[아시아경제 김영식 기자]주요 방송·금융사 전산망을 마비시킨 ‘3ㆍ20 대란’ 사태에서 악성코드 유입 경로로 지목됐던 대표적 보안업체 안랩과 하우리는 업데이트 서버가 해킹됐다는 것은 사실이 아니라고 밝혔다. 관리자의 계정을 탈취하는 방식으로 악성코드가 심어졌다는 설명이다.
안랩은 이날 오후 중간분석 결과를 발표하고 “업데이트 서버 해킹은 언론에 와전된 것으로 사실과 다르다”면서 “방송·금융사 등 전산망을 마비시키는 데 쓰인 악성코드 유포는 외부망 데이터센터(IDC)에 위치한 업데이트 서버가 아닌 기업 내부망의 ‘자산관리서버(PMS)’가 이용된 것으로 확인됐다”고 밝혔다.
안랩 측은 “업데이트 서버는 통상적 SK브로드밴드나 KT, LG유플러스 같은 외부 네트워크 IDC에서 전 제품에 대한 업데이트를 수행하는 서버로, 이 서버가 해킹 당한 것은 아니다”라고 설명했다. 자산관리 서버는 기업 내부망에서 최신 소프트웨어로 유지되고 있는지 중앙에서 관리하는 서버로, 안랩의 경우 ‘APC서버’로 불린다.
안랩은 “현재까지 분석한 결과 공격자가 APC서버의 관리자 아이디와 비밀번호 등 계정을 탈취한 것으로 추정된다”면서 “APC서버의 취약점 때문이 아니다”라고 해명했다. 만약 관리자 계정이 탈취됐다면 정상적인 권한을 갖고 접근한 것이기에 취약점이 없는 대부분의 SW가 악용될 수밖에 없다는 것이다.
또 안랩에 따르면 장애를 일으킨 악성코드는 ‘Win-Trojan/Agent.24576.JPF’ 란 이름으로, 이 악성코드가 안랩의 통합 APC서버를 거쳐 연결된 PC로 심어진 것으로 확인됐다. 감염된 PC는 부팅영역(MBR)이 손상돼 부팅이 되지 않으며, 논리 드라이브도 손상시켜 PC 내 문서 등의 데이터를 파괴한다. 안랩은 “20일 오후 6시40분부터 이 악성코드의 진단·치료용 전용백신과 최신 백신 업데이트 엔진을 배포 중으로, 정밀조사를 계속하고 있으며 조속한 시일 내에 원인을 발표하겠다”고 밝혔다.
하우리도 공지를 통해 “업데이트 서버 해킹으로 인한 악성코드 유포가 아니고 방송·금융사 내부망에 설치된 자산관리서버를 통해 이뤄졌다”면서 “악의적인 목적을 가진 해커가 APT 공격으로 자산관리서버의 관리자 계정을 탈취한 것으로 추정된다”고 밝혔다. 하우리 역시 자사 홈페이지를 통해 악성코드를 치료할 수 있는 전용백신을 배포하고 있다.
안랩은 “현재 추가 변종이 발견되고 있어 일반인을 대상으로 한 공격 위험도 있다”면서 기업체 외에 일반 사용자들도 최신 버전으로 백신을 업데이트할 것을 권고했다.
김영식 기자 grad@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>