세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
하나투어와 SI업체 해킹, 연관성 드러나...동일범 소행인가
  |  입력 : 2017-10-20 10:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
하나투어 해킹에 악용됐던 악성코드가 통신하는 C&C서버 IP와 SI업체 IP 대역 유사
북한 추정 사이버공격의 공격방식과 악성 프로그램도 유사하다는 분석 제기


[보안뉴스 김경애 기자] 하나투어의 고객정보 유출에 악용됐던 악성코드와 통신하는 C&C 서버(명령제어 서버)의 IP 대역이 이보다 앞서 해킹된 SI업체 홈페이지의 IP 대역과 유사한 것으로 조사됐다. 더군다나 기존 북한 추정 사이버공격의 공격방식과 동원된 악성 프로그램도 거의 동일하다는 의견이 제기되면서 연쇄적인 사이버공격의 일부가 수면 위로 드러나기 시작한 것 아닌지 관심이 모아지고 있다.

[이미지=iclickart]


지난 18일 본지가 SI업체 해킹 이슈 건을 취재하던 중 입수한 정보에 따르면 하나투어 해킹에 사용된 악성코드가 SI업체의 특정 IP와 통신했다. 취재결과 특정 IP는 SI업체의 고객사로 드러났다. 이는 고객사가 하나투어 악성코드 공격에 C&C 서버로 악용됐다는 얘기다.

▲하나투어 악성코드와 통신한 SI업체 고객사 IP 주소 화면[이미지=보안뉴스 입수]


이어 하나투어에 비트코인을 요구하며 개인정보 유출 사실을 협박할 때 사용된 악성프로그램 역시 2016년 보안업체 모듈로 위장해 공격한 악성프로그램과 유사한 것으로 분석됐다. 금융보안 모듈로 위장한 해당 악성프로그램은 2016년 1월 제작됐으며, 하나투어에 유포된 악성프로그램은 지난 6월 제작된 것으로 알려졌다.

▲악성프로그램 제작 타임정황[이미지=보안뉴스 입수]


더군다나 2016년 국방부, 보안업체 A사와 B사, ATM사, 금융권 관련 웹사이트 공격에 사용된 악성코드와 매우 유사해 하나투어 해킹에 악용된 악성코드에 관심이 모아지고 있다. 이에 따라 일련의 해킹사건들이 동일 조직의 소행인지 여부와 관련 사건들의 연관성에 대해 철저한 수사가 필요할 것으로 보인다.

사실 확인을 위해 본지가 한국인터넷진흥원을 취재한 결과, 침해사고분석단 이동근 단장은 “하나투어와 SI업체 IP 대역의 유사점과 연관성에 대해서는 현재 조사 중에 있다”며 “북한 사이버공격의 연관성도 유관기관과 함께 조사하고 있다”고 말했다.

이처럼 최근 발생한 개인정보 유출 및 내부정보 탈취 등의 잇따른 해킹사고를 보면 예사롭지 않다. 단순히 SI업체 해킹, 하나투어 개인정보 유출이 하나의 큰 계획 아래 다방면으로 진행되는 대규모 사이버공격의 일환일 수 있다는 우려가 커지고 있다.

익명을 요청한 한 보안전문가는 “하나투어 공격에 사용됐던 악성코드가 기존 특정그룹에서 주로 사용됐던 악성코드인 건 사실이지만, 특정그룹과 어떤 관련성이 있는지는 보다 철저히 조사해 정확한 수사결과가 발표돼야 한다”고 당부했다.

또 다른 보안전문가는 “하나투어에서 발견된 악성코드와 유사한 악성코드는 꾸준히 발견되고 있으며, 최근 활동이 증가하고 있다”며 “다양한 분야로 공격이 감행되고 있을 가능성이 큰 만큼 기업에서는 보안에 각별히 신경써야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)