아울러 공격자가 네이트·싸이월드 외에 국내외 기업들을 대상으로 정보 유출 공격을 시도했을 가능성도 제기되고 있어 주목된다.
이들 코드를 수집한 분석가는 "이들 악성코드가 SK컴즈에서 발견됐던 코드와 소스가 같다는 점에서 동일한 해커에 의해 제작된 것으로 확인됐다"고 말했다. 특히 코드 제작 시기가 지난해 9월로 명시돼 있다는 점에서 이를 전후로 악성코드가 제작돼 동일한 제작자에 의해 버전 업그레이드가 지속돼왔을 가능성이 높다는 지적이다. 다만 그는 "파일 제작시기를 알려주는 타임스탬프가 변조됐을 가능성도 없지 않다"고 전제했다.
이들 도메인 가운데 SK컴즈 공격에 사용된 것으로 추정되는 'nateon.XXXX.com', 'update.alyac.XXX' 등은 각각 올해 5월과 작년 9월 중국 등 해외에서 도메인 등록이 이루어졌다.
이스트소프트의 무료 백신 알약 업데이트 서버를 가장한 'update.alyac.XXX' 도메인의 경우, 이 회사의 서울 본사 주소지로 등록돼 있지만 정작 이 회사와는 무관한 도메인으로 전해졌다. 위장 등록이라는 얘기다. 이스트소프트측은 현재 해당 도메인등록을 대행한 해외기관에 실 등록자 정보를 요청한 상태다.
이 시각 인기 뉴스
경찰은 최근 공격자가 네이트 해킹 악성코드 유포에 알툴즈 업데이트 프로그램의 취약점을 악용했다는 단서를 잡고 제작사인 이스트소프트측을 압수수색한 바 있다.
이를 감안하면 기업들의 보안 감시시스템을 보다 정교하게 속이기 위해 해커가 알툴즈 업데이트 프로그램의 취약점에 위조된 알약 업데이트 서버 도메인 주소까지 악용한 것 아니냐는 추정도 나오고 있다.
보안업계에서는 해커가 이들 악성코드와 C&C서버 체계를 치밀하게 준비돼왔다는 정황을 비쳐 단순히 SK컴즈만을 대상으로 공격을 시도하지는 않았을 것이라는 관측도 내놓고 있다. 실제 이번에 수집된 악성코드가 확인된 것은 SK컴즈 사태 이후다. 해커가 악성코드를 제작하면서 난독화 과정을 통해 기존 백신 프로그램으로는 탐지가 어려웠기 때문이다.
보안업계의 한 전문가는 "이 악성코드가 국내뿐 아니라 여러 곳의 해외국가들에서도 배포된 정황이 포착됐다"며 "이를 감안하면 국내 다른 기업은 물론 해외 국가들이 이와 비슷한 공격을 받았을 가능성도 배제할 수 없다"고 밝혔다.
