[전산망 대란]특정기관→불특정 다수 공격대상 전환? 정보유출 성공하면 시스템 파괴
# "3.20 전산망 마비 사태 이후 보안점검을 강화합니다. 고객님의 개인정보를 다시 확인합니다."
25일 인터넷뱅킹 사이트에 접속했을 당시 떴던 공지사항이었다. 순서에 따라 신상정보와 계좌번호, 공인인증서, 비밀번호 등을 입력한다. 하지만 이로부터 5분 뒤 컴퓨터가 강제로 꺼진 뒤 재부팅이 되지 않았다. 순식간에 먹통 PC가 돼버린 것.
같은 날 악성코드 모니터링 전문업체 빛스캔 사무실. 전날 밤 수집된 변종 악성코드를 시연했던 직원들도 이같은 결과에 깜짝 놀랐다.
악성코드에 감염된 PC 이용자는 자신의 금융 거래 사이트를 정상 접속하지만, 정작 PC화면은 해커가 미리 만들어둔 가짜 사이트(파밍 사이트)로 순간 이동된다. 거래은행이 어딘지는 상관없다. 주소를 입력하는 순간 무조건 파밍 사이트로 접속되는 기법이다.
이후 지난 20일 초대형 사이버 테러 사고 이후 보안조치를 강화하는 것처럼 속여 자신의 금융정보를 입력하도록 유도한다. 입력된 정보는 해커의 원격 서버로 실시간 전송된다. 정보유출 과정이 끝나면 해커의 명령에 따라 시스템 주요 파일이 자동으로 삭제된다. 한마디로 '용무(정보유출)'를 다한 PC를 폭파(?)시키는 수법이다.
◇특정시간, 특정조건에 시스템 파괴…"끝나지 않은 전쟁"
이번에 발견된 변종 악성코드가 MBR(부팅영역) 파괴 기능 등 악성코드 제작기법과 동일하다는 점에서 동일 해커조직의 소행으로 보안 전문가들은 추정하고 있다.
때문에 지난 20일 MBC, KBS, YTN 등 방송사와 신한은행, 농협 등 금융기관의 전산망을 마비시킨 악성코드 공격이 이제는 개인 이용자들을 겨냥했다는 분석이 나오고 있다.
이번 변종 악성코드는 별도의 C&C(명령제어) 서버를 통해 금융정보 탈취에 성공하는 등 특정조건이나 특정시간에 맞춰 해커가 원격지에서 시스템을 파괴하는 기능까지 추가된 것이 특징이다.
이 악성코드는 주로 보안이 취약한 웹사이트를 해킹한 뒤 해당 홈페이지 방문자들을 상대로 무작위적으로 유포되거나 이메일을 통해 배포된 것으로 알려졌다. 특정 대상을 가리지 않는다는 얘기다.
독자들의 PICK!
◇3.20 대란 전부터 정보유출 노렸나…사전 기획된 해킹
지난 20일 6개 방송 및 금융기관 전산망이 다운되기 이전 정보 유출이 이뤄졌을 가능성도 제기되고 있다. 이번에 발견된 변종 악성코드가 일단 이용자 정보를 빼간 뒤 시스템을 파괴하는 기능이 확인됐기 때문이다.
20일 사이버 테러 이전부터 이같은 공격이 사전 치밀하게 준비된 것 아니냐는 분석도 나오고 있다.
이번 변종 코드에서 시스템 파괴 명령을 내린 C&C 서버 주소가 일본 'hades(하데스)' 명칭을 딴 도메인(www.hadesXXX.com)으로 돼 있는데, 20일 사고 이전부터 발견된 'iMBC.exe' 파일과 동일한 C&C 서버 주소였던 것으로 확인된 것.☞지난주 KBS.exe, iMBC.exe 악성파일 돌았다
현재 이 도메인은 민관군 사이버위협 합동조사팀에 의해 25일 긴급 차단된 상태. 그러나 해커조직은 해당 도메인을 미국 IP주소로 긴급 변경하면서 수사망을 따돌리고 있다.
전상훈 빛스캔 이사는 "동일한 공격 명령 서버를 사용하고 있다는 것은 동일 해커조직의 소행일 수밖에 없다"며 "형태는 바뀌었지만 3.20 대란의 주범들의 공격이 현재진행 중이라는 해석도 가능하다"고 분석했다.
한편, '하데스'는 그리스 신화의 지하세계를 다스리는 신으로, 사이버 테러를 소재로 지난해 인기리에 반영됐던 드라마 '유령'에서 주인공으로 나온 천재해커가 쓰던 아이디명이다. 우연일 수도 있겠지만 국내 정황을 잘 알고 있는 사이버 테러범들의 소행일 수도 있다는 추론도 가능하다.