악성코드 전용 보안장비, 정상적인 분석활동으로 확인
[서울=뉴스핌] 정윤영 기자 = 한국과학기술정보연구원(KISTI) 및 한국원자력안전기술원(KINS)의 단말기가 정보탈취형 악성코드인 '폼북'에 감염돼 국가 기반시설에 대한 추가 공격 가능성이 우려된다는 언론 보도에 대해 KISTI는 분석결과 사실이 아니라고 22일 밝혔다.
KISTI 과학기술사이버안전센터(S&T-CSC)는 국가사이버안전센터(NCSC)의 협조를 통해 해당 인터넷프로토콜(IP)에 대한 상세분석을 수행한 결과, 해당 IP는 한국항공우주연구원(KARI) 및 KINS에서 자체적으로 구축·운영하고 있는 악성코드 수집·분석 전용 보안장비인 '지능형 지속공격(APT) 대응 솔루션'인 것으로 확인됐다고 설명했다.
한국과학기술정보연구원(KISTI) 로고. [제공=KISTI] |
KISTI의 내부 시스템이 아닌 것은 물론, 일반 사용자 PC인 단말기가 악성코드에 감염됐다는 기사 내용도 사실과 다른 것으로 판명됐다.
KISTI 과학기술사이버안전센터는 KARI 및 KINS 보안담당자와 협력을 통해 APT 대응 솔루션의 '폼북' 악성코드 및 동적분석 결과자료를 기관으로부터 직접 제공받아 분석했다고 설명했다. 다크웹의 감염리스트에 기록된 악성코드 경유지 주소, 악성코드 설치일, 경유지 접속일시 등이 해당 APT 대응 솔루션의 실제 분석행위와 일치하는 것으로 확인됐다.
다크웹 등 외부에서 수집한 악성코드 감염리스트는 실제 악성코드의 감염여부와 상관없이 실행 시 전송된 정보를 토대로 작성되기 때문에, 정보의 정확성 및 신뢰도가 높지 않다.
특히 APT 대응 시스템, 허니팟, 샌드박스 등 악성코드 자체를 수집·분석하는 솔루션, 기술 등이 지속적으로 확대됨에 따라, 실제 악성코드 감염이 아닌 분석환경에서 실행된 악성코드 전송정보일 가능성이 높기 때문에 오탐률이 높아질 수밖에 없는 상황이다.
KISTI는 이러한 외부 감염리스트에 대해서는 해당 시스템의 유형, 감염여부 등에 대해 면밀한 조사·분석·검증 과정이 선행되어야만 감염리스트 정보에 대한 신뢰성을 확보할 수 있다고 밝혔다.
yoonge93@newspim.com