시만텍 "6.25 사이버테러, 다크서울 소행"

[김관용기자] 지난 25일 발생한 사이버 공격은 '다크서울(DarkSeoul)'이라는 해커 집단을 통해 이뤄졌다는 분석 결과가 나왔다.

27일 시만텍코리아는 대한민국 정부의 웹사이트를 겨냥한 분산서비스거부(DDoS) 공격 가운데 하나가 다크서울(DarkSeoul) 공격 집단과 '카스토브 트로이목마(Trojan.Castov)'가 관련이 있다고 밝혔다.

시만텍코리아는 "다크서울은 6.25 사이버 공격을 포함해 지난 4년간 국내에서 발생한 주요 공격을 주도해 왔으며 지난 3월 국내 주요 은행과 방송사의 컴퓨터 하드 드라이브를 삭제하며 엄청난 피해를 입힌 조크라(Jokra) 3.20 공격과 5월에 발생한 국내 금융기관 대상의 사이버 공격도 다크서울과 관련이 있다"고 설명했다.

다크서울의 사이버 공격은 역사적으로 중요한 날짜에 디도스 공격을 감행하고 하드 디스크를 삭제하는 유사한 공격 방식을 취하고 있는 것으로 조사됐다. 다크서울은 미국 독립기념일에 디도스 공격과 데이터 삭제 공격을 감행하기도 했다.

시만텍이 분석한 다크서울의 사이버 공격 특징은 국내 주요 기관과 시설을 겨냥한 조직적인 다단계 공격 행태를 보였다. 또한 하드 디스크 데이터 삭제와 역사적으로 중요한 날짜에 실행되도록 설정된 디도스 공격이 주를 이룬다.

이와함께 정치적 성향의 문구로 디스크 섹터를 덮어쓰기하는 방법을 구사하며, 조직내 네트워크를 통한 확산을 위해 합법적인 제3자의 소프트웨어 업데이트 매커니즘을 이용한다. 특정 암호화 및 난독화 방식과 유사한 명령제어(Command & Control) 구조를 이용하는 것도 다크서울의 해킹 특징이다.

시만텍코리아 윤광택 이사는 "다크서울이 실행한 공격들은 고도의 인텔리전스와 조직적인 협력을 필요로 하며 일부 공격들은 기술적 정교함을 보여주고 있다"면서 "수년간 주요 기관 및 시설에 피해를 입힐 만큼 독보적인 공격 능력을 갖추고 있다는 점에서 지속적인 주의와 대응태세가 요구된다"고 강조했다.