머니투데이

미국 보안업체 맥아피는 지난 20일 언론사 및 금융기관의 내부전산망을 마비시킨 악성코드와 유사한 형태의 악성코드를 이미 지난 해 발견해 대응하고 있다고 21일 밝혔다. 맥아피는 "'KillMBR-FBIA and Dropper-FDH'로 명명된 악성코드를 탐지했다"며 "운영체제 아래 부팅영역인 MBR을 파괴하는 악성코드의 변종"이라고 설명했다. 백신 프로그램의 프로세스를 회피해서 다운로드 되며, Dos(도스)에서 실행 후 자가삭제되는 것이 특징이라고 했다. 지난해 발견된 유사 악성코드는 백신 프로그램으로 위장해 OS 아래 부분에 침입하는 새로운 형태의 공격이었다면, 이번에는 그에 MBR 파괴기능까지 새롭게 탑재됐다는 것. 맥아피는 "MBR내 많은 파일을 복구할 수 없도록 임의로 변경해 하드디스크가 파괴되는 최악의 상황을 초래했다"고 말했다. 복상진 한국 맥아피 이사는 "앞으로도 이와 유사하게 정교한 공격의 징후는 계속 나타날 것"이라며 "OS에서 하드웨어 사이에 존재하는 보안취약부분을

보안업체 이스트소프트는 지난 20일 발생한 언론사 및 금융사 전산망 마비와 관련, 악성코드를 분석한 결과 제작자가 남긴 것으로 추정되는 메시지를 발견했다고 21일 밝혔다. 이스트소프트는 이날 발표한 분석보고서를 통해 "아직 3.20 전산망 마비 악성코드 공격의 최초 감염경로는 정확히 파악되지 않지만 악성코드 유포에 악용된 안랩APC 솔루션의 'Down'폴더에 남겨진 메시지 내용을 발견했다"고 설명했다. 메모장에 'mpftp'라는 제목으로 작성된 이 메시지에는 영문으로 "I got it! BOASNAKE"라고 적혀있다. 이스트소프트측은 "악성코드를 분석하는 중 발견된 것"이라며 "현재로서 악성코드 제작자나 유포자에 대해 알려진 것은 아무것도 없다"고 말했다. 보고서에 따르면 'Trojan.KillDisk.MBR'이라는 이름의 이 악성코드는 안랩과 하우리의 백신솔루션인 것처럼 파일 이름을 위장했으며, 파일이 실행되면 실제 백신프로그램을 삭제하고 하드디스크 파괴를 시작하게 된다. 또 정상

20일 사상 초유의 전산망 마비 사태를 겪은 금융권은 복구가 완료됐지만 긴장의 끈을 놓지 않고 있다. 악성코드 배포 경로로 추정되는 업데이트 서버를 긴급 점검하는 한편 임직원들의 PC도 모두 백신 정밀 검사를 실시하는 등 경계 태세를 유지하고 있다. 전날 전산망이 마비됐던 신한은행, 농협은행 등은 21일 오전 영업을 정상적으로 시작해 현재까지 이상 징후는 없는 상태다. 농협과 제주은행은 일부 임직원 및 창구용 PC, ATM기에 대해 복구절차가 진행 중이지만 금융 거래에는 문제가 없다. 신한은행 관계자는 "오전 6시부터 영업을 시작한 인천공항 환전소를 비롯해 전 영업점에서 특별한 장애상황 없이 정상적으로 영업을 하고 있다"며 "전 영업점에 어제 사태로 고객에 불편을 끼쳐드린 것에 대한 사과문을 게시했다"고 밝혔다. 하지만 은행들마다 혹시 모를 추가 피해를 막기 위해 비상 상태를 유지하고 있다. 신한은행은 서진원 은행장 주재로 이날 아침 비상 임원 회의를 소집, 사고 경위와 피해 현황

방송사와 금융회사의 전산망 해킹 사태로 삼성전자와 현대차, LG전자 등 국내 주요 기업들도 촉각을 곤두세우고 있다. 다행히 국내 기업에 대한 해킹 시도는 아직 없는 것으로 파악되고 있지만 혹시 모를 사태에 긴장감을 늦추지 못하고 있다. 21일 재계에 따르면 LG전자를 비롯해 주요 기업들은 전산망 마비 사고가 발생한 직후 사내 공지를 통해 대응요령을 안내하고 있다. LG전자는 공지를 통해 “의심이 가는 첨부파일(MBC.EXE, KBS.EXE, SBS,EXE 등)은 실행하지 말고 즉시 삭제해야 한다”며 “압축 파일 형태로 된 실행파일 또한 주의를 기울여야 한다”고 당부했다. 이어 “PC가 부팅되지 않고 까만 화면이 나타날 경우 즉시 유·무선 네트워크를 차단하고 중요한 파일을 백업해야 한다”고 강조했다. 전자업계 관계자는 “사이버 보안 문제를 중요한 경영활동의 하나로 인식하고 대부분 방어체계를 구축하고 있다”며 “해킹으로 인해 핵심 기술이 유출될 경우 회사 존립 자체가 위태로워질 수 있기

