울지않는벌새 : Security, Movie & Society

북한(North Korea) IP가 포함된 메르스(MERS) 악성코드 해프닝 소식 (2015.6.13)

벌새::Security

KBS 뉴스를 통해 최근 이슈가 되고 있는 메르스(MERS) 감염과 관련하여 북한에서 제작된 것으로 추정되는 악성코드가 발견되었다는 보도가 있었습니다.

보도 영상을 확인해보면 "(공지) 중동호흡기증후군(MERS) 감염예방 지침"이라는 제목으로 발송된 이메일에 포함된 "메르스_병원및환자리스트.docx.exe" 첨부 파일을 통해 유포가 이루어지고 있는 것처럼 보도되고 있습니다.

이를 통해 실행시 북한에 위치한 "175.45.178.20:443" IP 주소로 통신을 시도하는 동작을 확인할 수 있으며, 분석 당시에는 추가적인 정보 유출은 없었다고 보도되었습니다.

하지만 보도가 나간 후 해당 악성 파일은 국내 모 보안 업체에서 내부 교육용으로 제작된 것으로 교육생이 2015년 6월 3일경 바이러스토탈(VirusTotal) 온라인 서비스에 업로드를 하면서 국내 보안 업체의 탐지에 포착되어 이슈가 발생한 것이라는 후속 보도가 있습니다.

 

즉 국내에서 제작된 교육용 악성 파일 내부에 조작된 북한 IP 주소를 추가하여 마치 북한에서 제작한 것처럼 외형을 갖추었으며, 최근 사회적 이슈가 되는 메르스(MERS) 감염과 관련된 파일명을 사용하게 되었다는 취지입니다.

 

문제는 이런 속사정을 알지 못하던 KBS 및 일부 언론에서는 추가적인 가공을 통해 이메일을 통해 특정 표적을 향해 악성코드를 유포하는 것처럼 영상을 제작하여 많은 이들의 시선을 사라잡는데 성공한 것 같습니다.

실제 북한에서는 위와 유사한 방식으로 예전부터 꾸준한 사이버 첩보(Cyber Espionage) 활동을 수행하고 있기에 민감하게 반응한 측면이 있지만, 이번처럼 오해를 유발한 악성코드 해프닝으로 또 다른 불신을 만들 수도 있다는 점도 간과하면 안될 것으로 생각됩니다.