[3·20대란]"악성코드, 백신 업데이트 타고 숨어들어왔다"

"악성코드 유포 경로, 안랩 업데이트 관리서버?"

[아시아경제 김영식 기자]주요 방송사·금융사의 20일 전산망 마비사태를 야기한 악성코드가 컴퓨터보안업체 안랩의 업데이트 서버를 통해 유포됐을 가능성이 제기되고 있다.

이날 방송통신위원회는 "피해 기관으로부터 채증한 악성코드를 초동 분석한 결과, 업데이트 관리 서버를 통해 각 개별 컴퓨터로 유포된 것으로 추정된다"면서 이 악성코드가 사전에 설정된 지령에 따라 일제히 컴퓨터 기동에 필요한 부트섹터(MBR)를 파괴한 것으로 분석했다.

보안 전문가들과 일부 인터넷 관련 커뮤니티에서는 안랩 v3백신의 보안관리자 툴인 'policy agent' 내부 'down' 폴더에 있는 ApcRunCmd.exe 파일이 실행되면서 동시에 부트섹터 파괴가 발생했다는 보고가 올라오고 있다. 한 사용자는 "이 파일이 2시1분에 업데이트되면서 동시에 문제가 발생했다"고 전했다.

보안업계에 따르면 악성코드가 발견된 의심파일은 'imbc.exe', 'sbs.exe', 'kbs.exe' 등 방송사의 이름이 들어 있는 파일 외에도 'ApcRunCmd.exe', 'OthDown.exe'가 포함됐다. OthDown.exe는 보안업체 하우리(Hauri)의 백신프로그램 '바이로봇'의 클라이언트 응용프로그램이다. 악성코드가 보안프로그램 내부를 통해 침투했을 가능성을 볼 수 있는 부분이다.

김영식 기자 grad@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>