을지프리덤가디언 훈련기간 중 6.25 사이버테러 조직 DDoS 악성코드 유포

아주경제 장윤정 기자= 을지프리덤가디언(UFG) 연습기간 중 6.25 사이버테러 조직이 DDoS 악성코드를 유포한 정황이 포착됐다.

하우리는 19일부터 시작된 을지프리덤가디언(UFG) 연습 기간 중인 20일 오전, 6.25 사이버테러 조직이 DDoS 악성코드를 추가로 유포한 것을 확인했다고 밝혔다. 하우리는 지난 7일 한미합동군사훈련인 을지프리덤가디언(UFG) 연습을 앞두고 6.25 사이버테러를 수행한 동일 조직이 Tor C&C 봇넷을 구축하고 있음을 확인한 바 있다.

이 회사는 을지프리덤가디언 훈련이 시작되는 19일을 전후해 해당 조직이 목표로 하는 DDoS 공격, 시스템 파괴, 기밀정보 절취 등과 같은 어떠한 행동을 취할 것으로 예상해 토르(Tor) C&C 서버에 대한 지속적인 모니터링을 수행했다. 그 결과, 20일 오전 9시 23분 19초에 6개의 토르 C&C 서버 중 1대가 오픈됐으며, 해당 C&C 서버를 통해 11시 13분 37초에 체코에 위치한 서버로부터 DDoS 악성코드를 다운로드한 것을 발견했다.

토르 C&C 서버를 통해 유포된 악성코드는 다양한 악성행위를 수행하는 명령어들이 존재하며 ▲특정 타깃에 대한 DDoS 공격 ▲키로깅 ▲화면 캡쳐 ▲추가 악성코드 다운로드 및 실행 등의 악성행위를 수행한다. 또한 해당 악성코드는 기존에 국방 관련 섹터에서 발견되던 악성코드의 변종 시리즈로 확인되었다.

최상명 하우리 선행연구팀 팀장은 “현재 해당 악성코드 정보를 정부당국과 정보를 공유했으며, 이번 악성코드 유포에 대한 조기 발견은 토르 C&C 서버에 대한 지난 7일부터 지속적인 모니터링 결과의 성과”라며 “앞으로도 꾸준히 조기 탐지 및 모니터링 체계를 구축하여 신속한 사전대응이 가능하도록 힘 쓰겠다”고 밝혔다.