최근 소니픽처스를 해킹한 멀웨어에서 지난해 국내를 겨냥한
표적 공격 당시 나타난 일부 기법과 컴포넌트 명칭이 발견됐다.
8일 글로벌 보안업체 시만텍은 소니 해킹에서 발견된 백도어.데스토버(Backdoor.Destover)가
과거 한국을 겨냥한 표적 공격과 연관되어 있다고 밝혔다.
데스토버는 최근 소니 해킹과 관련해서 미국 FBI가 경보를 발효할
정도로 파괴적인 멀웨어(malware)로, 데스토버의 일부 샘플이 보고된 C&C(Command-and-control)
서버는 과거 한국을 타깃으로 공격하기 위해 설계된 트로이목마 볼그머(Trojan.Volgmer)가
사용한 서버와 동일한 것으로 조사됐다. C&C 서버를 공유한다는 것은 두 공격의
배후에 동일한 조직이 있는 것으로 볼 수 있다는 것이 시만텍의 분석이다.
볼그머는 공격 목표물을 가진 악성코드로, 공격의 첫 번째 단계에서
정찰(reconnaissance) 툴과 같이 제한적 범위에서 사용되어 왔다. 또한 시스템 정보
취득 및 실행을 위한 추가 파일 다운로드를 위해 사용되었을 가능성도 있다.
특히 주목할 것은 데스토버와 C&C서버를 공유하는 볼그머
버전은 한국 내 특정 대상을 표적 공격하도록 설정되었으며, 한국어를 지원하는 컴퓨터에서만
공격이 진행된다는 점이다.
데스토버는 지난 2013년 한국을 겨냥한 조크라(Jokra) 공격 당시
나타난 일부 기법과 컴포넌트 명칭이 동일한 것으로 나타났다. 그러나 아직까지는
데스토버와 조크라 두 공격의 연관성을 증명해주는 확실한 증거는 없으며, 유사한
모방공격(copycat operation)의 가능성 또한 배제할 수 없다.
데스토버는 상용화된 동일 드라이버를 사용하고 있다는 점에서
샤문(Shamoon) 공격과의 연관성도 나오고 있다. 하지만 이 경우에는 동일한 조직이
배후에 있을 가능성은 매우 낮으며, 데스토버 공격이 샤문 공격에서 사용된 기법을
흉내낸 것으로 보인다.
한편, 소니 해킹 배후에 북한이 연계되어 있다는 해외 언론의
보도에 대해 북한 중앙통신은 소니 픽처스 해킹 배후설을 일축하면서도 북한에 동조하는
친북 세력이 이러한 정의로운 공격을 가했을 수는 있다고 말했다.