미국 국토안보부(DHS) 산하 사이버안보·기반시설안보국(CISA)은 19일(이하 현지시각) 북한 정부가 '블라인딩캔(BLINDINGCAN)'이라는 이름의 원격 접속 방식 변종 멀웨어를 사용한 것을 발견했다고 밝혔다고 미국의소리방송(VOA)이 21일 전했다.
보고서에 언급된 '원격 접속 트로이목마(Remote Access Trojan)'는 멀웨어에 쓰이는 바이러스 형태의 하나로, 공격 대상 전산망에 원격으로 일종의 비밀 통로를 만드는 것이 특징이다.
보고서는 미 정부가 '히든 코브라'로 부르는 북한 해커들이 올해 초 이 같은 원격 접속을 위한 악성 코드를 유포해, 핵심 방위산업체와 에너지 기술 회사의 정보를 빼냈다고 설명했다.
또 방산업체 등 정부 계약업체들을 대상으로 구직 공고 등으로 위장한 악성 웹 문서를 미끼로 접근해 해당 전산망에 정보 수집용 악성 코드를 심었다고 밝혔다.
보고서에 공개된 악성 코드가 담긴 문서에는 미 방산업체 보잉의 상표와 항공기 이미지가 포함돼 있으며, 인사 담당자가 해당 문서를 보낸 것처럼 꾸며 피해자가 문서를 실행하도록 유도했다.
분석 과정에 함께 참여한 FBI는 해커들이 우회 서버(proxy server)를 이용하는 방식으로 표적 전산망에 대한 접속을 유지해 왔을 가능성이 높다고 설명했다.
미국 사이버 사령부는 20일 이번 북한의 원격 접속 변종 멀웨어 포착과 관련해 사이버 담당 정부 부처들과 공조를 통해 북한의 사이버 행위로 밝혀진 악성 멀웨어 표본을 공개해 왔다고 밝혔다.
국방부, CISA, FBI간 공조를 통해 최근 7건의 북한 연관 변종 멀웨어를 발견했다면서 해외로부터의 사이버 위협에 대응하기 위한 조치를 사령부 차원에서 이어가고 있다고 설명했다.
박희준 글로벌이코노믹 기자 jacklondon@g-enews.com