지난달 20일 국내 방송·금융기관 전산망을 마비시킨 '3·20 사이버 테러'의 원인이 트로이목마 일종인 '다크서울'(Dark Seoul)의 변종이라는 주장이 제기됐다.

글로벌 보안업체인 체크포인트는 3일 서울 삼성동 오크우드 호텔에서 열린 기자간담회에서 사건 당일 이스라엘 본사에서 이같은 보고를 받았다고 밝혔다.

지난해 발견된 '다크서울'은 백신 프로그램으로 위장해 윈도 같은 컴퓨터 운영체제에 침입하는 방식으로 작동한다. 정해 놓은 날짜가 되면 활동을 시작해 서버 컴퓨터의 MBR(부팅영역)를 파괴하기 때문에 사전 탐지가 어려운 것이 특징이다.

체크포인트 코리아의 박성복 지사장은 "정부에서 공식 발표를 내놓지 않아 단정할 수 없지만 내부 클라우드 모니터링 시스템을 활용해 분석한 결과로는 변형된 형태의 다크서울이 가장 유력하다"며 "이같은 유형의 악성코드는 해외에서는 제법 알려졌지만 국내에는 아직 생소하다"고 말했다.

한편 정부 합동대응팀은 '3·20 사이버 테러'로 피해를 당한 서버·PC에서 총 60종의 악성코드가 나온 것으로 집계됐다고 이날 밝혔다. 이번 테러로 방송·금융 기관 6개사의 서버, PC, ATM 등 4만8000여대가 손상을 입었다고 덧붙였다.

이들 악성코드 대부분은 감염 PC의 시스템영역을 파괴하는 기능을 갖고 있으며 이중에서 수십종은 미국 등 해외에서 유입된 것으로 전해졌다.