지난 몇 달 동안 우리는 대한민국의 주요 기관을 대상으로 한 사이버 스파이 활동을 모니터링 해 왔으며, 이 스파이 활동은 지금까지도 진행 중입니다. 이 스파이 활동이 계획과 실행에 있어서 주목할만하다고 생각되는 몇 가지 이유가 있습니다. 어느 날 우리는 무료 메일서버를 통해 "마스터"와 통신하는 다소 단순한 스파이 프로그램을 발견하였습니다.

 

그렇지만, 우리의 주목을 끄는 몇 가지 흥미로운 점이 있었습니다.

 

• 불가리아 무료 이메일 서버인 mail.bg가 사용되었다. 
• 컴파일 경로에 한글이 포함되어 있다.

한글이 사용되었고 불가리아 이메일을 명령-제어 통신에 사용한다는 두 가지 사실이 우리에게 해당 악성코드를 좀 더 자세히 분석해야 할 필요가 있음을 알려 주었습니다.

다음과 같이 악성코드 내에 포함된 절대 경로에 한글이 포함되어 있습니다.

"rsh"은 "Remote Shell"의 약자로 추측됩니다.

 

피해자의 대부분을 정확히 알 수는 없었지만, 우리는 몇몇 대상을 식별할 수 있었으며, 이 활동에 의해 감염이 확인된 몇몇 기관은 다음과 같습니다; 세종연구소, 국방연구원, 통일부, 현대상선

 

아울러 몇몇 단서는 "통일을 생각하는 사람들의 모임((http://www.unihope.kr/)"의 컴퓨터들이 이 공격에 효과적으로 대응을 하지 못했다는 것 또한 알려주고 있습니다. 이외의 다른 기관들도 공격 대상이 되었는데, 총 피해 기관 중 11개는 대한민국이고 2개는 중국이었습니다.

 

이 공격은 매우 제한적이며 소수의 기관을 대상으로 하고 있기 때문에, 우리는 이 악성코드의 배포 경로를 확인할 수 없었으며, 모니터링을 시작하면서 우리가 발견한 이 악성코드 샘플은 대부분 피싱 이메일을 통해 배포되는 초창기 악성코드 형태를 가지고 있었습니다.

(이하 생략)

---------------------------------------------------------------------------------------------

여태껏 언론에서 떠들어댄 사이버 공격들 분석보다는 훨씬 전문적이고 깊은 수준의 분석이네요.

분명 북풍으로 정치권에서 써먹으려 터뜨리는것도 있겠지만... 북한의 사이버 공격이 실질적으로 이루어 지고 있다는게 확인됐네요.

안랩에서 좀 벗어나야 할텐데..