미국 기관 “북한소행 변종 악성코드 활동 확인”

국토안보부 산하 CISA 보고서 공개

20191102000023_0

미국 국토안보부를 비롯한 정부 기관들이 북한 당국의 변종 악성코드 유포와 악의적 사이버 활동에 관한 보고서를 발표했다고 미국의소리(VOA) 방송이 2일 보도했다.

미 국토안보부 산하 사이버안보·기간시설안보국(CISA)에 따르면 국토안보부와 국무부, 연방수사국(FBI) 등은 지난달 31일 발표한 보고서에서 북한 해킹그룹 ‘히든 코브라’(Hidden Cobra)의 악성코드 유포행위를 확인했다며 그 샘플들을 공개했다. 미국 정부는 북한 정부에 의한 악성 사이버 활동을 히든 코브라라고 지칭한다.

보고서는 북한의 변종 악성코드를 추적·분석한 결과, 북한 정부가 사용하는 악성코드 ‘트로이’의 변종인 ‘홉라이트’(HOPLIGHT)의 일종으로 확인됐다고 밝혔다. 이번에 발견된 홉라이트 악성 실행파일은 20개에 달한다. 보고서에서 확인된 가장 최근 실행 일자는 2018년 2월이다.

앞서 미 국토안보부와 FBI는 지난 4월 발표한 보고서에서 북한 정부가 홉라이트를 만들어 낸 것을 파악했다. 9월에는 미 사이버사령부가 11종의 홉라이트 악성코드를 공개하고 위험성을 경고했다.

홉라이트는 ‘백도어’에 설치되는 멀웨어(악성 소프트웨어)의 일종으로 인터넷 방화벽을 뚫고 들어와 원격으로 컴퓨터를 조종할 수 있는 것이 특징이라고 VOA는 설명했다. 백도어란 해커가 컴퓨터 시스템을 마음대로 들여다볼 수 있도록 설치한 통로를 가리킨다.

보고서는 조사결과 공개 배경에 대해 “북한 당국의 악성 사이버 활동에 대한 네트워크 방어를 활성화하고 악의적 공격에 노출되는 것을 줄이기 위한 것”이라며 철저한 주의와 관계기관 신고를 통한 협조를 당부했다.

이번 미 당국의 조사결과 발표는 최근 인도 원자력발전소 컴퓨터에서 북한 해킹조직의 소행으로 의심되는 악성코드가 발견된 시점과 맞물려 눈길을 끈다.

31일 인도 현지 매체 보도 등에 따르면 인도 쿠단쿨람 원자력발전소에서 발생한 사이버 공격에 ‘DTrack’이라는 악성코드가 사용된 것으로 전해졌다.

Dtrack은 앞서 인도 내 현금자동입출금기(ATM)에서 발견된 악성코드 추적 과정에서 북한 해킹그룹인 ‘라자루스’(Lazarus)와의 연계 가능성이 제기된 바 있다.

이와 관련, 한국의 민간보안업체인 ‘이스트시큐리티’는 인도 원전 공격에 사용된 코드와 2009년 한국에서 발생한 7·7디도스(DDoS) 공격 코드에서 유사점을 발견했다고 자유아시아방송(RFA)이 2일 전했다.

이 업체에 따르면 이번 인도 원전에 대한 사이버 공격 때 발견된 악성코드에서 정보수집 및 압축에 쓰인 암호(dkwero38oerA^t@#)는 7·7디도스 때와 정확히 일치하며, 북한식 표현인 ‘련대’가 포함된 점도 동일하다.

onlinenews@heraldcorp.com

Print Friendly