[전산망 대란]백신 업데이트 서버 악용 가능성 제기…"기업 시스템 관리권한 획득 당했을 수도"
20일 오후 방송사와 은행의 전산망을 마비시킨 악성코드 유포에안랩(62,400원 ▲1,100 +1.79%), 하우리 등 국내 백신업체들의 업데이트 서버가 악용됐을 가능성이 제기되고 있다.
방송통신위원회에 따르면, KBS, MBC, YTN 등 방송사와 신한은행 등 금융전산망을 마비시키는데 사용된 악성코드는 업데이트관리서버(PMS)를 통해 유포된 것으로 추정됐다.
PMS란 소프트웨어 패치와 백신 프로그램 업데이트 정보 등을 일괄적으로 설치해주는 업데이트 관리 서버로, 이번에 문제를 일으킨 악성코드가 이 서버를 통해 사내에 일괄 유포됐다는 것.
특히 주기적으로 이뤄지는 백신 업데이트 파일로 위장했을 가능성이 크다는 게 보안 전문가들의 지적이다. 현재 MBC는 안랩 V3 백신을, KBS와 YTN은 하우리 바이로봇을 사용 중인 것으로 알려졌다.
이를 두고 일각에선 이들 백신업체의 프로그램이 해킹당해 악성코드 유포에 악용된 것 아니냐는 의혹을 제기하고 있다.
이에 대해 합동대응팀 관계자는 "피해기관들로부터 수집된 악성코드 샘플 분석결과, 업데이트 관리 서버를 통해 이들 피해기관 내부망에 악성코드가 유포됐을 가능성에 무게를 두고 있는 것은 맞지만 현재로선 어느 특정 백신이나 소프트웨어가 해킹을 당했다고 단정할 수 없다"고 밝혔다.
안랩 등 해당기업들도 억울하다는 입장이다. 안랩 관계자는 "내부 점검 결과, 백신 프로그램의 취약점을 악용, 해킹을 당해 악성코드 유포에 악용됐을 가능성은 없다"고 주장했다.
업데이트 서버 관리권한이 엄연히 백신 공급사가 아닌 해당 기업들에게 있는 만큼, 공격자가 시스템 관리자 권한을 획득한 뒤 해당 서버를 통해 악성코드를 배포했을 가능성도 낮지 않다는 보안 전문가들의 분석도 제기되고 있다. 시스템 관리자 권한을 이용해 마치 백신 업데이트 모듈로 악성코드를 위장하는 방식으로 유포됐을 것이라는 게 이들의 주장이다.