Home > 전체기사
日 ‘곰플레이어’ 통한 사이버공격 실체는?
  |  입력 : 2014-01-27 05:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
업데이트 파일경로 변조 방식...日 원자력발전시설 PC 감염사례 발견

한국 아닌 미국 위치한 서버 통해...표적공적, 국내 상황 주시 필요 


[보안뉴스 권 준] 국내에서 개발한 대표적인 동영상 재생 프로그램으로 일본에서도 큰 인기를 누리고 있는 ‘곰플레이어(GOM Player)’가 최근 일본에서 악성코드 유포수단으로 악용된 것으로 드러나 일본 전역에 비상에 걸렸다.

▲ 일본판 곰플레이어 실행 화면


산케이신문과 요리우리신문 등 일본 매체에 따르면 일본 보안업체 랙에서 곰플레이어를 업데이트하면 악성코드에 감염되는 신종 사이버공격이 발견됐다고 발표한 것.   

특히, 이 방식은 곰플레이어 자동 업데이트 시 정규 업데이트 서버가 아닌 해커들이 제공한 가짜 사이트로 강제 우회 접속된 다음 악성코드가 유포되는 파열경로 변조 방식으로, 지난 7일 일본 고속증식로 ‘몬주’의 발전을 담당하는 직원의 PC가 최초 감염돼 회사 내부정보가 유출된 것으로 랙 조사결과 드러났다. 


이에 일본 당국과 보안업체들은 이번 공격이 국가행정기관을 겨냥한 사이버전 성격을 띠고 있다는 판단 아래 지난 23일 전 부처를 대상으로 곰플레이어 업데이트를 금지하는 공문을 내려 보낸 것으로 알려졌다. 


또한, 일본 침해사고대응기관 JPCERT와 곰플레이어 개발사인 그래텍의 현지법인인 그래텍 재팬에서는 곰플레이어 업데이트 중단 조치와 함께 업데이트 서버와 대한 정밀 점검에 들어간 상태다.   


더욱이 이번 사이버공격의 진원지가 한국이라는 확인되지 않은 일부 일본 언론보도와 함께 국내 업체 그래텍이 제작사이고, 우리나라에서도 수백만 명이 사용하는 동영상 플레이어라는 점에서 국내 보안종사자들에게도 커다란 관심이 되고 있다.  


이에 따라 국내 보안전문가들에 의해 새로운 사실들도 속속 밝혀지고 있다. 하우리 최상명 팀장은 “일본에서 발견된 이번 악성코드는 2013년 12월 1일에 최종 패키징됐으며, 설치 시 정상 곰플레이어 설치파일도 함께 실행시키고, 악성코드는 백그라운드로 설치되기 때문에 그동안 탐지가 잘 되지 않은 것으로 파악된다”며, “국내 상황도 예의주시할 필요가 있다”고 설명했다. 


또한, 잉카인터넷 문종현 팀장은 “지난해 12월 중순부터 일본 곰플레이어 업데이트 서버에 이상징후가 발견된 바 있다”며, “이번 공격은 미국 뉴욕에 위치한 일본 서비스용 곰플레이어 서버를 통한 악성코드 유포로, 일본 정부부처 및 주요기업 등 특정 IP 주소를 가진 PC만 감염되도록 만들어진 대역별 표적공격으로 보인다”라고 밝혔다.


덧붙여 그는 “이로 인해 일본 곰플레이어를 사용하는 일반인들은 감염되지 않는다”며, “교묘하게 한국 업체와 한국 C&C 주소를 이용했기 때문에 공격진원지를 한국으로 오해한 일본 누리꾼들이 우리나라를 엄청 비난하고 있다”고 우려했다.  


이렇듯 일본에서 발생한 이번 사이버공격의 여파가 아베 총리의 야스쿠니 신사 참배로 가뜩이나 차가워진 한일관계를 더욱 냉각시키면서 한일간 사이버전 논란으로 비화될지 향후 추이가 주목되고 있다.  
[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)