시만텍 “멀웨어 데스토버, 트로이목마 볼그머와 사용 서버 동일”

글로벌 인터넷 보안업체 시만텍은 멀웨어 ‘백도어 데스토버’가 과거 한국을 겨냥한 표적 공격과 연관되어 있다고 8일 밝혔다.

데스토버는 최근 소니 해킹과 관련해 미국 연방수사국(FBI)이 경보를 발효할 정도로 파괴적인 멀웨어다.

데스토버의 일부 샘플이 보고된 C& 서버는 과거 한국을 표적으로 공격하기 위해 설계된 트로이목마 볼그머가 사용한 서버와 동일한 것으로 조사됐다.

시만텍은 “C&C 서버를 공유한다는 것은 두 공격의 배후에 동일한 조직이 있는 것을 뜻한다고 볼 수 있다”고 분석했다.

특히 주목할 것은 데스토버와 C&C서버를 공유하는 볼그머 버전은 한국 내 특정 대상을 표적 공격하도록 설정됐으며 한국어를 지원하는 컴퓨터에서만 공격이 진행된다는 점이다.

감염된 컴퓨터의 지역이 ‘한국’이 아닌 경우 실행을 종료하도록 설정됐다.

데스토버는 또 2013년 한국을 겨냥해 국내 은행, 방송국 서버 및 통신사 홈페이지를 마비시킨 ‘조크라’ 공격 당시 나타난 일부 기법과 컴포넌트 명칭이 동일한 것으로 나타났다.

그러나 데스토버와 조크라의 연관성을 증명해주는 확실한 증거가 없어 모방공격의 가능성 또한 배제할 수 없다.

윤광택 시만텍 SSET 총괄 이사는 “최근 미국에서 큰 이슈가 된 해킹 사건과 과거 한국에서 발생한 사이버 공격이 연관돼 있다는 것이 주목할 만하다”며 “시만텍은 한국 및 전세계 대응센터를 통해 앞으로도 발 빠르게 공격을 감지하고 분석해 대응방안을 제공하도록 노력할 것”이라고 말했다.

연합뉴스