[해킹공격] 위장 백신파일로 업데이트 서버 공격

[방송-은행 전산망 마비]

해킹 막는 보안업체 백신을 해킹 경로로 활용
동아일보 | 입력 2013.03.21 03:28 | 수정 2013.03.21 09:57 

■ 악성코드, 백신프로그램으로 위장 전산망 침투

 [동아일보] 20일 방송사와 금융회사 전산망 마비 사태를 불러온 악성코드가 국내 정상급 정보보안 업체인 안랩과 하우리의 업데이트 서버를 활용한 것으로 확인돼 충격을 주고 있다. 고객의 정보보안을 책임져야 할 보안업체가 오히려 악성코드를 퍼뜨린 주요 경로가 된 사건이어서 후폭풍이 만만치 않을 것으로 전망된다.

 

정부 합동조사반 관계자는 "피해 기업에서 수집한 악성코드를 분석한 결과 안랩과 하우리의 서버에서 피해 기업의 업데이트 관리 서버를 거쳐 직원들의 PC로 악성코드가 유포된 것으로 확인됐다"고 밝혔다. 해커가 보안업체의 백신 업데이트 파일로 위장해 심은 악성코드가 피해 방송사와 금융회사에 유포됐다는 것이다.

 

 
△ 현금인출기 작동 중단20일 오후 서울 중구 태평로 신한은행 본점 영업부에서 현금자동입출금기(ATM)를 이용하려던 고객이 작동이 중단된 것을 보고 다른 ATM을 살펴보고 있다. 이날 오후 신한은행과 NH농협은행 등 금융회사와 KBS, MBC, YTN 등 방송국의 전산망이 일제히 마비됐다. [김재명 기자 base@donga.com]

 

하우리는 이날 오후 9시 "해커가 우리 시스템의 취약점을 이용해 악성코드를 유포한 것은 사실이다"고 인정했다. 안랩은 공식적으로 해킹을 당했는지 확인해주지 않았지만 이 회사 관계자는 "피해 업체에 납품한 백신 업데이트 관리 툴(tool)이 뚫렸다는 사실을 확인하고 오류를 수정했다"고 말했다. 그러나 보안업체들은 자사의 업데이트 패치를 통해 악성코드가 유통된 사실을 확인한 뒤에도 고객회사들에 이를 즉시 공지하지 않은 것으로 드러났다.

 

보안 전문가들에 따르면 악성코드는 정상적인 백신 프로그램의 파일명과 동일한 이름의 파일로 제작됐다. 이렇게 백신 프로그램으로 위장한 파일이 설치된 뒤 이날 오후 2시경 동시 실행되면서 전산망 마비 사태가 발생했다. 전문가들은 이번 해킹 공격이 전형적인 '지능형 지속 해킹(APT·Advanced Persistent Threat)'이라고 말한다. 이는 개인 해커가 아닌 범죄그룹이 특정 대상을 정해 그 취약점을 지속적으로 공격하는 해킹이다. APT 공격을 '사이버상의 간첩 혹은 첩보 활동'으로 규정하는 전문가도 있을 정도로 조직적이고 치밀한 작전이 선행돼야 가능하다.

 

이번 해킹이 국내 보안 전문업체와 기업들의 보안 행태까지 면밀하게 분석한 뒤 행동에 들어간 것으로 확인되면서 국내 보안시스템 전체의 재점검이 필요하다는 지적이 나온다. 이경호 고려대 정보보호대학원 교수는 "최고의 보안 수준을 갖춰야 할 보안업체의 백신 파일이 해커의 타깃이 됐다는 점에서 충격적인 사건"이라며 "형사 책임은 모르겠지만 민사 책임을 져야 할 수도 있다"고 말했다.

 

사건 초기에는 전산망 마비 피해를 입은 방송사들이 LG유플러스의 통신망을 공통으로 사용하고 있다는 점에서 이 통신사가 악성코드 유통 경로로 지목받기도 했다. 그러나 백신회사들이 악성코드의 유포 경유지라는 점이 밝혀져 LG유플러스도 피해자라는 사실이 확인됐다. LG유플러스가 중소기업들에 제공하는 업무용 소프트웨어 서비스 '온넷 21'은 이날 같은 시각 해커의 공격으로 마비됐다. LG유플러스는 피해 확산을 막기 위해 곧바로 서비스를 중단해 이 서비스를 이용하는 수백 개 중소기업도 업무에 차질을 빚었다.

 

 
악성코드의 유통경로는 확인됐지만 이번 사건을 주도한 세력의 실체는 여전히 베일에 가려 있다. 일각에서는 이번 해킹 공격의 대상이 방송사와 금융회사라는 점에 주목하며 2011년 4월 농협 전산망 장애, 지난해 6월 중앙일보 전산망 해킹 때와 마찬가지로 북한의 사이버 테러일 가능성이 높은 것으로 보고 있다.

 

손동식 윈스테크넷 침해사고대응센터장은 "해당 회사의 피해 컴퓨터에서 악성코드를 추출해 분석한 결과 코드를 작성한 스타일과 작동 방법으로 미뤄 볼 때 과거 북한의 공격방식과 흡사한 부분을 일부 찾았다"고 말했다. 이어 "이번 공격의 주체를 특정 세력으로 규정하려면 상당한 시일이 걸릴 수 있다"고 덧붙였다. 한편 이날 인터넷상에서는 해킹의 주모자를 자처하는 '후이즈(Whois) 팀'도 관심을 모았다. 해킹된 PC 화면이라며 인터넷에 떠돈 영상에는 해골 그림과 함께 '후이즈 팀이 해킹했다(Hacked by Whois team)'는 문구가 떠 있어 합동조사반은 실제로 이 팀이 악성코드를 심은 해커인지 파악에 나섰다.

