보안위협 (악성코드)/악성코드 소식

메르스 정보 가장 악성코드의 북한 연계 소동

쿨캣7 2015. 6. 13. 00:09
728x90
반응형


2015년 6월 12일 금요일

메르스로 어린이 집이 쉬어서 집에서 애 보고 있는데

메르스 정보로 가장한 악성코드를 주의하자는 기사가 계속 떴습니다.




어제부터 북한 IP로 접속하는 메르스 관련 내용으로 가장한 악성코드가 있었다는 얘기는 들었지만 본적이 없어 궁금했었습니다.


처음 북한 IP 접속 얘기를 들었을 때 '북한 IP ? 우리나라에서 접속이나 될까 ?' 였습니다.

확인해보니 최초 샘플은 6월 초에 접수되었지만 이미 V3에서는 2012년 엔진에서 진단되고 있었습니다.

더욱 이상한 생각이 들었습니다.


아니 북한에서 만든거면 접속도 잘 안될 듯한 주소에 국내에서 가장 많이 사용되는 백신 중 하나인 V3에서 이미 진단되는걸 배포해 ?!

미친걸까 ... 실수한 걸까.. 아니면 누군가 북한한테 뒤집어 씌우려고 한건가... 등등 여러 생각이 나더군요.


악성코드 분석을 어느 정도 마무리한 밤 10시 쯤 KBS에서 단독 기사를 냈습니다. 


- [단독] ‘메르스 악성코드 이메일’ 북한 연계 포착 (2015년 6월 12일, KBS)

http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A


하지만, 단독이라고 얘기하지만 이미 보안뉴스에 6시 5분에 비슷한 내용이 기사로 올라갔습니다.

(공중파에서 단독 기사 중에 이미 전문지에서 공개된 내용도 간혹 있습니다.)




- 메르스 사칭한 악성파일 유포 확산...북한 IP와의 통신 정황 포착 (2015년 6월 12일, 보안뉴스)

http://www.boannews.com/media/view.asp?idx=46600&kind=1


물론 실제 보도는 KBS가 빨랐지만 홈페이지에 늦게 올라갔을 수도 있습니다.


이런 기사가 블로그나 전문지로 나가는 것과 공중파 다뤄지는건 파장이 다를 수 밖에 없습니다

이거 뭔가 준비해야하는거 아닌가하는 생각이 들었죠. 


회사에 정보 공유한 후 밤 10시 23분에 연합뉴스가 2보로 올라가면서 황당한(?) 결론이 나왔습니다.



- '메르스 공포' 노린 스미싱·악성코드 등장 (2015년 6월 12일, 연합뉴스)

http://www.yonhapnews.co.kr/bulletin/2015/06/12/0200000000AKR20150612084152017.HTML?input=1195m



종합 2보에는 아래 내용이 추가되었습니다.



'한편 유포 경로가 불분명한 문서 위장 악성코드 중에는 접속 시 북한 IP로 연결되는 경우가 있어 일각에서는 북한의 소행이라는 의혹이 제기됐다.


그러나 KISA 확인 결과 이 악성코드는 한 보안업체에서 교육용으로 만들어 교육생들에게 배포한 것으로 확인됐다. 


이후 알 수 없는 경로로 전 세계 보안 전문가들이 항상 주시하는 유명 웹사이트에 해당 악성코드가 올라오면서 오해가 빚어진 것으로 KISA는 파악하고 있다. 교육생 중 한 명이 올렸을 가능성이 큰 상황이다.'



어떤 보안업체에서 교육용으로 만들어 교육생들에게 배포했었다고 합니다. 들리는바로는 악성코드 생성 프로그램(Generator, Constructor)으로 만들었다고 합니다. 그래서 안랩 V3 에서는 2012년 엔진에서 진단되고 있는게 아닐까 하는 생각도 드네요. 교육생 중 한명이 해당 샘플을 바이러스토털(Virustotal)에 올렸고 해당 샘플이 보안 업체에 공유되면서 한바탕 소동이 있었나 봅니다.


대한민국 정보보안에서 북한 이슈는 언젠가 부터 매우 크게 되었습니다. 그러다보니 북한 IP가 들어간 악성코드가 크게 주목 받은게 아닐까 합니다. 


그리고 몇몇 보안업체 교육 때 수강생들에게 실제 악성코드 샘플로 교육하는게 맞는가 하는 고민도 필요해 보입니다. 윤리적인 측면에서 교육을 위해 새로운 악성코드를 만드는건 더욱 고민해 봐야 할 듯 합니다. 참고로 저는 실제 악성코드를 보여주기도 하지만 수강생들에게 주지는 않습니다. 분석 교육의 경우 악성코드 기법 중 일부만 담았거나 실제 악성코드 기능은 살짝 피한 (다운로드를 시도하지만 실제로 없는 주소라거나 자동실행되도록 하지만 파일 이름이 다르거나 등) 별도 프로그램을 만들어 제공합니다.



---


추가)


보안뉴스에서 교육용으로 만든거 최종 확인해 줬네요. 


- 교육용으로 제작된 메르스 악성파일 사태 일파만파 (보안뉴스, 2015년 6월 13일)

http://www.boannews.com/media/view.asp?idx=46606



















728x90
반응형