[서울=뉴스핌] 하수영 기자 = 북한이 새 변종 악성코드를 사용해 핵심 방위산업체와 에너지 회사들을 공격했다고 미국 국토안보부가 발표했다. 악성 코드를 유포해 정보를 빼내고, 악성 웹 문서를 미끼로 접근해 해당 전산망에 정보 수집용 악성 코드를 심었다는 분석이다.
21일 미국의소리(VOA) 방송에 따르면 미국 국토안보부(DHS) 산하 사이버안보·기반시설안보국(CISA)은 이날 발표한 '멀웨어(악성 소프트웨어) 분석 보고서(MAR)'에서 "북한 정부가 '블라인딩캔(BLINDINGCAN)'이라는 이름의 원격 접속 방식 변종 멀웨어를 사용한 것을 발견했다"며 이같이 밝혔다.
[사진=게티이미지] |
보고서에 언급된 '원격 접속 트로이목마(Remote Access Trojan)'는 멀웨어에 쓰이는 바이러스 형태의 하나로, 공격 대상 전산망에 원격으로 일종의 비밀 통로를 만드는 것이 특징이다.
보고서는 "미국 정부가 '히든 코브라'라고 부르는 북한 해커들이 있는데, 이들은 올해 초 이같은 원격 접속을 위한 악성 코드를 유포해 핵심 방위산업체와 에너지 기술 회사의 정보를 빼냈다"고 설명했다.
이어 "또 방산업체 등 정부 계약업체들을 대상으로 구직 공고 등으로 위장한 악성 웹 문서를 미끼로 접근해 해당 전산망에 정보 수집용 악성 코드를 심었다"고 부연했다.
아울러 "히든 코브라와 연관된 멀웨어의 특징으로 'iconcache.db'라는 파일명이 있다"며 "이 파일이 변종 멀웨어를 실행하는 역할을 한다며 사용자들의 주의를 당부한다"고 강조했다.
보고서는 그러면서 악성 코드가 담긴 문서도 공개했다. 문서를 보면 미국 방산업체 '보잉'사의 상표와 항공기 이미지가 포함돼 있으며, 인사 담당자가 해당 문서를 보낸 것처럼 꾸며 피해자가 문서를 실행하도록 유도하고 있다.
이와 관련해 미국 사이버사령부 역시 이날 VOA에 "국방부, CISA, FBI(연방수사국)간 공조를 통해 최근 7건의 북한 연관 변종 멀웨어를 발견했다"며 "해외로부터의 사이버 위협에 대응하기 위한 조치를 사령부 차원에서 이어가고 있다"고 밝혔다.
한편 안보 전문가인 매튜 하 워싱턴 민주주의연구재단 사이버 안보 선임연구원은 "이는 한미 공군력을 겨냥한 공격일 수 있다"고 분석했다.
하 연구원은 "최근 몇 주간 사이버 보안 회사들로부터 전 세계 특정 목표를 대상으로 한 다양한 사이버 공격이 보고돼 왔다"며 "미국의 항공 방산업체를 노린 점을 감안할 때 한국과 미국의 공군력에 대한 정보를 파악하기 위한 목적이었을 수 있다"고 말했다.
suyoung0710@newspim.com