북한 정찰총국이 삼성그룹을 겨냥해 제작한 것으로 의심되는 악성코드에는 정보추출과 전달에 쓰이는 인터넷주소(ip)가 2개 있는 것으로 확인됐다. 보안 업계 전문가들은 이 주소를 통해 북한이 공격을 시도했을 가능성을 염두에 두고 있다.
조선비즈는 25일 국내 화이트해커(white hacker·해킹 범죄를 막는 보안전문가)에게 문제가 된 악성코드 분석을 의뢰했다. 이 화이트해커는 국내외 해킹방어대회에서 수상하고, 국군사이버사령부와 함께 일한 경력이 있다. 그는 사안이 민감하다는 이유에서 익명을 요청했다.
이 화이트해커는 해당 악성코드의 샘플을 구해 코드 분석 전문 사이트 두 곳(바이러스토탈·페이로드 시큐리티)에서 이를 분석했다. 이 악성코드는 삼성의 사내 메신저 프로그램 ‘마이싱글’의 설치파일과 같은 이름(파일명-mySingleMessenger.exe)을 갖고 있다.
분석 결과에 따르면, 악성코드는 2개의 정보전달용 ip를 갖고 있었다. 악성코드가 스파이라면, 공격자인 본부와 연락을 주고받는 연락 수단이 이 ip인 것이다.
화이트해커는 "평소 북한이 경유 목적으로 사용하던 해외 ip인지 확인된다면 북한에 따른 피해가 있었는지 파악하는 정확한 증거가 될 것"이라며 "이에 대한 정보는 국정원이나 사이버사령부 등이 갖고 있을 것으로 본다"고 말했다.
이 악성코드의 대표적인 위험요소로는 원격 감청, 윈도 운영체제(OS) 계정 탈취 등이 꼽혔다. 또 원격으로 조종해 컴퓨터 내 서비스를 켜고 끌 수 있고, 응용프로그램을 외부에서 끌어들여와 강제로 이용자 기기에 설치할 수 있다. 이와 함께 다른 이용자 인증 수단을 써 스스로 활동을 숨기는 능력도 갖춘 것으로 파악됐다. 악성코드가 공격 대상으로 삼은 표적은 인텔386 이후의 모든 프로세서를 쓰고 있는 기기였다.
삼성은 이용자들이 기존 메신저 프로그램을 접속하면 자동으로 새 프로그램을 설치하도록 했었다. 메신저 개발을 담당한 IT서비스 계열사 삼성SDS관계자는 "이 때문에 외부에서 간섭이 있긴 어려웠을 것"이라고 했다.
그러나 사이버 보안 전문가들은 "사내 메신저일수록 외부 공격에 취약한 경우가 많다"고 강조했다. 사내 메신저 자체가 내부적으로만 쓰다보니, 사용자가 많은 외부용 메신저보다 보안적으로 단련되지 않은 경우가 많다는 것이다. 바이러스토탈의 분석 결과에 따르면, 시중에 나온 백신 프로그램 55개 중 7개 만이 이 악성코드를 탐지했다.
삼성 관계자는 이날 오전 "현재 파악하기로는 악성코드 자체가 존재하지 않지만, 내부적으로 더 세밀하게 조사하고 있다"고 말했다.