보안업계 관계자 “’3·20’이나 ‘6·25’ 공격 때와는 다른유형

국내 방송·신문을 포함한 언론사, 포털업체, 광고회사 같은 기업 40여 곳의 내부 직원 계정을 노린 악성코드가 발견돼 관계 기관이 조사에 나섰다.

26일 한국인터넷진흥원(KISA)과 정보보안 기업 잉카인터넷에 따르면 국내 언론사, 포털업체, 광고회사를 포함한 기업 40여 곳의 내부 관리자 계정을 수집하는 악성파일 숙주가 국내 특정 웹 사이트 2곳에서 유포 중인 것이 발견됐다.

악성코드는 24일 새벽에 제작돼 국내에서 유포돼 온 것으로 분석됐다.

26일 오후 8시 29분 현재까지 실제 피해를 본 사례는 발견되지 않았다.

다만 계정 탈취가 일어났다 해도 공격자가 해당 사이트의 취약점을 찾아 전산망 마비 같은 실제 공격행위를 하기까지는 몇 개월의 기간이 걸릴 수 있어 실제 피해를 확인하려면 시간이 필요할 것으로 보인다.

KISA 관계자는 “악성파일을 발견하는 즉시 공격 대상이 된 기관과 기업에 안내문을 보내고 주의를 당부했다”고 설명했다.

KISA는 현재 계정 탈취에 사용될 수 있는 해당 기관의 C&C서버를 차단하고 악성코드 분석작업을 하고 있다.

이번에 발견된 악성파일은 마치 디지털 카메라의 사진 이미지 파일처럼 위장한 채 국내 시민단체 사이트와 언론사 사이트 1곳씩으로부터 전파됐다.

확장자는 JPG 이미지 파일이지만 사용자 컴퓨터에는 EXE 형태의 실행파일로 감염되어 동작하게 된다.

아울러 다른 웹 사이트에서 GIF 이미지 파일로 위장한 다수의 악성파일 내려받기(다운로드)도 시도하는 것으로 드러났다.

잉카인터넷 관계자는 “악성파일은 ‘3·20’이나 ‘6·25’ 사이버 테러와는 다른 유형”이라며 “기본적으로 온라인 게임 계정 탈취가 목적이지만 보안제품의 정상작동을 방해하는 작업도 한다”고 진단했다.

이 관계자는 “2005년부터 온라인 게임 계정 탈취를 노리는 악성파일이 다수 유포되고 있고 이번 악성파일은 관리자 계정을 빼내 사이버 공격을 할 수도 있다”며 기업들에 주의를 당부했다.

연합뉴스