![[속보] 이란, 美 종전 합의안 전격 승인… 호르무즈·핵처리 이견은 여전](https://wimg.dt.co.kr//news/cms/2026/06/13/news-p.v1.20260613.aecca11195144c3bac9eed9e5a44a8de_T1.jpg)
![“마통도 막혔다”…빚투 잡으려다 급전 필요한 직장인도 ‘불똥’[주형연의 에구MONEY]](https://wimg.dt.co.kr//news/cms/2026/06/12/rcv.YNA.20260308.PYH2026030807080001300_T1.jpg)
악성파일 공격형태 일치… 보안업체 합동 규명
북한의 소행으로 알려진 `3.20 사이버테러'가 발생한지 두 달이 지나고 있는 가운데, 최근 3.20 사이버테러 당시 사용했던 악성파일과 유사한 형태의 파일이 발견돼 이들이 현재까지 정보 수집 등을 목표로 활동하고 있는 것으로 보인다.
국내 보안업체인 이스트소프트와 잉카인터넷은 지난달 31일 이상 징후를 발견, 이 악성파일의 형태와 공격 기법 등이 3.20 사이버테러에서 사용됐던 코드 구조와 거의 일치한다는 결론을 내렸다. 특히 이번 악성코드가 노린 대상은 정부기관으로 한 인터넷 뉴스사이트에 접속하면 다른 파일공유 사이트로, 이 파일공유 사이트에서는 정보통신 공제조합 사이트로 접속이 유도됐다.
문종현 잉카인터넷 시큐리티대응팀장은 "이번에 발견된 악성파일은 코드가 새롭게 변형됐지만 3.20 사이버테러 때 사용된 악성파일의 흔적과 기법이 거의 동일하다"며 "공격의 형태를 봤을 때 사이버 범죄자들처럼 돈을 벌기 위한 목적이 아니라 사전 정보수집이나 잠입침투 활동을 수행하는 것으로 의심되기 때문에 보안업체가 합동으로 악성파일을 규명했다"고 말했다.
실제로 이번에 발견된 악성코드는 `테스트 목적'과 `원격명령 및 정보유출 목적'의 두가지 종류다. 이 악성코드들의 경우는 내부에 남아 있는 제작일자가 대부분 5월30일과 31일이며, 하드디스크를 파괴하는 등 공격 기능이 없는 대신 정보를 외부로 빼내는 기능을 가지고 있는 일종의 정찰용 악성코드로 알려졌다.
이에 미래창조과학부 등 정부 당국은 악성코드 신고를 받고 차단 조치를 취하고 조사에 들어갔다. 미래부 관계자는 "보안업체로부터 3.20 사이버테러에 이용된 것과 같은 유사한 악성코드를 발견했다는 신고를 받고 보안업체들과 공조해 최신 백신 소프트웨어에 해당 악성코드 차단 기능을 추가했다"며 "조사에 착수했으나 현재까지는 북한의 소행이라고 단정짓기는 어렵다"고 말했다.
그러나 북한 소행으로 알려진 3.20 사이버테러 이후에도 이들이 각종 정보수집 활동을 은밀하게 진행하고 있다는 것에서 2차 공격에 발생할 수 있는 가능성도 점쳐지고 있다. 추가 공격은 전적으로 공격자의 의지에 달렸기 때문에 추후 변형된 악성코드로 공격을 할 가능성도 높게 점쳐지고 있기 때문이다.
안랩 관계자는 "이번 악성코드는 신속하게 차단돼 감염이 확산되지 않았다"며 "이번 공격은3.20 사이버사태의 악성코드 제작자와 동일한 것으로 추정돼 변종에 대한 모니터링을 강화하고 있다"고 말했다.
유정현기자 juneyoo@
북한의 소행으로 알려진 `3.20 사이버테러'가 발생한지 두 달이 지나고 있는 가운데, 최근 3.20 사이버테러 당시 사용했던 악성파일과 유사한 형태의 파일이 발견돼 이들이 현재까지 정보 수집 등을 목표로 활동하고 있는 것으로 보인다.
국내 보안업체인 이스트소프트와 잉카인터넷은 지난달 31일 이상 징후를 발견, 이 악성파일의 형태와 공격 기법 등이 3.20 사이버테러에서 사용됐던 코드 구조와 거의 일치한다는 결론을 내렸다. 특히 이번 악성코드가 노린 대상은 정부기관으로 한 인터넷 뉴스사이트에 접속하면 다른 파일공유 사이트로, 이 파일공유 사이트에서는 정보통신 공제조합 사이트로 접속이 유도됐다.
문종현 잉카인터넷 시큐리티대응팀장은 "이번에 발견된 악성파일은 코드가 새롭게 변형됐지만 3.20 사이버테러 때 사용된 악성파일의 흔적과 기법이 거의 동일하다"며 "공격의 형태를 봤을 때 사이버 범죄자들처럼 돈을 벌기 위한 목적이 아니라 사전 정보수집이나 잠입침투 활동을 수행하는 것으로 의심되기 때문에 보안업체가 합동으로 악성파일을 규명했다"고 말했다.
실제로 이번에 발견된 악성코드는 `테스트 목적'과 `원격명령 및 정보유출 목적'의 두가지 종류다. 이 악성코드들의 경우는 내부에 남아 있는 제작일자가 대부분 5월30일과 31일이며, 하드디스크를 파괴하는 등 공격 기능이 없는 대신 정보를 외부로 빼내는 기능을 가지고 있는 일종의 정찰용 악성코드로 알려졌다.
그러나 북한 소행으로 알려진 3.20 사이버테러 이후에도 이들이 각종 정보수집 활동을 은밀하게 진행하고 있다는 것에서 2차 공격에 발생할 수 있는 가능성도 점쳐지고 있다. 추가 공격은 전적으로 공격자의 의지에 달렸기 때문에 추후 변형된 악성코드로 공격을 할 가능성도 높게 점쳐지고 있기 때문이다.
안랩 관계자는 "이번 악성코드는 신속하게 차단돼 감염이 확산되지 않았다"며 "이번 공격은3.20 사이버사태의 악성코드 제작자와 동일한 것으로 추정돼 변종에 대한 모니터링을 강화하고 있다"고 말했다.
유정현기자 juneyoo@
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
![“마통도 막혔다”…빚투 잡으려다 급전 필요한 직장인도 ‘불똥’[주형연의 에구MONEY]](https://wimg.dt.co.kr/news/cms/2026/06/12/rcv.YNA.20260308.PYH2026030807080001300_R.jpg)
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0