북한이 새 변종 악성코드를 사용해 핵심 방위산업체와 에너지 회사들을 공격했다고, 미 국토안보부가 밝혔다. 

악성 코드를 유포해 정보를 빼내고, 악성 웹 문서를 미끼로 접근해 해당 전산망에 정보 수집용 악성 코드를 심었다는 분석이다. 

미국의소리 (VOA)에 따르면 미국 국토안보부(DHS) 산하 사이버안보·기반시설안보국(CISA)은 19일, 북한 정부가 ‘블라인딩캔(BLINDINGCAN)’이라는 이름의 원격 접속 방식 변종 멀웨어를 사용한 것을 발견했다고 밝혔다.

CISA는 이날 공개한 ‘멀웨어 분석 보고서(MAR)’를 통해 이같이 밝히면서  ‘원격 접속 트로이목마(Remote Access Trojan)’는 멀웨어에 쓰이는 바이러스 형태의 하나로, 공격 대상 전산망에 원격으로 일종의 비밀 통로를 만드는 것이 특징이라고 설명했다.

보고서는 미 정부가 ‘히든 코브라’로 부르는 북한 해커들이 올해 초 이 같은 원격 접속을 위한 악성 코드를 유포해, 핵심 방위산업체와 에너지 기술 회사의 정보를 빼냈다고 설명했다. 

또 방산업체 등 정부 계약업체들을 대상으로 구직 공고 등으로 위장한 악성 웹 문서를 미끼로 접근해 해당 전산망에 정보 수집용 악성 코드를 심었다고 밝혔다.

분석 과정에 함께 참여한 FBI는 해커들이 우회 서버(proxy server)를 이용하는 방식으로 표적 전산망에 대한 접속을 유지해 왔을 가능성이 높다고 설명했다.

보고서는 히든 코브라와 연관된 멀웨어의 특징으로 ‘iconcache.db’라는 파일명을 제시하고, 이 파일이 변종 멀웨어를 실행하는 역할을 한다며 사용자들의 주의를 당부했다.

워싱턴의 민단단체인 민주주의수호재단의 매튜 하 사이버 안보 선임연구원은 20일 VOA에, 최근 몇 주간 사이버 보안 회사들로부터 전 세계 특정 목표를 대상으로 한 다양한 사이버 공격이 보고돼 왔다고 지적했다.