세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
소니픽처스 vs. 6.25사이버테러 악성코드 전격 비교분석
  |  입력 : 2014-12-04 08:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
하드파괴 악성코드명·공유네트워크 전파 코드 등 대부분 일치 

6.25사이버테러와 소니픽처스 해킹, 동일조직인 북한 소행 입증자료
 

[보안뉴스 권 준] 북한 해킹 의혹으로 파문이 확산되고 있는 소니픽처스 해킹사태와 지난해 전국을 혼란에 빠뜨렸던 6.25사이버테러에 사용된 악성코드가 동일한 것으로 나타났다.


민간 사이버전 연구단체 이슈메이커스랩(리더 Simon Choi)은 이번 소니픽처스 해킹사태 때 사용됐던 악성코드 샘플을 입수해 분석한 결과, 지난해 6.25사이버테러 당시 본격 사용했던 악성코드와 거의 일치하는 것으로 나타났다고 본지를 통해 세계 최초로 밝힌 바 있다.


 ▲ 소니픽처스 해킹과 6.25사이버테러 당시 사용된 악성코드 비교


이번 소니픽처스 해킹 때 사용된 악성코드는 하드파괴 악성코드명과 공유네트워크 전파 코드, 등록 서비스명, 생성시간 복제 파일 등이 지난해 청와대 해킹를 비롯해 언론사 하드파괴를 진행한 악성코드와 일치하는 것으로 분석됐다. 악성코드에 명령을 내리거나 취득한 정보를 수집 및 악성코드를 제어하는 C&C 서버주소만 다른 정도다.

 

위 악성코드 비교 분석 표와 같이 지난해 6.25사이버테러 때 발견된 하드파괴 악성코드명인 recdiscm.exe와 소니픽쳐스 해킹시 하드파괴 악성코드명의 경우 recdiscm32.exe 등으로 숫자만 다를 뿐 동일하며, 일부는 완전히 같다.  


공유네트워크로 전파하는 코드도 6.25사이버테러때 발견된 cmd.exe /q /c net share shared$ /delete와 소니픽처스 해킹 때 발견된 cmd.exe /q /c net share shared$ /delete와 일치하는 것으로 드러났다.


등록서비스명은 청와대 해킹때 발견된 RasSecruity, RasMgrp과 완벽하게 일치했으며, 생성시간 복제 경로도 calc.exe로 똑같았다.


이러한 이슈메이커스랩의 분석결과로 지난해 3.20 및 6.25사이버테러 때 사용했던 MBR 파괴 악성코드와 소니픽처스 해킹 때 사용한 악성코드가 동일조직 즉 북한 해커조직에 의해 사용된 것이라는 게 보다 분명해진 셈이다.


이와 관련 이슈메이커스랩의 리더 Simon 씨는 본지와의 인터뷰에서 “이번 소니픽쳐스 하드파괴 악성코드가 6.25 사이버테러 당시 언론사를 대상으로 유포된 하드파괴 악성코드가 거의 동일한 것으로 나타났다”며, “소니픽처스 해킹 뿐만 아니라 국내 피해사례에 대해서도 전면적인 조사와 대응이 필요한 시점”이라고 밝혔다.

한편, 이번 소니픽처스 해킹 악성코드와 지난해 6.25사이버테러 당시 사용된 악성코드가 동일하다는 사실을 세계 최초로 밝혀낸 이슈메이커스랩은 3.20 및 6.25사이버테러 공격주체, 즉 북한의 정찰총국의 실체를 최초로 밝혀낸 민간 사이버전 악성코드 전문추적그룹이다.
[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)