내부망 보안업데이트 관리서버, 해킹 추정
[천지일보=손성환 기자] 20일 14시경 특정 방송사와 은행의 전산망을 마비시킨 악성코드의 유포 경로가 유명 백신업체의 ‘내부망 업데이트 관리서버’일 가능성이 나오고 있다. 해커가 해당 서버의 관리자 계정을 탈취한 것으로 전문보안업체는 분석하고 있다.
정보보안 기업 안랩은 “특정 방송사, 금융사 등의 전산망을 마비시키는 데 사용된 악성코드 유포에는 외부망 IDC에 위치한 업데이트 서버가 아닌 기업의 내부망의 자산관리서버가 이용된 것으로 보인다”며 중간 분석 결과를 내놨다.
안랩은 “업데이트 서버라는 명칭은 통상적으로 SKT, KT, LGU+ 등 통신사 외부망의 IDC에 있는 업데이트 서버를 말한다”며 “이 서버가 해킹당한 것이 아니다”라고 밝혔다.
이어서 안랩은 “해커가 지능형지속공격(APT, Advanced Persistent Threat)으로 해당 기업 내부망에 설치된 업데이트 관리서버인 자산관리서버(APC)의 아이디와 비밀번호를 탈취한 것으로 추정한다”며 “이로 인해 APC와 연결된 PC들이 악성코드에 감염된 것으로 본다”고 설명했다.
이번 해킹에 사용된 악성코드는 ‘Win-Trojan/Agent.24576.JPF’인 것으로 드러났다. 이 악성코드에 감염되면 PC가 부팅되는 데 필요한 영역인 MBR(Master Boot Record)이 손상돼 부팅이 되지 않는다.
안랩은 “부팅이 되지 않고 논리 드라이브도 손상시켜 PC 내 문서 등의 데이터를 삭제한다”며 “윈도우VISTA·윈도우7의 경우 모든 데이터가 손상되고, 윈도우XP·윈도우2003서버의 경우는 일부가 손상된다”고 전했다.
다른 정보보안 기업인 하우리도 “악성코드가 자사 백신프로그램 ‘바이로봇’의 구성모듈 파일인 ‘othdown.exe’로 위장했다”고 밝혔다.
두 정보보안 기업은 V3 등 백신프로그램을 최신 버전으로 업데이트를 해서 추가적으로 피해가 발생하지 않도록 해야 한다고 권고했다. 업데이트는 기업뿐만 아니라 일반인도 할 것을 안랩은 권고했다.