 

악성코드 속에서 해커들의 추가 공격이 이어질 것을 시사하는 메시지도 발견됐다. 보안업체들이 PC를 손상시킨 악성코드를 분석한 결과 'PRINCEPS'와 'HASTATI'라는 문자열이 포함된 것으로 확인됐다. 두 낱말은 라틴어로 각각 '첫 번째'와 '군대의 선봉대'라는 의미다. 이에 따라 2, 3차 공격을 예고한 것 아니냐는 분석이 나왔다. [호재·김용석·박창규 기자 demian@donga.com]

 

"안랩 V3 뚫렸나" vs "아니다, 기업내부망 뚫린 것"
머니투데이 | 이하늘 기자 | 입력 2013.03.21 03:21 | 수정 2013.03.21 08:37

 

 안랩, 악성코드 공격 중간분석 발표 "기업 관리자 계정탈취 흔적 발견"
[머니투데이 이하늘기자] 안랩이 지난 20일 오후 2시께 발생한 일부 방송사와 금융사의 전산망 장애와 관련해 "V3 업데이트 서버를 통해 악성코드가 유포된 것은 사실과 다르다"고 주장했다. 안랩은 21일 새벽 '방송사 및 금융사 공격 관련 중간 분석 결과 발표' 자료를 통해 위와 같이 밝혔다.

 

안랩은 "이번 전산망 마비에 사용된 악성코드 유포에는 외부망 IDC에 위치한 '업데이트 서버'가 아닌 기업의 내부망의 '자산관리서버'가 이용된 것으로 확인됐다"고 밝혔다. 이와 관련해 안랩 관계자는 "일부 언론에 와전된 것처럼 업데이트 서버가 해킹 당했다는 것은 사실이 아니다"라며 "일부에서 업데이트 서버와, 업데이트 관리서버, 자산관리서버가 혼용돼 사용돼 불거진 오해라고 설명했다.

 

업데이트 서버란 통상적으로 SK브로드밴드나 KT, LG유플러스 같은 외부 망의 IDC(인터넷데이터센터)에 있는 업데이트 서버를 통칭한다. 보안기업의 해당 서버가 해킹을 당했을 경우 해당 기업은 이번 피해에 대해 책임을 져야 한다. 보안기업의 서버를 통해 해당 기업이 악성코드에 노출됐기 때문이다. 반면 자산관리서버는 기업의 내부 망에서 직원들의 PC가 최신 SW(소프트웨어)로 유지되는지 중앙에서 관리하는 서버를 뜻한다. 해당 자산관리서버의 관리자 계정이 탈취당하면 어떤 보안프로그램도 이를 제어할 수 없다. 때문에 이 경우 보안기업은 이번 보안사고 책임이 없다고 볼 수 있다.

 

안랩은 "현재까지 분석한 결과 일부에서 계정탈취 흔적이 보이나 정확한 원인은 현재 분석 중"이라고 설명했다. 또한 "공격자(해커)가 APT(Advanced Persistent Threat: 지능형 지속공격)에 의해 자산관리서버의 관리자 계정(ID, PW)을 탈취한 것으로 추정한다"며 "이는 안랩이 구축한 서버의 취약점 때문은 아니다"라고 설명했다.

 

다만 관리자 계정 탈취가 아닌, 안랩이 구축한 자산관리서버의 취약점이 발견되면 이번 사고와 관련한 책임소재는 불분명해진다. 안랩은 추가 적인 정밀 조사를 통해 조속한 시일 안에 명확한 원인을 발표할 예정이다. 한편 장애를 일으킨 악성코드는 'Win-Trojan/Agent.24576.JPF'로 알려졌다. 이 악성코드는 안랩의 통합자산관리 서버를 거쳐 APC와 연결된 PC가 이용된 것으로 확인되었다.

 

이번 악성코드는 PC를 감염시킨 후 PC가 부팅되는 데 필요한 영역인 MBR(Master Boot Record)를 손상시킨다. 이 때문에 감염된 PC는 부팅이 되지 않는다. 또한 논리 드라이브를 손상시켜 PC 내 문서 등의 데이터를 손상 또는 삭제한다. 윈도비스타, 윈도7은 모든 데이터가 손상되며 윈도XP, 윈도2003 서버는 일부가 손상된다. 이와 관련해 안랩은 20일 오후 5시49분 최신 업데이트 엔진을 제공했다. 또한 이번 악성코드 전용백신은 오후 6시40분에 내놨다.

 

안랩 관계자는 "이번 공격은 특정 타깃을 노린 APT 공격으로 파악되나 현재 추가적으로 변종이 발견되고 있어 불특정 다수를 대상으로 한 공격의 위험이 있다"며 "기업체 외에 일반 사용자들도 최신 버전으로 백신을 업데이트할 것"을 권고했다.

 

한편 이번 보안사고로 인해 보안솔루션 무용론 논란도 재점화될 것으로 보인다. 공격자가 해당 조직의 관리자 계정을 취득, 명령을 내리면 현존하는 보안솔루션은 이를 정상명령으로 인식하기 때문이다. 보안업계 관계자는 "일단 내부망에 침투해 관리자의 계정을 취득한 해커의 공격은 보안기업이 손을 쓰기 어렵다"며 "APT 공격 대응 제품을 미리 설치해야 이 같은 타깃공격을 방어할 수 있다"고 설명했다. [니투데이 이하늘기자 iskra@]