중국 IP로 심은 트로이목마에 전산망 '와르르'

(서울=연합뉴스) 권혜진 기자 = 지난 20일 방송·금융기관의 전산망을 마비시킨 해킹 사건의 경위와 수법이 서서히 드러나고 있다.

문제가 된 악성코드는 트로이목마를 통해 사전에 유입됐으며 6개사 모두 단일 조직에 공격당한 것으로 추정된다. 일부 기업의 악성코드 유입 경로 추적 결과 중국 소재 인터넷프로토콜주소(IP address)가 나온 점도 향후 해커 실체 추적의 열쇠가 될 것으로 보인다.

21일 방송통신위원회에 따르면 민·관·군 합동대응팀은 이번 해킹 사건에 이용된 악성코드를 분석한 결과 피해 기업 모두 동일 조직에 의해 공격이 자행된 것으로 추정했다.

이는 접근 경위나 하드디스크를 손상시킨 점 등 여러 면에서 수법이 비슷하다는 판단에 따른 것이다.

정부 관계자는 "악성코드가 하드디스크를 손상한다는 특징이 피해 사이트에서 공통적으로 나타나고, 악성코드 고유의 문자열이 보이고 있다"고 말했다.

대응팀은 '트로이목마'가 침투에 이용됐다고 지목했다.

트로이목마는 정상적으로 보이는 프로그램으로 위장해 컴퓨터 시스템을 공격하는 악성코드를 뜻한다.

트로이목마 중에는 공격자의 명령에 따라 감염된 PC를 원격제어하고 필요한 정보를 마음먹은 대로 빼내 갈 수 있는 강력한 기능을 갖춘 경우도 있어 위험성이 높다는 게 업계 전문가들의 분석이다.

특히 트로이목마의 특성상 짧게는 수일부터 길게는 수개월 전에 이미 악성코드를 침투시켜 놨을 가능성이 높다는 관측도 나온다.

보안업체에 따르면 2년 전부터 트로이목마를 심어 놓고 특정 시점에 공격을 단행한 해킹 사례도 있는 것으로 알려졌다.

해커들이 트로이목마를 사용했다는 것은 전산망 마비사태가 사전에 치밀하게 준비됐다는 것을 의미한다. 미리 악성코드를 심어두고 디데이를 정해 전산망 마비사태를 초래했다는 것이다.

피해 업체 중 하나인 농협에서는 해커가 중국 IP를 경유해 업데이트 관리 서버에 접속한 후 악성파일을 생성한 사실이 파악됐다. 이는 중국을 경유했다는 점에서 북한이 자행한 것으로 알려진 과거 해킹 사례와 공통점이 있다.그러나 최초 공격지점과 공격자 등 구체적인 공격경로는 아직 확인되지 않고 있다.

대응팀은 현재까지 확인된 사실을 토대로 악성코드 분석과 피해 PC 복구 등을 통해 해커 실체 규명에 주력하고 있다. 피해 복구 이후 시스템이 정상화되기까지는 최소 4∼5일이 걸릴 전망이다.

박재문 방통위 네트워크정책국장은 "중국 IP가 발견돼 여러 추정이 나오게 됐지만 현 단계에서는 모든 가능성을 열어놓고 해커 실체 규명에 최선을 다하고 있다"고 말했다.

lucid@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2013/03/21 11:32 송고