전산상 마비사태 “APT 공격으로 관리자 계정 탈취한 듯”

국내 방송사와 은행의 전산망을 마비시킨 사이버 테러는 해커가 지능형지속공격(APT)으로 해당 서버의 관리자 계정을 탈취한 것으로 보인다는 분석이 나왔다.

보안전문업체인 안랩은 “이번 해킹 사태와 관련한 중간 분석 결과, 공격자가 APT 공격으로 업데이트 서버 관리자의 아이디와 비밀번호를 탈취한 것으로 추정한다”며 “업데이트 서버 자체의 취약점 때문에 이번 사태가 벌어진 것은 아니다”라고 21일 밝혔다.

APT는 실시간으로 해킹 공격을 시도하는 게 아니라 통신망을 타고 미리 악성코드를 숨겨놓고서 시간이 지나 한꺼번에 작동시키는 수법이다.일단 업데이트 서버 관리자의 계정 정보가 유출되면 해커는 이를 이용해 정상적으로 서버에 드나들 수 있어 서버 취약점이 없더라도 이 같은 공격을 할 수 있다는 설명이다.

그러나 안랩은 “탈취된 관리자 계정은 피해기업 내부망에 위치한 업데이트 서버의 것”이라며 “이는 SK브로드밴드·KT·LG유플러스와 같은 외부망 IDC(인터넷데이터센터)에 위치한 업데이트용 서버와는 별개”라고 덧붙였다.

안랩은 장애를 일으킨 악성코드로 'Win-Trojan/Agent.24576.JPF'라는 코드를 지목했다.

이 악성코드에 감염되면 윈도 비스타와 윈도7 운영체제(OS)에서는 모든 데이터가 손상되며 윈도XP·윈도2003서버 OS에서는 일부가 손상된다.

다른 보안전문업체인 하우리는 “이번에 발견된 악성코드가 자사의 백신 프로그램인 ‘바이로봇’의 구성모듈 파일인 ‘othdown.exe’로 위장했다"고 밝혔다.

업체측은 “정상 파일로 위장한 악성코드가 특정 언론사와 금융기관에 침투한 뒤 하위 클라이언트 사용자까지 내려가 실행돼 전산망 마비를 일으켰다”며 “이렇게 위장한 악성코드가 PC의 부팅영역(MBR) 파괴, 드라이브 파디션 정보 파괴를 일으켰다”고 설명하며 파괴된 정보 복구는 불가능할 것으로 진단했다.

하우리 김희천 대표는 “엔진 업데이트 서버가 해킹된 것은 아니다”며 “이 악성코드에 대한 패턴 업데이트가 이뤄져 최신 업데이트만 유지한다면 추가 피해는 발생하지 않는다”고 말했다.

현재 MBC는 안랩의 보안 서비스를, KBS와 YTN은 하우리의 서비스를 이용하고 있는 것으로 알려졌다.