보안 업데이트 서버에 잠복.. 시차 두고 공격

최연진기자 2013. 3. 20. 21:31
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

■ 어떻게 해킹했나또 시간차 공격 벌이면 추가 다운사태 가능성금융기관·공영방송, 허술한 보안도 문제

아주 정교한 공격이었다. PC이용자들이 일상에서 자주 활용하는 프로그램 업데이트 서버에 미리 악성코드를 심어 잠복시켰다가, 업데이트 과정을 통해 PC로 들어가 원격명령을 통해 파괴활동을 개시했다. 개인해커의 소행으로 보기 힘든, 상당히 장기간 계획된 조직적 공격이라는 게 전문가들의 분석이다.

방송통신위원회와 보안업계 관계자들의 말을 종합해보면 이번 악성코드는 사전 잠복과 시간차 공격을 이용한 '신종 웜바이러스'로 알려졌다. 공격패턴도 과거와는 다른 방식이었다.

해커가 먼저 노린 곳은 업데이트 관리서버(PMS). 운용체계(OS)나 백신 등을 업데이트할 때 접속하는 곳이다. 해커는 미리 PMS에 침투해 악성코드를 심어놓았고, 이 악성코드는 업데이트 과정을 통해 방송사와 은행 전산망으로 흘러 들어갔다는 것이다.

방통위는 PMS가 어느 소프트웨어 업체의 것인지는 밝히지 않았지만, 보안전문가들은 피해를 당한 방송사에서 자체 운영하는 백신용 PMS를 통해 악성코드가 퍼졌을 가능성을 제기하고 있다. 이와 관련, 보안전문업체 NSHC는 백신 업데이트에 관련된 apcruncmd.exe, othdown.exe, v3lite.exe 등의 파일을 차단하라고 권고했는데, 이 파일들은 안랩 백신인 'V3'와 하우리의 백신'바이로봇'과 관련 있는 것들 이어서, 이들 유명 백신업체의 PMS가 뚫린 것 아니냐는 관측을 낳고 있다.\

이날 현장조사를 했던 보안전문가 권석철 큐브피아 사장은 "해커가 LG유플러스의 통신망을 먼저 해킹해 망 관리 리스트를 빼낸 뒤 이를 토대로 백신업체 PMS에 악성코드를 심었다"고 주장했다. 이에 대해 LG유플러스 관계자는 "해킹 시도가 있었으나 바로 차단했고 망 관리 리스트는 빠져나가지 않았다"고 부인했다.

방송사와 은행 전산망 및 PC로 흘러 들어간 악성코드는 곧 바로 활동을 개시하지 않았다. 보안업체 C사 관계자는 "일정기간 잠복해 있다가 해커의 명령서버(커맨드서버)로부터 지령이 내려오자 시한폭탄처럼 특정 시점에 파괴활동을 동시에 시작했다"고 말했다. 그게 바로 20일 오후 2시 무렵이었고, 방송사와 은행 전산망은 속절없이 무너지고 말았다. 상당히 치밀하게 준비된 조직적 해킹이었음을 보여주는 대목이다.

추가감염 및 추가피해 가능성도 제기된다. 만약 악성코드가 더 심어져 있고 시차를 두고 파괴명령이 내려진다면, 2차 마비사태가 벌어질 수 있다는 것. 권 사장은 "KBS 악성코드를 분석해보니 파괴된 하드디스크에서 해커가 남긴'하스타티'(hastati)라는 문장이 발견됐다"며 "하스타티란 로마 보병대의 제1열에 서는 병사들을 뜻하는 말이기 때문에 2, 3차 공격도 있을 수 있다"고 지적했다. 보안업체 잉카인터넷 관계자도 "해커가 악성코드를 이용해 시차공격을 할 가능성이 있는 만큼 대비해야 한다"고 강조했다.

더 교묘한 건 악성코드가 PC작동을 위해 필요한 하드디스크의 마스터부트레코드(MBR)부터 파괴했다는 점. MBR이 파괴되면 PC를 켤 수 없고 당연히 내부에 저장된 자료들도 소실될 공산이 크다. 또 다른 보안 전문가는 "MBR이 파괴되면 OS를 다시 설치하는 방법 밖에 없다"며 "당연히 저장된 모든 자료는 삭제된다"고 강조했다. 그 바람에 악성 코드 분석도 시간이 길어질 전망이다.

한편 잉카인터넷은 이번 악성코드를 퇴치할 수 있는 백신 소프트웨어 '엔프로텍트 MBR 가드'를 이날 개발해 홈페이지(www.nprotect.com)에서 무료 배포에 들어갔다.

최연진기자 wolfpack@hk.co.kr

[ⓒ 인터넷한국일보(www.hankooki.com), 무단 전재 및 재배포 금지]

Copyright © 한국일보. 무단전재 및 재배포 금지.