 있는 문자들로 기존 자료를 덮어써 못쓰게 만드는 것 등이 있다.

공격용 악성코드에 사용된 암호화 기법이나, 보안 체계를 혼란시키는 기법에서도 공통된 특성을 도출할 수 있었다고 시만텍은 지적했다.

시만텍은 ‘다크서울’ 공격집단이 비교적 높은 수준의 정보보안 지식과 조직화 능력을 갖추고 있다고 평가했다.

사용자가 정상 프로그램을 다운로드받을 때 섞여들어간 뒤 2차 감염 기능을 하는 악성코드로 분리되는 기능, 분리된 악성코드가 단계별로 다른 ‘트로이 목마’ 악성코드를 불러들이는 기능, 그림 파일을 가장한 실행 가능 악성코드 등이 공격 과정에서 복합적으로 쓰였다고 시만텍은 설명했다.

시만텍은 이 집단이 북한의 지령을 받고 활동하는지의 여부는 불분명하다면서도, 분명한 정치적 동기를 갖고 장기간에 걸쳐 한국에서 여러 번 공격을 행할 수 있을 정도의 자금력도 갖추고 있다고 추정했다.

에릭 치엔 시만텍 기술담당 수석연구원은 로이터통신과의 인터뷰에서 공격에 쓰인 프로그램이나 공격 방식의 정교함을 감안할 때 ‘다크서울’ 집단이 10~50명으로 구성된 것으로 여겨진다고 말했다.

한국에서 최근 발생한 주요 사이버 공격이 동일 집단의 소행일 수 있다는 분석은 이전에도 제기됐다.

정보보안업체 맥아피는 2011년 7월 발표한 보고서에서 2009년 7.7 디도스 사건과 2011년 3월 사이버테러가 같은 범인의 소행일 수 있다고 밝혔다.

지난 3월의 3.20 사이버테러 때 국내외 보안업체들은 공격에 쓰인 악성코드의 이름을 ‘다크서울’이라고 지목했지만, 시만텍은 이 이름을 공격자 집단을 지칭하는 데 사용했다.

연합뉴스