한국과학기술정보연구원(KISTI)이 22일 “KISTI 및 한국원자력안전기술원(KINS) 단말기가 악성코드 폼북에 감염돼 추가 공격 가능성이 우려된다는 보도는 사실이 아니”라고 밝혔다.
폼북은 정보탈취형 악성코드로 이에 감염되면 해커는 PC에 입력하는 정보를 그대로 탈취하거나 브라우저에 저장된 이메일 등 계정 정보도 가져갈 수 있다.
이날 KISTI는 보도자료를 통해 “과학기술사이버안전센터가 국가사이버안전센터의 협조를 통해 해당 IP에 대한 상세분석을 수행한 결과, 한국항공우주연구원(KARI) 및 KINS에서 자체 구축·운영하는 악성코드 수집·분석 전용 보안장비 ‘APT 대응 솔루션’임이 확인됐다”고 설명했다.
KISTI가 KARI 및 KINS와 협력을 통해 APT 대응 솔루션의 폼북 악성코드 및 동적 분석 결과자료를 기관으로부터 직접 제공받아 분석한 결과 다크웹 감염리스트에 기록된 악성코드 경유지 주소, 설치일, 접속일시 등이 해당 APT 대응 솔루션 실제 분석행위와 일치한다고 밝혔다.
APT 대응 솔루션이 해당 기관으로 유입된 악성코드를 수집·분석하기 위해 실행하고, 악성코드 내 C2 서버주소에 대한 접근 시도 과정을 거쳐 다크웹 악성코드 감염 리스트에 해당 IP주소가 등록된 것으로 분석됐다는 것이 KISTI 설명이다.
또 KISTI는 “폼북 악성코드가 비번하게 해당 기관에 유입된 것을 발견했고 이로 인해 다크웹에 기재된 악성코드 최초 설치일과 최종 접근일에 차이가 발생한 사실도 확인했다”고 했다.
이어 “다크웹 등 외부에서 수집한 악성코드 감염리스트는 실제 감염여부와 상관 없이 실행 시 전송된 정보를 토대로 작성돼 정확성 및 신뢰도가 높지 않다”며 “해당 시스템의 유형, 감염여부 등에 대해 면밀한 조사·분석·검증 과정이 선행돼야만 감염리스트 정보에 대한 신뢰성을 확보할 수 있다”고 강조했다.
