11
20일 오후 2시를 기해 KBS, MBC, YTN 등 주요 방송사와 신한은행, 농협 등 주요 금융기관의 내부 전산망이 일제히 마비되는 사상초유의 사고가 발생하면서 사이버테러 가능성에 무게가 실리고 있다.
해당 방송사와 금융기관 보안 시스템이 정상적으로 작동 중이었는데다 몇대의 컴퓨터가 아닌 특정 회사 수천대의 컴퓨터가 동시다발적으로 악성 코드에 감염됐기 때문이다.
이번 공격은 컴퓨터가 켜진 상태에서 일반 좀비 컴퓨터(바이러스에 걸린 컴퓨터)를 이용해 과부하를 거는 디도스(DDoS, 분산서비스거부) 공격과도 성격이 다르다.
단순히 특정 홈페이지에 과도한 트래픽을 발생시키는 디도스와는 달리 수천대의 컴퓨터가 특정 악성코드에 동시에 노출됐다.
한 두대의 컴퓨터에 악성코드를 심는 것은 흔한 일이지만 수천대의 컴퓨터가 동시에 악성코드에 감영되는 것은 극히 이례적이다.
보안 전문가들은 악성 코드가 특정시간에 집단적으로 작동한 것에 주목하고 있다.
디도스와 달리 컴퓨터 재부팅을 막고 하드에 저장된 데이터를 지우도록 동시에 명령을 내리는 것 자체가 그간의 방식과는 다르기 때문이다.
22
악성코드가 개인 컴퓨터에서 작동하기 위해서는 해당 컴퓨터에 악성 코드를 심는 과정을 거쳐야 한다.
출처를 알 수 없는 이메일을 클릭했다 감염되거나 특정 사이트를 방문했다 유알엘(URL) 뒤에 숨은 악성코드가 심어지는 게 일반적이다.
개인적인 악성코드 유포 경로지만 이번에는 집단적으로 악성코드가 심어지고 동시다발적으로 작동된 것.
국내 유력 그룹의 웹서버를 관리하는 보안업체 관계자는 "악성코드의 실질적인 내용보다는 대량으로 감염된 것에 초점을 맞춰야 한다"고 강조했다.
이 관계자는 또 "우리 나라는 유독 악성코드 유포 유알엘이 많이 분포한다"며 "누군가가 의도적으로 악성코드를 심었을 가능성이 매우 크다"고 말했다.
이어 "한 기관에서 전산망이 마비됐다면 이메일로 악성코드를 심었을 가능성이 있지만 이번에는 여러 기관에서 동시다발적으로 벌어졌다"며 "특정 중요 컴퓨터를 탈취해 내부 시스템을 감염시킨 것으로 보인다"고 덧붙였다.
33
경찰과 국정원 등 관계 당국은 방송사와 금융기관의 특정 서버가 어떻게 악성코드에 노출됐는 지 추적하고 있다.
경찰청 사이버테러대응센터 관계자는 "동시다발적으로 신고가 들어와 현장에 수사관을 급파해 상황을 파악하고 있다"며 "악성코드가 어떤 경로로 내부 업데이트 서버로 들어왔는 지 추적하고 있다"고 말했다.
청와대는 이날 김장수 국가안보실장 내정자가 국가안보실을 비공식적으로 가동해 국방부와 국정원, 경찰 등 관계 기관으로부터 피해 상황과 원인 등에 대한 보고를 받은 것으로 전해졌다.
한편 MBC와 KBS의 감염된 컴퓨터에서 해커들의 소행으로 보이는 ''하스타티(HASTATI)''라는 특정 문자가 나왔다.
컴퓨터 운영 기본 정보를 담은 마스터부트레코드에 새겨진 16진수의 숫자들을 문자로 변환하니 ''HASTATI''가 조합됐다는 것.
하스타티는 로마군 보병대의 3개 대열 중 맨앞에 서는 선봉 부대로 하스타티가 무너지면 제2열의 프린키페스, 제3열의 트리아리가 전장에 투입된다.
제2, 제3의 추가 공격 가능성을 언급한 것으로 해석될 수 있어 주목된다.