이계철 방송통신위원회 위원장은 지난 20일 발생한 전산망 마비 사태와 관련, 21일 오전 서울 가락동 소재 KISA(한국인터넷진흥원) 인터넷침해대응센터를 방문해 철저한 대응을 당부했다. 이기주 KISA 원장은 이 위원장에게 이번 언론사 및 금융사 전산망 마비 사태와 관련, 대응현황과 원인분석 결과, 전용백신 보급 등 복구지원 상황과 향후 대책 등에 대해 보고했다. KISA는 현재 관제인력 17명, 분석인력 20명, 현장 6개팀 13명 등 평소보다 인력을 3배 늘려 비상체제로 운영하고 있다. 또 미국 국토안보부 등과 정보공유를 하며 추가 사고에 대비해 주요기관의 홈페이지를 모니터링 하고 있다. 이계철 위원장은 "(이번 공격이) 전위부대라니까 앞으로 추가 공격이 있을 가능성도 있는 것"이라며 "앞으로 2,3차 공격에 대비해 문제가 없도록 철저히 대응해달라"고 주문했다. 이어 "정부와 기관, 민간보안업체 등과 공조해 이런 일이 다시는 발생하지 않도록 종합대책을 마련할 것"이라고 말했다.

금융당국이 전산망 마비 사태의 원인과 관련해 바이러스 백신을 업데이트하는 서버를 악성코드 배포 경로로 지목하고 긴급 점검에 나섰다. 아직 고객 정보 유출 등의 피해는 보고되지 않고 있다. 금융위원회와 금융감독원은 21일 전날 발생한 주요 방송사와 은행들의 전산망 마비 사태에 대한 대응을 이어갔다. 먼저 전산망 장애 원인으로 추정되는 '업데이트용 서버'에 대한 전면 점검을 실시하고 있다. 금감원 관계자는 "신한은행과 농협은행 등 전산망 마비를 일으킨 금융회사의 본점과 영업점 일부 컴퓨터가 자동 다운됐다가 재시작(부팅)되지 않는 현상을 보였다"며 "바이러스 백신 등을 업데이트 하는 '업데이트용 서버'를 통해 악성코드가 배포된 것으로 추정한다"고 밝혔다. 이에 따라 전날 오후 8시27분을 기점으로 금융회사가 백신업데이트 서버와 패치관리서버로 접속하는 것을 차단했다. 추가적인 사이버 공격을 막기 위해서다. 아울러 업데이트용 서버에 대한 악성코드 감염여부를 긴급 점검하고 임직원 컴퓨터를 대상

이계철 방송통신위원회 위원장은 21일 오전 서울 가락동 소재 KISA(한국인터넷진흥원) 인터넷침해대응센터를 방문했다. 이기주 KISA 원장은 이 위원장에게 이번 언론사 및 금융사 전산망 마비 사태와 관련, 대응현황과 원인분석 결과, 전용백신 보급 등 복구지원 상황과 향후 대책 등에 대해 보고했다. 이에 대해 이 위원장은 "앞으로 발생할 수 있는 2,3차 공격에 대해 철저히 대비태세를 갖추고 정부부처, 기관, 민간 보안업체 등 유관기관과 긴밀한 공조체계를 유지해야 할 것"이라고 당부했다. 또 "백신보급 등 피해 시스템에 대해 복구를 신속히 지원하고 국민들을 대상으로 홍보하는 데도 주력해야 할 것"이라며 "앞으로 관련 부처와 협력해 사이버테러 대응 종합대책을 수립해야 한다"고 설명했다.

20일 KBS, MBC, YTN 등 방송사와 신한은행 등 금융망 장애를 초래했던 악성코드들 가운데 일부가 7.7 디도스 대란, 농협망 전산사고, 고려대 이메일 악성코드 주요사건, 중앙일보 해킹 사고시 발견됐던 추가 악성코드와 제작 기법 등이 같거나 매우 흡사하다는 분석이 나왔다. 이들 사고는 모두 수사당국의 조사에서 '북한 해커 소행'으로 잠정 결론을 내렸던 사건들이다. 이번 3.20 전산망 대란의 배후 역시 북한일 가능성에 무게가 쏠리고 있다. 21일 복수의 코드 분석가들에 따르면, 이번에 피해를 당한 기관들의 PC에서 채증된 악성코드를 분석한 결과, 코드호출방식(Stub) 등이 7.7 디도스 대란 이후 북한발로 추정되는 악성코드와 동일한 것으로 알려졌다. 익명을 요구한 한 보안 전문가는 "전세계 수억개에 달하는 악성코드 제작기법 가운데 북한해커들이 사용하는 고유 기법들이 있는데, 이번에 발견된 악성코드 역시 지난 2006년 이후 북한해커들의 즐겨 사용하던 방식으로 제작됐다"며

