[전산망 대란] 기업 자산관리서버 해킹···"일반인도 가급적 백신 최신 버전으로"
안랩(61,300원 ▼1,200 -1.92%), 하우리 등 보안업체들이 가슴을 쓸어내렸다. 사상 초유 사태가 된 방송 및 금융권 전산망 다운 사건의 핵심 원인으로 백신업체들이 지목됐으나 사실이 아닌 것으로 밝혀졌다. 백신업체들의 업데이트 서버가 아닌 해당 기업의 PMS(자산관리서버)가 해킹된 것으로 확인됐다.
KISA(한국인터넷진흥원)이 지난 20일 국내 주요 방송사 및 금융기관 6개 기업의 악성코드 피해결과를 분석한 결과 백신업체들의 잘못이 없는 것으로 추정했다.
신화수 KISA 침해대응센터 단장은 21일 오전 방송통신위원회 긴급 현황보고를 마친 후 기자들과 만나 "이번 악성코드 공격과 백신업체들의 업데이트 서버가 연관있다는 일부 보도에 국민들 우려가 크다"며 "한 가지 확실한 것은 이번 악성코드는 보안기업의 업데이트 서버를 통해 유포된 것이 아니며 일반 국민들이 이용하는 백신과 관련이 없다"고 말했다.
신 단장은 또 "이번 악성코드는 PMS 등 업데이트 관리 서버를 통해 이뤄졌다"며 "일반적으로 해당 서버는 피해기업의 내부망에서 작동된다"고 설명했다. 아울러 신 단장은 "이번에 피해를 입은 기업들은 모두 중앙에서 관리자가 직원들의 PC 보안 업데이트를 조정하는 PMS 등 업데이트 관리 서버를 이용하고 있다"고 덧붙였다.
박재문 방통위 네트워크정책국장 역시 "아직까지 피해를 입은 6개 기업의 종합적인 조사결과를 말하기는 어렵다"며 "다만 농협의 경우 내부망에서 관리하는 PMS에서 악성코드가 심어졌고, 이것이 직원들의 PC에 전파됐다고 현재 분석하고 있다"고 설명했다.
안랩측도 "일부 언론에 와전된 것처럼 업데이트 서버가 해킹 당했다는 것은 사실이 아니다"라며 "일부에서 업데이트 서버와, 업데이트 관리서버, 자산관리서버가 혼용돼 사용돼 불거진 오해라고 설명했다.
이번 피해를 입은 기업들은 안랩과 하우리의 백신서비스를 받고 있는 것으로 알려지면서 이들의 백신 업데이트 서버가 해킹돼 이를 통해 악성코드가 유포됐다는 주장이 제기됐다.
업데이트 서버란 통상적으로SK브로드밴드나KT(59,300원 ▼1,100 -1.82%),LG유플러스(15,620원 ▲160 +1.03%)같은 외부 망의 IDC(인터넷데이터센터)에 있는 서버를 통칭한다. 보안기업의 해당 서버가 해킹을 당했을 경우 해당 기업은 이번 피해에 대해 책임을 져야 한다. 보안기업의 서버를 통해 해당 기업이 악성코드에 노출됐기 때문이다.
독자들의 PICK!
반면 자산관리서버는 기업의 내부 망에서 직원들의 PC가 최신 SW(소프트웨어)로 유지되는지 중앙에서 관리하는 서버를 뜻한다. 해당 자산관리서버의 관리자 계정이 탈취당하면 어떤 보안프로그램도 이를 제어할 수 없다. 때문에 이 경우 보안기업은 이번 보안사고 책임이 없다고 볼 수 있다.
안랩은 "현재까지 분석한 결과 일부에서 계정탈취 흔적이 보이나 정확한 원인은 현재 분석 중"이라고 설명했다. 또한 "공격자(해커)가 APT(Advanced Persistent Threat: 지능형 지속공격)에 의해 자산관리서버의 관리자 계정(ID, PW)을 탈취한 것으로 추정한다"고 설명했다.
장애를 일으킨 악성코드는 'Win-Trojan/Agent.24576.JPF'로 알려졌다. 이 악성코드는 안랩의 통합자산관리 서버를 거쳐 APC와 연결된 PC가 이용된 것으로 확인됐다. 이번 악성코드는 PC를 감염시킨 후 PC가 부팅되는 데 필요한 영역인 MBR(Master Boot Record)를 손상시킨다. 이 때문에 감염된 PC는 부팅이 되지 않는다.
또한 논리 드라이브를 손상시켜 PC 내 문서 등의 데이터를 손상 또는 삭제한다. 윈도비스타, 윈도7은 모든 데이터가 손상되며 윈도XP, 윈도2003 서버는 일부가 손상된다.
이와 관련해 안랩은 20일 오후 5시49분 최신 업데이트 엔진을 제공했다. 또한 이번 악성코드 전용백신은 오후 6시40분에 내놨다. 안랩 관계자는 "이번 공격은 특정 타깃을 노린 APT 공격으로 파악되나 현재 추가적으로 변종이 발견되고 있어 불특정 다수를 대상으로 한 공격의 위험이 있다"며 "기업체 외에 일반 사용자들도 최신 버전으로 백신을 업데이트할 것"을 권고했다.
보안업계 관계자는 "일단 내부망에 침투해 관리자의 계정을 취득한 해커의 공격은 보안기업이 손을 쓰기 어렵다"며 "APT 공격 대응 제품을 미리 설치해야 이 같은 타깃공격을 방어할 수 있다"고 설명했다.