이글은 한겨레신문 2013-03-20일자 기사 '업데이트 서버 통해 악성코드 공격…고도의 ’사이버테러’를 퍼왔습니다.
<와이티엔>(YTN) 보도국 기자들이 20일 오후 서울 남대문로5가 사옥에서 사내 전산망이 마비되고 컴퓨터가 작동을 멈추자 일손을 놓고 대책을 논의하고 있다. 와이티엔 제공
디도스 공격때와 다른 해킹 특징은
피시·노트북 등 부팅 안되도록
치관리 시스템이 ‘숙주’ 노릇
백신으로 악성코드 안접혀
장기 계획적 범행 ‘상당한 수준’
디도스 공격때 나타나는
데이터 폭증현상 이번엔 없어
지난주 유포된 악성코드 파일에
‘kbs.exe’, ‘imbc.exe’ 포함 주목
20일 오후에 일어난 한국방송(KBS)과 문화방송(MBC), 와이티엔(YTN), 신한은행 등의 동시다발적인 전산망 마비는 계획적인 사이버 공격으로 보인다. 기존 디도스(DDoS·분산서비스거부) 공격과는 방식이 다른, 높은 수준의 악성코드를 이용한 공격이라는 분석이 나오고 있다.한국방송 등에서 나타난, 컴퓨터가 특정한 시간대에 일제히 꺼졌다가 재부팅이 되지 않는 증상은 악성코드에 감염된 결과다. 방송통신위원회 이승원 네트워크정보보호팀장은 이날 저녁 브리핑에서 “피해기관으로부터 채증한 악성코드를 분석한 결과, 업데이트 관리 서버(패치 관리 시스템·PMS)를 통해 유포돼 부팅영역(MBR)을 파괴한 것으로 추정된다”고 말했다. 패치 관리 시스템이 악성코드에 감염돼 있었고, 전산망을 통해 피시(PC)와 노트북에 감염돼 부팅영역을 파괴시켜 부팅되지 않도록 했다는 설명이다.패치 관리 시스템은 소프트웨어를 업데이트하거나, 보안 패치 파일을 원격에서 자동으로 설치·관리해주는 시스템이다. 웜 바이러스 등 사이버 위협에 대처하기 위해 2000년대 중반부터 도입이 크게 늘었는데, 이번에는 되레 악성코드의 통로와 ‘숙주’ 구실을 한 셈이다.
이런 방식의 공격은, 기존 사이버 공격 방식인 디도스와 다르다. 디도스 공격 때는 트래픽(네트워크에 오가는 데이터양)이 폭증하는데, 한국인터넷진흥원은 이날 트래픽 폭증은 없었다고 밝혔다. 이희조 고려대 컴퓨터공학과 교수는 “통신망을 운영하는 케이티(KT), 에스케이브로드밴드(SKB), 엘지유플러스(LGU+) 등에서 사전에 감지하지 못했다. 동시다발적인 디도스 공격이라기보다는 특정한 목표물을 겨냥한 악성코드일 가능성이 높다”고 말했다. 보안업체 라온시큐어의 박찬암 팀장도 “기존 악성코드라면 백신으로 잡혔을 텐데, (그게 아닌 것을 보면) 새 악성코드를 이용해 장기적으로 해킹을 시도한 것으로 보인다”고 말했다. 컴퓨터들이 특정 시점에 꺼졌다 재부팅이 되지 않는 현상을 두고서는 “특정 시점에 컴퓨터 부팅에 필요한 파일을 지우고, 재부팅하라는 명령을 하는 악성코드에 감염됐을 가능성이 크다”(보안업체 전문가)는 진단도 나온다.이와 관련해서는 지난 11~17일 유포된 악성코드의 실행파일 가운데 ‘kbs.exe’, ‘imbc.exe’가 포함돼 있었던 점이 주목된다. 보안업체 빛스캔의 문일준 대표는 “지난주 웹사이트를 통해 대량으로 유포된 악성코드 가운데 ‘kbs.exe’, ‘imbc.exe’, ‘sbs.exe’ 파일 등이 있었다. 평소 주말에만 대량 유포되던 악성코드가 지난주엔 주중에도 대량 유포돼 위험성을 주요 기관에 전달했다”고 밝혔다. 하지만 문 대표는 “원격조종이 가능한 다운로더(내려받기 도구 파일)가 처음 설치된 뒤 계속 공격코드를 추가로 받아 실행될 수 있으므로, (주말 동향과 해킹의) 관계를 정확히 추정할 순 없다”며 속단을 경계했다.악성코드 감염 경로로는, 사건 초기 방송사들에 인터넷 회선을 제공하는 통신사인 엘지유플러스가 지목됐다. 하지만 엘지유플러스는 “네트워크 장애와는 무관한 문제일뿐더러, 해당 기관들은 케이티와 에스케이브로드밴드 등 복수 네트워크를 사용하고 있다”며 연관성을 부인했다. 엘지 쪽은 또 “이날 오전 중소기업을 대상으로 하는 그룹웨어가 일부 해킹된 사실이 발견돼 바로 차단했고, 추가 피해가 없도록 원인을 파악하고 있다. 그룹웨어는 방송사와 금융기관 해킹과는 관련이 없다”고 밝혔다.
이순혁 김선식 윤형중 기자 hyuk@hani.co.kr
댓글 없음:
댓글 쓰기