큰사진보기
|
| ▲ 박재문 방통위 네트워크정책국장이 21일 오전 광화문 방송통신위원회 기자실에서 20일 언론·금융사 전산망 해킹 사고 관련 중간 조사 결과를 발표하고 있다. |
| ⓒ 김시연 |
관련사진보기 |
20일 발생한 언론·금융사 해킹 사고로 3만2천여 대의 PC와 서버가 피해를 당한 것으로 나타난 가운데 정부는 피해 확산 차단을 위해 전용 백신 보급에 나섰다.
방통위는 21일 오전 브리핑에서 "KBS, MBC, YTN, 신한은행, 농협, 제주은행 등 6개사의 PC와 서버 3만2000여 대가 피해를 당한 것으로 파악하고 있다"면서 "완전 정상화에 최소 4~5일 정도 소요될 것으로 예상되고 있다"고 밝혔다.
정부는 악성코드 특징과 문자열 등이 동일한 것을 근거로 피해 6개사 모두 동일 조직에서 공격한 것으로 보고, 악성코드 분석과 피해 PC 복구를 통해 침입 경로와 공격 기법 등 해커 실체 규명에 주력하고 있다.
특히 농협 시스템 분석 결과, 중국 IP(101.106.25.105)가 '업데이트 관리 서버(PMS)'에 접속하여 악성파일을 생성한 것으로 나타났다. 과거 디도스(DDos: 분산서비스거부) 공격 당시에도 해커가 중국 IP를 경유한 것으로 나타나 '북한 소행'이란 빌미를 제공했지만 우리나라를 공격하는 대다수 해커들이 중국 IP를 경유하고 있는 실정이다.
박재문 방통위 네트워크정책국장은 "중국 IP로 여러 가지 추정이 가능하지만 현 단계에선 여러 가능성을 열어놓고 해커의 실체를 규명하는 데 최선의 노력을 다하고 있다"고 밝혔다.
정부는 안랩, 하우리, 잉카인터넷 등 백신개발업체를 통해 전용백신을 긴급 개발하고 한국인터넷진흥원 등을 통해 무료 보급에 나섰다.
박재문 국장은 "이번 악성코드가 해당 기업 '업데이트 관리 서버'를 통해 감염됐다고 보기 때문에 6개사에 접속된 내부 PC라면 모를까 일반 PC가 감염되기는 어렵다고 판단한다"면서도 "예방 조치 차원에서 배포하는 것"이라고 밝혔다.
안랩 "기업 내부 '관리 서버' 이용... 외부 백신 업데이트 문제 없어" 한편 안랩, 하우리 등 백신업체들은 이번 전산망 마비에 사용된 악성코드가 자사가 피해 언론사와 금융사에 제공한 '자산관리서버(업데이트 관리 서버)'를 통해 유포됐다고 분석했다. 현재 MBC, 신한은행, 농협은 안랩 자산관리서버를, KBS와 YTN은 하우리 서버를 각각 이용하고 있는 것으로 알려졌다.
다만 안랩은 21일 "일부 언론 보도처럼 '업데이트 서버'가 해킹 당했다는 것은 사실이 아니다"라며 "악성코드 유포에는 외부망 IDC(인터넷데이터센터)에 위치한 '업데이트 서버'가 아닌 방송사 및 금융사 내부망에 설치된 '자산관리서버(안랩은 APC 서버)'를 통해 PC에 설치된 것으로 확인했다"고 밝혔다.
일반 사용자들 백신 업데이트에 이용되는 KT, LG유플러스, SK브로드밴드 등에서 운영하는 외부 '업데이트 서버'에는 문제가 없고, 피해 업체 내부에서 기업형 백신 업데이트 등을 담당하는 '업데이트 관리 서버'에서 발생한 문제여서 피해가 해당 업체에만 국한됐다는 얘기다.
하우리 역시 "업데이트 서버 해킹으로 인한 악성코드 유포는 아니며 방송사 및 금융사 내부망에 설치된 자산관리서버(업데이트 관리 서버)를 통해서 PC에 악성코드가 이용된 것으로 확인됐다"고 밝혔다.
앞서 방통위는 20일 오후 "피해 기관에서 채증한 악성코드를 초동 분석한 결과 '업데이트 관리 서버'를 통해 유포가 이뤄져 부팅 영역(MBR)을 파괴시킨 것으로 추정된다"고 밝혔지만 일부 언론에선 '업데이트 서버'로 보도해 혼동을 일으키기도 했다.
아울러 안랩은 "이번 공격은 해커가 특정 목표를 겨냥한 '지능형 지속공격(APT)'를 통해 서버 관리자 계정(아이디와 비밀번호)을 탈취한 것으로 파악된다"면서 "자산관리서버의 취약점 때문은 아니며, 만약 관리자 계정이 탈취되었다면 정상적인 권한에 의한 접근이어서 취약점이 없는 대부분의 소프트웨어가 악용될 수밖에 없다"고 밝혔다.
"피해는 내부 PC에만 국한... 예방 차원에서 백신 보급"이번에 전산망 장애를 일으킨 악성코드는 'Win-Trojan/Agent.24576.JPF'로, PC를 감염시킨 후 PC가 부팅되는 데 필요한 영역(MBR)을 손상시킨다. 악성코드에 감염되면 PC가 부팅되지 않고 논리 드라이브를 손상시켜 PC 내 문서 등 데이터를 손상시키거나 삭제한다. 이번 악성코드의 경우 버전에 따라 손상 방식도 달라진 것으로 나타났다. 윈도우 VISTA나 윈도우 7의 경우 모든 데이터가 손상되는 반면 윈도우 XP나 윈도우 2003 서버의 경우는 일부만 손상된 것으로 나타났다.
안랩은 20일 오후 5시 49분부터 V3 제품군을 업데이트하는 한편 오후 6시 40분부터 전용백신을 홈페이지(
www.ahnlab.com)를 통해 제공하고 있다고 밝혔고 하우리 역시 자사 홈페이지(
www.hauri.co.kr)를 통해 전용백신 보급에 나섰다.
한국인터넷진흥원(KISA)도 20일 새벽 1시경부터
보호나라를 통해 이번 악성코드를 진단, 치료할 수 있는 전용 백신 보급에 나섰다.
KISA는 "이번 악성코드는 컴퓨터 부팅 불가 및 디스크 파괴 등을 일으키며 2013년 3월 20일 14시에 동작하도록 예약된 코드가 존재하는 것으로 확인됐다"면서 "PC를 부팅하기 전, PC 시간을 20일 14시 이전으로 설정한 후 전용백신을 다운받아 검사하는 것이 중요하다"고 밝혔다. 다만 악성코드에 감염되어 이미 디스크가 손상된 경우에는 디스크를 복구할 수는 없다.
한편 금융위원회는 21일 오전 11시 현재 농협 32개 지점을 제외한 나머지는 영업전산망을 자체 복구해 정상 영업이 가능한 상황이라고 밝혔다. 신한은행은 20일 복구를 마쳤고 농협은행과 제주은행의 일부 임직원과 창구용 PC, ATM기에 대해 복구절차를 진행하고 있다.