[헤럴드경제= 정태일 기자]지난 25일 정부 웹사이트를 공격한 6ㆍ25 사이버테러 주체가 최근 4년간 국내 주요 해킹을 일으킨 다크서울이라는 분석이 제기됐다.

보안 전문기업 시만텍은 대한민국 정부 웹사이트를 겨냥한 디도스(분산서비스거부) 공격 가운데 하나가 ‘다크서울(DarkSeoul)’ 공격집단 및 ‘카스토브 트로이목마(Trojan.Castov)’와 관련이 있다고 27일 밝혔다.

특히 시만텍은 다크서울이 6ㆍ25 사이버 공격을 포함해 지난 4년간 국내에서 발생한 주요 공격을 주도해 왔다고 강조했다. 지난 3월 국내 주요 은행과 방송사 전산망을 마비시킨 3ㆍ20 공격 역시 다크서울과 관련 있다고 설명했다.

시만텍은 다크서울 공격 특징으로 ▷국내 주요 기관 및 시설 조직적 다단계 공격 ▷하드 디스크 데이터 삭제 ▷역사적으로 중요한 날짜에 실행되도록 설정된 디도스 공격▷정치적 성향 문구로 디스크 섹터 덮어쓰기 ▷합법적인 제3자의 소프트웨어 업데이트 이용 ▷특정 암호화 및 난독화 방식 이용 ▷유사한 명령제어(Command & Control) 구조 이용 등을 꼽았다.

현재 다크서울 배후 집단으로 일부에서는 북한을 지목하고 있다. 하지만 시만텍은 다크서울이 정치적 동기에 기인하고 있고, 사이버사보타주(전산 파괴공격)에 필요한 금융 지원을 받고 있는 것으로 의심되는 만큼 앞으로도 다크서울의 공격이 지속될 수 있다고 경고했다.

윤광택 시만텍코리아 이사는 “국가 규모의 사이버사보타주 공격은 매우 드물며, 기존에 알려진 국가 규모의 사이버사보타지 공격으로는 ‘스턱스넷’ 및 ‘샤문(Shamoon)’ 공격을 들 수 있다”며, “하지만 다크서울은 수년간 주요 기관 및 시설에 피해를 입힐 만큼 독보적인 공격 능력을 갖추고 있다는 점에서 지속적인 주의와 대응태세가 요구된다”고 강조했다.

killpass@heraldcorp.com