[3·20대란]악성코드는 '트로이목마'···오랜기간 잠복했다

조유진기자

입력2013.03.21 11:21

시계아이콘01분 53초 소요

숏 뉴스 AI 요약 기술은 핵심만 전달합니다. 전체 내용의 이해를 위해 기사 본문을 확인해주세요.

불러오는 중...

방송사·금융기관 사이버테러 신종 해킹수법은
기업 내부 서버 이용 저장파일까지 삭제 디도스보다 더 무서워

[아시아경제 조유진 기자]주요 방송사ㆍ금융기관에 대한 사이버테러인 '3. 20 대란'은 신종 해킹 수법인 'APT(지능형 지속 공격)'을 사용한 것으로 알려졌다. 이는 외부에서 트래픽 감지를 통해 공격을 사전에 막을 수 있는 디도스(DDoS·분산서비스거부)와는 다른 방식이다.

디도스는 마치 고속도로를 달리는 차들의 트래픽을 막아버리는 것으로, 특정 인터넷 사이트에 일시적으로 접속이 안 되게 하는 것이다. 이번 APT 공격은 외부에서 내부를 공격하는 방식이 아니라 사전에 악성코드를 심어 전산망을 마비시켜 이뤄진 것이다. 네트워크 장애와 더불어 방송사ㆍ금융기관의 PC가 켜지지 않고 저장 파일이 삭제되는 피해까지 발생한 이유도 이 때문이다. 이같은 방식의 해킹은 주로 개인정보 탈취나 변조의 목적으로 사용된다. 때문에 2차 피해가 우려되는 등 디도스보다 더 큰 파괴력을 갖고 있다는 것이 전문가들의 지적이다.

21일 보안업체 안랩은 "이번 해킹 사태 중간 분석 결과 외부 IDC에 위치한 업데이트 서버가 아닌 기업의 내부망의 자산관리서버가 이용된 것으로 확인됐다"며 "공격자가 APT로 업데이트 서버 관리자의 아이디와 비밀번호를 탈취한 것으로 추정한다"고 밝혔다.

APT는 해커가 목표를 정해 놓고 사전에 침입해 네트워크를 장악한 뒤 동시다발로 공격하는 전술이다. 특정 회사나 기관을 정해 직원들의 개인 정보를 수집한 뒤 그 사람이 관심을 가질 만한 내용의 제목으로 e메일이나 메시지를 전송한다. 직원이 해당 메일을 열어봤다면 해당 PC에는 시스템 파괴명령이 담긴 위장 악성코드가 심어진다. 위장된 악성코드는 오랜 기간 잠복 후에 활동하는 윔바이러스나 트로이목마 형태를 띤다. 사용자가 서버에서 이를 내려받으면 악성코드가 PC로 전송돼 특정한 시간에 하드디스크를 파괴하는 활동을 개시한다.

방송통신위원회 관계자는 "피해기관의 업데이트 관리서버(PMS)에 트로이목마가 심어져 전산마비 사태를 불러일으킨 것으로 파악됐다"면서 "최초 공격지점, 공격자 등 구체적인 공격경로를 추적하고 있다"고 전했다. 사건 발생 초기 KBSㆍMBCㆍYTN 등 주요 방송사들이 모두 LG유플러스 통신망을 이용하는 것으로 알려져 이 통신망이 유포 경로로 활용된 것 아니냐는 의혹이 제기됐으나 사실이 아닌 것으로 드러났다. 민관군 합동대응팀도 "이번 사건은 피해 기관의 내부 악성코드에 감염된 것이 주요 원인으로 추정된다"고 밝혔다.

현재까지 확인된 바로는 전산망 '마비'가 목적이지만 이미 피해를 입은 곳에 관심을 집중시켜 놓고 다른 곳의 정보를 빼갈 가능성도 높다. 이번 해킹 공격은 2차, 3차에 걸쳐 이어질 수 있다는 관측이 제기되는 이유다. 이번 사이버테러 용의자 해커들이 악성코드에 감염된 컴퓨터에 특정 문자(암호)를 남겼는데 이 문자열이 추가공격을 예고하는 것으로 분석됐다. 감염 PC의 하드디스크를 확인한 결과, 암호같은 16진수의 숫자들이 숨겨져 있는 것으로 확인됐다.

보안업체 잉카인터넷 관계자는 "해커가 하스타티라는 단어를 남긴 것으로 미뤄볼 때 이번 악성코드가 1차 공격이고 추후 2차 3차 공격을 예고하는 것으로 관측된다"고 말했다. 해커들이 실력을 과시하기 위한 목적이라면 추가 공격의 가능성도 충분하기 때문에 적절한 대비가 필요하다는 지적이다.

다른 곳에도 악성코드라 심어졌지만 아직 감염이 되지 않았을 수 있다. 잉카인터넷 관계자는 "이번에 공격 받은 방송사와 금융사의 악성코드 의심파일을 수집해 내부 코드를 분석한 결과 2013년 2월20일 오후2시로 파괴 기능을 동작시키도록 만들었음이 드러났다"며 "해커들이 지난 20일 공격을 망을 마비시키는 테스트 공격으로 삼고 2, 3차 공격을 준비중일 수 있다"고 말했다.

한편 이번 전산망 대란 주범으로 최초 언급된 '후이즈'일 가능성이 유력하게 제기되는 가운데 캐나다 소재 한 백신업체 소포스는 이번 사이버테러가 자신들이 1년 전에 감지한 악성코드라고 주장했다. 후이지는 홈페이지 변조를 통해 '우리는 해킹에 관심 있다. 이것은 우리 행동의 시작이다'라며 전산망 마비 사태가 자신들의 소행이라고 주장하고 있다. 소포스는 전산망 마비의 원인이 된 악성코드를 분석한 결과, 코드명 '다크서울(DarkSeoul)'로 알려진 악성코드라고 밝혔다.