[전산망 대란]악성코드 이상징후→KBS.exe MBC.exe →PC자동파괴 명령까지
20일 KBS, MBC, YTN 방송사와 신한은행 전산망 마비 사태는 치밀한 사전 기획에 따른 '사이버 테러'라는 가능성이 제기되고 있다.
이미 1주일전 이상징후가 나타났을 뿐 아니라 유포된 악성코드 가운데 일부 실행파일명에는 'KBS.exe', 'MBC.exe'이 포함돼 있었던 것으로 확인됐다. 이는 특정 기관을 조준한 것으로 이번 방송사 전산망 마비사태가 이미 사전에 기획된 사이버 테러일 가능성이 보다 커진 셈이다.
20일 보안업체 빛스캔 관계자는 "지난주 웹사이트를 통해 대량으로 유포된 악성코드 가운데, 일부 설치파일명이 'KBS.exe', 'MBC.exe'로 돼 있었다"며 "현재 수집된 이들 파일에 대한 분석 작업을 진행 중"이라고 밝혔다.
보안업계는 KBS, MBC 등 방송사 전산망을 겨냥해 악성파일을 제작했을 가능성에 무게를 두고 있다.
빛스캔 관계자는 "악성코드가 지난주 대량 유포될 당시 보안업계에 일부 포착되긴 했지만 훨씬 그 전부터 유포되기 시작했을 가능성이 크다"며 "이 같은 정황은 이번 금융사 및 방송사 전산망 마비사태가 특정 조직에 의해 일찌감치 기획됐을 가능성이 크다는 것을 입증하는 셈"이라고 밝혔다.
더군다나 KBS, MBC 등 방송사와 금융 전산망을 마비사태를 일으킨 악성코드에서 PC 하드디스크를 파괴하는 기능이 포함된 것으로 드러났다. 이날 보안업체인 잉카인터넷에서 해당 피해기관에서 수집한 악성코드 샘플을 분석한 결과, PC 부팅 관련 영역인 MBR(Master Boot Record)을 파괴시켜 아예 하드디스크 부팅을 못하도록 하는 기능이 탑재돼 있었던 것으로 확인됐다.
MBR은 PC가 부팅하는 데 필요한 정보들이 저장된 물리적인 하드 디스크 영역이다. 이는 지난 2009년 7.7 디도스(DDoS) 대란 당시 발견됐던 악성코드 공격과 유사한 패턴이다.
당시 해커조직은 청와대를 비롯한 국내 정부기관 사이트를 마비시킨 뒤 남아있는 좀비PC들을 일시에 없애기 위해 최종 하드디스크 파괴명령을 내린 바 있다. 이 명령어로 당시 수백여대의 PC가 먹통이 되는 사고가 발생했다.
독자들의 PICK!
잉카인터넷 관계자는 "KBS 등 일부 피해기관들의 내부 PC가 한꺼번에 다운된 것도 이같은 기능 때문으로 추정된다"며 "보다 구체적인 악성코드 정보는 분석이 끝나봐야 알 수 있을 것"이라고 밝혔다.
조심스럽지만 이번 전산망 마비 사태와 관련해 북한의 사이버테러 공격 가능성도 제기됐다. 일주일 전부터 '북한발 해킹'으로 추정되는 이상 징후가 포착됐기 때문이다.
빛스캔에 따르면 지난 11~15일부터 일부 안보 관련 매체 및 예비장성 모임 웹사이트 등 일부 사이트가 해킹돼 악성코드가 유포되는 사고가 발생했다. 이들 사이트는 모두 악성링크가 러시아 도메인을 이용하고 있었으며, 기존 중국해커들이 사용해왔던 자동화 공격 패턴과는 다른 형태를 사용하고 있었다.
해당 안보관련 매체는 지난해 2월 공격을 한차례 받은 뒤 1년 이상 공격을 받지 않았다. 예비장성 모임 사이트는 지난해 7월 마지막 공격을 받고, 올 들어 처음 발생했다.
이에 대해 빛스캔 관계자는 "이들 사이트가 다시 해킹된 것은 '키 리졸브' 훈련으로 남북 관계 긴장이 크게 고조된 시점"이라며 "특히 이들이 사용한 패턴이 기존 웹사이트를 통해 유포되는 패턴과는 크게 다르다는 점에서 북한 해커들을 의심해왔던 게 사실"이라고 말했다.
특히 보통 웹사이트를 통한 악성코드 공격이 대부분 웹사이트 관리가 소홀한 주말을 이용하는 것과는 달리, 이번에는 주중에도 대량 악성코드 해킹공격이 끊이지 않는 등 수법 자체도 과감했던 것으로 알려졌다.
일반적으로 웹사이트를 통해 감염되는 악성코드는 주로 게임 계정 탈취용 프로그램이다. 그러나 이들 기간 중 유포된 악성코드는 PC권한 자체를 탈취하는 백도어가 대부분이었다. 현재 KBS, MBC, YTN, 신한은행 전산망을 마비시킨 공격도 백도어 공격으로 추정되고 있다.
빛스캔 관계자는 "남북간 긴장이 격화되면서 특정목적에 이용될 수 있는 유형의 악성코드들이 대량으로 유포돼왔던 상황"이라며 "웹사이트를 통한 악성코드가 아닌 방송사 직원들의 이메일을 해킹해 백도어를 침투시킨 뒤 전체 직원 혹은 시스템 관리자의 PC 권한을 획득, 특정 시간대를 겨냥해 일시에 마비시키는 타깃공격을 시도했을 가능성이 매우 높은 상황"이라고 밝혔다.