지난해 북한의 컴퓨터 시스템이 악성코드에 감염돼 해킹 피해를 당한 것으로 뒤늦게 알려졌다. 해당 악성코드는 정보를 유출하고 시스템을 조종하는 기능도 갖추고 있지만 자세한 피해 사항은 확인되지 않고 있다.

22일 보안업계에 따르면, 체코 보안팀 바이러스트레커(Virus Tracker)는 지난해 1월 30일부터 7월 31일까지 북한 IP의 악성코드 감염사례 분석 자료를 최근 홈페이지를 통해 공개했다.

바이러스트레커는 미국 보안업체 룩킹글라스(LOOKINGGLASS)가 체코에서 운영하는 봇넷 악성코드 추적 전문 보안조직이다. 바이러스트레커는 2012년 이후 20억 건의 악성코드 감염을 분석했다.

바이러스트레커는 2015년 1월 30일부터 7월 31일까지 북한 류경동 소재 IP를 사용하는 기기가 17차례 콘피커(Conficker B), 샐리티(Sality) 악성코드 감염됐다고 주장했다. 최근 경찰청은 SK네트웍스, 대한항공 등 대기업들이 지난 1월부터 악성코드에 감염돼 일부 정보가 유출됐으며 추적 결과 북한 류경동 소재 IP가 관련됐다고 밝힌 바 있다.

북한 시스템을 감염시킨 것으로 추정되는 악성코드는 PC, 서버 등에서 내부 정보를 유출하고 다른 악성코드를 설치해 시스템을 조종하거나 마비시키는 기능을 한다. 이에 따라 북한 시스템의 정보가 유출됐거나 파괴되는 피해를 당했을 가능성이 있다. 정체를 드러내지 않는 해커의 특성상 누가 북한 시스템에 악성코드를 감염시키고 해킹을 했는지는 확인하기 어려운 상황이다.

바이러스트레커 보고서를 분석한 권석철 큐브피아 대표는 “이번 사례는 북한도 봇넷 악성코드에 감염될 수 있다는 것을 보여준다”며 “게이트웨이 등 네트워크 통로부터 감염됐을 것으로 추정되는데, 내부망까지 감염됐는지 단정할 수는 없다”고 말했다.

그는 또 “해당 악성코드가 정보를 유출하고 다른 악성코드를 설치하도록 하는 가능을 갖추고 있어 정보유출 가능성도 있다”고 덧붙였다.

또 북한 시스템이 악성코드에 감염된 시기를 전후해 북한 웹사이트들이 마비됐던 것으로 알려져 관련성 여부도 관심의 대상이다.

바이러스트레커는 지난해 1월 30일 북한 시스템의 악성코드 감염을 확인했다고 설명했는데, 같은 해 1월 26일 조선중앙통신, 노동신문 등의 웹사이트가 마비된 바 있다. 또 7월 30일 북한 시스템 감염 사실이 확인됐는데, 8월 10일 노동신문 등 북한 주요 웹사이트가 마비됐다.

이에 대해 권석철 대표는 “악성코드 감염과 사이트 마비가 관련됐을 가능성은 있지만 단정하기는 어렵다”고 말했다.

[테크M=강진규 기자(viper@techm.kr)]