[사이버 테러] 14시간 추적 "IP 찾았다"
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
와우해커, 악성코드 밤샘 분석
"로그인 기록 등 흔적 안남겨"
"로그인 기록 등 흔적 안남겨"
"미국 IP로 확인됨."(9일 오전 1시40분)
"서버에 접속해서 받아오는 원소스 파일 찾았고 패킹(암호화) 풀어야 함."(9일 오전 2시7분)
"아,우리가 발견한 데가 공격자 맞는 듯.내 PC 이상해졌음."(9일 오전 2시10분)
"끝까지 왔음.보고서 작성 완료."(9일 오전 5시35분)
드라마처럼 펼쳐진 9일 새벽에 남겨진 문자 메시지들이다. '해킹 대란'을 일으킨 악성 코드를 분석한 홍민표 와우해커 대표(31)와 이대로 연구원(23)은 지난 8일 오전 11시부터 꼬박 14시간 동안 악성 코드를 붙들었다.
이들은 "처음에 777 DDoS 대란을 일으킨 악성 코드 파일 중 msiexec1.exe perfvwr.dll wmiconf.dll msiexe2.exe 4개를 입수해 본격적으로 분석을 시작했다"며 "실제로 C&C(Control & Command)하는 서버의 주소가 무엇이고 어떤 식으로 서버에서부터 악성 코드가 다운로드되는지에 초점을 맞췄다"고 말했다.
그렇게 밝혀 낸 결과는 악성 코드 유포 서버의 인터넷 주소(75.151.XXX.XXX)다. 홍 대표는 "악성 코드가 유포되는 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려 있는 미국 인터넷 주소의 가상 서버였다"며 "그 프로그램 내용을 바꾸거나 해당 IP를 국내에서 차단하면 더 이상의 악성 코드 유포를 막을 수 있다"고 말했다. 공격자가 누구인지에 대해선 "누군지는 알 수 없지만 서버를 찾기도 까다롭게 해놓고 서버에 접속한 로그 기록을 전부 지운 걸 보면 아주 수준급의 실력자일 것"이라고 했다.
홍 대표는 한 · 미 정보당국에서 북한을 사이버 테러의 배후로 지목하는 데 대해 "북한은 외부 인터넷을 이용할 때 주로 중국 IP를 사용한다"며 "그렇지 않다 하더라도 이런 대규모 공격을 할 땐 IP를 세탁하기 때문에 북한 IP인지 알아채기 어렵다"고 설명했다.
이들 분석에 따르면 악성 코드의 파일 안에는 '독립기념일을 기리며(Memory of the Independence Day)'라는 문구가 명확히 담겨 있었다. 홍 대표는 "무엇보다 이미 악성 코드에 감염된 PC 사용자들이 빨리 삭제 프로그램으로 지워야 한다"고 말했다.
민지혜 기자 spop@hankyung.com
"서버에 접속해서 받아오는 원소스 파일 찾았고 패킹(암호화) 풀어야 함."(9일 오전 2시7분)
"아,우리가 발견한 데가 공격자 맞는 듯.내 PC 이상해졌음."(9일 오전 2시10분)
"끝까지 왔음.보고서 작성 완료."(9일 오전 5시35분)
드라마처럼 펼쳐진 9일 새벽에 남겨진 문자 메시지들이다. '해킹 대란'을 일으킨 악성 코드를 분석한 홍민표 와우해커 대표(31)와 이대로 연구원(23)은 지난 8일 오전 11시부터 꼬박 14시간 동안 악성 코드를 붙들었다.
이들은 "처음에 777 DDoS 대란을 일으킨 악성 코드 파일 중 msiexec1.exe perfvwr.dll wmiconf.dll msiexe2.exe 4개를 입수해 본격적으로 분석을 시작했다"며 "실제로 C&C(Control & Command)하는 서버의 주소가 무엇이고 어떤 식으로 서버에서부터 악성 코드가 다운로드되는지에 초점을 맞췄다"고 말했다.
그렇게 밝혀 낸 결과는 악성 코드 유포 서버의 인터넷 주소(75.151.XXX.XXX)다. 홍 대표는 "악성 코드가 유포되는 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려 있는 미국 인터넷 주소의 가상 서버였다"며 "그 프로그램 내용을 바꾸거나 해당 IP를 국내에서 차단하면 더 이상의 악성 코드 유포를 막을 수 있다"고 말했다. 공격자가 누구인지에 대해선 "누군지는 알 수 없지만 서버를 찾기도 까다롭게 해놓고 서버에 접속한 로그 기록을 전부 지운 걸 보면 아주 수준급의 실력자일 것"이라고 했다.
홍 대표는 한 · 미 정보당국에서 북한을 사이버 테러의 배후로 지목하는 데 대해 "북한은 외부 인터넷을 이용할 때 주로 중국 IP를 사용한다"며 "그렇지 않다 하더라도 이런 대규모 공격을 할 땐 IP를 세탁하기 때문에 북한 IP인지 알아채기 어렵다"고 설명했다.
이들 분석에 따르면 악성 코드의 파일 안에는 '독립기념일을 기리며(Memory of the Independence Day)'라는 문구가 명확히 담겨 있었다. 홍 대표는 "무엇보다 이미 악성 코드에 감염된 PC 사용자들이 빨리 삭제 프로그램으로 지워야 한다"고 말했다.
민지혜 기자 spop@hankyung.com