北 조선중앙통신 홈피서 악성 SW 배포…감염되면 어떻게?

조선중앙통신 홈페이지

미국 컴퓨터보안전문가들이 북한 관영 조선중앙통신의 홈페이지에서 방문자의 활동을 감시할 수 있는 악성 소프트웨어(맬웨어)가 배포되고 있다며 조심할 것을 당부했다.

미 경제전문 유력 웹사이트 비즈니스인사이더는 13일 컴퓨터보안 전문가들의 말을 인용해 조선중앙통신 웹사이트에서 다운로드된 뒤 방문자 컴퓨터에 설치되는 ‘FlashPlayer10.zip’ 파일이 악성 소프트웨어인 것으로 드러났다고 보도했다. 이 압축파일은 두 개의 파일로 구성돼 있는데, 두 파일 모두 악성 코드인 것으로 분석됐다.

‘플래시 플레이어’는 인터넷 브라우저를 통해 동영상을 보거나 쌍방향 그래픽을 구현하기 위해 사용되는 것으로 조선중앙통신 웹사이트는 이 소프트웨어를 업데이트하는 것처럼 가장해 사용자 컴퓨터에 악성 소프트웨어를 감염시키고 있다는 것이다.

방문자 컴퓨터에 이것이 설치되면 사용자가 어떤 활동을 하는지를 지속적으로 감시해 제작자에게 알리는 것으로 추정된다. 세계 최정상급 컴퓨터 백신업체 비트디펜더의 보그단 보테자투 수석분석가는 비즈니스인사이더에서 “일단 이 악성 소프트웨어는 사용자 인터넷 브라우저에서 암호를 빼내는 것으로 보이는데 다른 기능이 더 있는 것으로 판단되어 추가 분석이 필요하다”고 말했다.

조선중앙통신 웹사이트는 표적 공격의 일종인 ‘워터링 홀(Watering Hole·물웅덩이)’ 공격의 성격을 띠고 있다. 자신들이 표적으로 삼은 공격 대상이 방문하는 사이트를 미리 감염시킨 뒤 피해자 컴퓨터에 악성 소프트웨어를 설치하는 방식이다. 컴퓨터전문지 아스테크니카는 “북한 지도자의 활동을 지켜보고 싶어 하는 이들에게 공격을 한 셈”이라고 말했다.

한편 전문가들은 “해당 악성 소프트웨어는 특정 기사를 보는 방문자에게만 다운로드되게 할 수 있다는 점에서 대상을 한정해 감염시키는 게 특징”이라며 “2012년 12월에 제작된 것으로 보이지만 언제부터 조선중앙통신 웹사이트를 통해 배포되기 시작했는지는 명확하지 않다”고 전했다.

유덕영 기자 firedy@donga.com