국내 중소기업 Y사의 웹사이트를 해킹해 제로데이 공격코드(악성 WMF파일)를 유포한 장본인은 중국 해커(黑客)일 가능성이 높은 것으로 전해졌다.

4일 보안업체 지오트에 따르면, 이날 국내 유포된 제로데이 공격코드 샘플을 분석하던 중 해커가 샘플 분석 PC를 이미 감염된 PC로 오인해, 접속을 시도했던 것으로 밝혀졌다.

이날 제로데이 공격코드를 통해 사용자 PC에 설치된 악성파일은 해커가 쉽게 감염된 PC에 찾아 들어와 마우스를 조작할 정도로 위력적이었다는 게 지오트측 설명이다. 원격지에서 자신의 PC인 것처럼 마음대로 조작할 수 있는 해킹 프로그램(백도어)이었던 것.

이 과정에서 지오트측이 즉각 노트패드(Note Pad)를 이용해 해커와의 대화를 시도한 결과, 해커는 자신의 중국의 24살 대학생이라고 소개했다.

또 이날 제로데이 공격으로 사용자 PC에 설치된 최종 파일은 'PC쉐어'라는 프로그램으로, 골드선(Goldsun; 중국내 해커그룹으로 추정)에서 제작된 해킹 프로그램이라고 소개했다.

이 해커에 따르면, 이미 중국내 악성 WMF파일 변종들을 자동으로 제작해주는 WMF제작툴까지 공유하고 있는 것으로 알려졌다.

지오트 관계자는 "악성코드 샘플을 PC에 실행시킨 지 얼마안돼 누군가에 의해 마우스가 움직이는 것을 보고 연구원 모두 놀랐다"며 "중국 해커들이 WMF 제작툴까지 공유하고 있다면 조만간 제로데이 취약점을 이용한 웹 해킹 공격이 국내에서 크게 확산될 가능성도 없지 않다"고 지적했다.