"KISTI 등 국가기관 단말 '정보탈취' 악성코드 감염 사실 아냐"

2020-07-22 16:41
"악성코드 전용 보안장비의 정상적 분석활동"

한국과학기술정보연구원(KISTI)과 한국원자력안전기술원(KINS)가 내부 단말이 정보탈취형 악성코드 '폼북'에 감염됐다는 보도는 사실이 아니라고 밝혔다. 악성코드에 감염된 것이 아니라 내부 악성코드 대응 솔루션이 작동한 결과를 감염으로 오인한 것이라는 설명이다.

22일 KISTI 과학기술사이버안전센터(S&T-CSC)는 정보탈취형 악성코드 '폼북'에 감염됐다고 지적된 단말의 인터넷 프로토콜(IP) 분석결과를 공개했다.

일부 언론에서는 지난 20일 다크웹 분석업체 에스투더블유랩의 분석결과를 통해 국내 290여곳을 포함한 세계 1만여개 기업과 기관이 정보탈취형 악성코드 '폼북'에 감염됐다고 보도한 바 있다. 해당 목록에 포함된 기업과 기관에는 KISTI를 포함해 KINS, 삼성SDS, 현대오토에버 등이 포함됐다.

이후 S&T-CSC는 한국항공우주연구원(KARI)과 KINS와 협력해 폼북에 감염된 IP를 조사했다. 조사 결과 해당 IP는 KARI와 KINS가 자체적으로 구축해 운영 중인 악성코드 수집 분석 전용 보안장비인 APT 대응 솔루션인 것으로 확인됐다.

해당 APT 대응 솔루션은 이메일의 첨부 파일을 통해 전송되는 악성코드를 실시간으로 수집·분석·차단하는 전용 보안장비다. 해당 기관으로 유입된 이메일의 첨부파일에 포함된 '폼북' 악성코드를 수집해 분석하는 솔루션이다. 분석 작업 중 악성코드 내 C2 서버주소에 접근하는 과정에서 다크웹 악성코드 감염 리스트에 해당 IP주소가 등록됐다는 것이다.

S&T-CSC는 다크웹과 같은 외부에서 수집한 악성코드 감염리스트만으로는 실제 악성코드 감염 여부를 정확히 확인하기는 힘들다는 설명도 덧붙였다. 해당 리스트는 실제 감염 결과가 아닌, 악성코드를 분석하는 솔루션의 정보일 가능성이 많다는 것이다.

S&T-CSC 측은 "외부 감염리스트는 정보의 정확성과 신뢰도가 높지 않다"며 "외부 리스트를 기반으로 해당 시스템의 유형과 감염여부에 대해 면밀하게 조사해야 정확한 감염 여부를 확인할 수 있다"고 설명했다.
 

[사진=게티이미지뱅크 제공]