지난 20일 발생한 주요 방송국 및 금융사 보안사고와 관련해 이미 해당 공격 PC의 개인 이용자 정보가 유출 됐을 가능성이 있다는 분석이 제기됐다. 미국 보안 기업 보메트릭의 한국지사 '보메트릭코리아'는 21일 이번 악성코드와 관련해 위와 같이 밝혔다. 이 회사 이문형 지사장은 "악성코드 감염 이후 2차적으로 개인 정보 유출 피해가 발생할 수도 있다는 우려가 나오고 있는데 공격자들은 공격 감행 전에 이미 데이터를 탈취해 갔을 가능성이 있다"며 "사전에 데이터에 대한 암호화를 철저히 해둔 경우 데이터가 유출돼도 권한 없이 열람할 수 없지만 암호화가 준비되지 않은 기관은 정보 유출이라는 또 다른 막대한 피해를 입을 수 있다"고 전했다. 이 지사장은 또 "특히 방송사들은 이미지나 비디오 파일과 같은 비정형 데이터를 다량 보유하고 있는데 데이터 특성상 암호화나 보안 체계가 미흡한 경우가 많다"며 "디지털 자산을 효과적으로 보호할 수 있는 방안을 마련해야 진화하는 사이버 위협으로 인한 데이터

방송통신위원회는 지난 20일 발생한 전산망 대란 이후 추가 해킹 피해 가능성에 대해 "모든 가능성을 열어두고 있다"고 21일 밝혔다. 다만 기업 이외에 개인들의 피해 가능성에 대해서는 "피해를 입은 6개사의 시스템에 접속된 내부 PC가 아닌, 일반 국민들의 PC가 감염됐다고 추정하기는 어렵다"고 밝혔다. 정부에 따르면 이번 전산망 대란으로 언론·금융 6개사의 PC·서버 3만2000여대가 피해를 당한 것으로 파악됐다. 농협 등 피해를 입은 일부 시스템의 경우 중국IP가 업데이트 관리 서버에 접속해 악성파일을 생성한 것도 확인됐다. 이번 사태로 피해를 입은 PC가 복구되는 등 완전정상화가 되기까지는 최소 4~5일 소요될 전망이다. 다음은 박재문 방통위 네트워크정책국장과의 일문일답. -추가 피해가능성에 대해 많은 사람들이 걱정하는데 정부는 어떻게 보나? ▶모든 가능성을 열어두고 있다. 이번 공격은 업데이트 서버를 공격해 악성코드를 뿌린 형태다. 이를 대비하기 위해 정부는 국가 공공기관들을

KISA(한국인터넷진흥원)이 지난 20일 국내 주요 방송사 및 금융기관 6개 기업의 악성코드 피해결과를 분석한 결과 백신업체들의 잘못이 없는 것으로 추정했다. 신화수 KISA 침해대응센터 단장은 21일 오전 방송통신위원회 긴급 현황보고를 마친 후 기자들과 만나 "이번 악성코드 공격과 백신업체들의 업데이트 서버가 연관있다는 일부 보도에 국민들 우려가 크다"며 "한 가지 확실한 것은 이번 악성코드는 보안기업의 업데이트 서버를 통해 유포된 것이 아니며 일반 국민들이 이용하는 백신과 관련이 없다"고 말했다. 신 단장은 또 "이번 악성코드는 PMS 등 업데이트 관리 서버를 통해 이뤄졌다"며 "일반적으로 해당 서버는 피해기업의 내부망에서 작동된다"고 설명했다. 아울러 "이번에 피해를 입은 기업들은 모두 중앙에서 관리자가 직원들의 PC 보안 업데이트를 조정하는 PMS 등 업데이트 관리 서버를 이용하고 있다"고 덧붙였다. 박재문 방통위 네트워크정책국장 역시 "아직까지 피해를 입은 6개 기업의 종합

KBS, MBC, YTN 등 방송사와 신한은행 등 금융 전산망의 공격자로 'Whois(후이즈)'팀으로 지목된 가운데, 이번 해킹이 지난해 이란과 사우디아라비아 오일회사 등을 공격했던 형태와 유사하다는 주장이 제기됐다. 러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)은 20일(현지시간) 블로그를 통해 "(피해당한 PC의) 스크린 샷을 볼 때 'Wiper(와이퍼)'스타일의 악성코드가 사용된 것으로 보인다"고 밝혔다. 또 이 악성코드는 Iranian Wiper(이란와이퍼)와 Shamoon(샤문) 등으로 불리는 여러 형태의 와이퍼 바이러스와 유사하다고 했다. 지난해 4월 이란 전역에서는 악성코드 공격에 의해 컴퓨터시스템이 다운되는 현상이 발생했다. 또 지난 8월에는 사우디아라비아 국영 정유사 사우디 아람코도 와이퍼 스타일의 신종바이러스 '샤문'바이러스에 감염돼 전체 전산망 가동이 중지됐던 것으로 알려졌다. 당시 카스퍼스키랩은 ITU(국제전기통신연합)의 의뢰로 몇 주간 조사했지만 와