안랩 "해커, APT 공격으로 관리자 계정 탈취한 듯"(종합)

송고시간2013-03-21 03:22

하우리 "악성코드 자사 백신 구성모듈로 위장"
"엔진 업데이트 서버는 해킹 안돼…재발 방지조치 완료"

(서울=연합뉴스) 권혜진 권영전 기자 = 방송사와 은행의 전산망을 마비시킨 악성코드의 유포 경로가 유명 백신업체의 업데이트 서버일 가능성이 제기된 가운데 해커가 지능형지속공격(APT)으로 해당 서버의 관리자 계정을 탈취한 것으로 보인다는 분석이 나왔다.

보안전문업체인 안랩[053800]은 "이번 해킹 사태와 관련한 중간 분석 결과, 공격자가 APT 공격으로 업데이트 서버 관리자의 아이디와 비밀번호를 탈취한 것으로 추정한다"며 "업데이트 서버 자체의 취약점 때문에 이번 사태가 벌어진 것은 아니다"라고 21일 밝혔다.

일단 업데이트 서버 관리자의 계정 정보가 유출되면 해커는 이를 이용해 정상적으로 서버에 드나들 수 있어 서버 취약점이 없더라도 이 같은 공격을 할 수 있다는 설명이다.

그러나 안랩은 "탈취된 관리자 계정은 피해기업 내부망에 위치한 업데이트 서버의 것"이라며 "이는 SK브로드밴드·KT·LG유플러스와 같은 외부망 IDC(인터넷데이터센터)에 위치한 업데이트용 서버와는 별개"라고 덧붙였다.

안랩은 장애를 일으킨 악성코드로 'Win-Trojan/Agent.24576.JPF'라는 코드를 지목했다.

이 악성코드에 감염되면 윈도 비스타와 윈도7 운영체제(OS)에서는 모든 데이터가 손상되며 윈도XP·윈도2003서버 OS에서는 일부가 손상된다.

다른 보안전문업체인 하우리는 "이번에 발견된 악성코드가 자사의 백신 프로그램인 '바이로봇'의 구성모듈 파일인 'othdown.exe'로 위장했다"고 밝혔다.

업체측은 "정상 파일로 위장한 악성코드가 특정 언론사와 금융기관에 침투한 뒤 하위 클라이언트 사용자까지 내려가 실행돼 전산망 마비를 일으켰다"며 "이렇게 위장한 악성코드가 PC의 부팅영역(MBR) 파괴, 드라이브 파디션 정보 파괴를 일으켰다"고 설명했다.

업체측은 파괴된 정보 복구는 불가능할 것으로 진단했다.

하우리 김희천 대표는 그러나 "엔진 업데이트 서버가 해킹된 것은 아니다"라며 "이 악성코드에 대한 패턴 업데이트가 이뤄져 최신 업데이트만 유지한다면 추가 피해는 발생하지 않는다"고 말했다.

현재 MBC는 안랩의 보안 서비스를, KBS와 YTN[040300]은 하우리의 서비스를 이용하고 있는 것으로 알려졌다.

lucid@yna.co.kr

comma@yna.co.kr