IT·과학 산업 경제
정치 사회 문화·생활
전국 글로벌 연예·스포츠
오피니언 포토·영상 기획&시리즈
스페셜&이벤트 포럼 리포트 아이뉴스TV

3·20 전산망 마비 사태 '디도스 공격과 달랐다'

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

악성코드 유포가 주 원인, 사이버 테러 가능성도 있어

[김국배기자] 방송사와 금융권을 공격한 '3·20 전산망 마비' 사태는 해킹에 의한 악성코드(Malware) 유포가 주요 원인으로 파악됐다.

특히 이번 공격은 기존의 대형 해킹 사건과 비교했을 때 공격 대상과 방법도 달라진 전형적인 '지능형지속위협공격(APT)'으로 분석되고 있다.특정 목적과 의도를 지니고 장기적으로 공격을 준비해 온 것으로 파악되고 있어 2, 3차 공격 가능성도 배제할 수 없는 실정이다.

안랩은 "특정 타겟을 노린 APT(Advanced Persistent Threat) 공격으로 파악되나 현재 추가적으로 변종이 발견되고 있어 불특정 다수 즉 일반인을 대상으로 한 공격의 위험이 있으므로 기업체 이외에 일반 사용자들도 최신 버전으로 백신을 업데이트하라"고 권고했다.

◆3·20 전산망 마비 사태 '서버 대신 개개인 PC 노려'

안랩은 21일 중간 분석 결과 장애를 일으킨 악성코드로 윈도용 트로이목마(Win-Trojan/Agent.24576.JPF)을 지목하고 안랩의 통합자산관리 (APC(AhnLab Policy Center)) 서버를 거쳐 APC와 연결된 PC를 이용하여 감염을 일으켰다고 공식 발표했다.

안랩에 따르면 이 악성코드는 PC가 부팅되는 데 필요한 MBR(Master Boot Record)를 손상시키고 논리 드라이브에 이상을 발생시켜 PC 안에 저장된 문서 등의 데이터를 손상 또는 삭제시킨다. 윈도우 비스타(VISTA)와 윈도우 7이 깔려 있는 PC는 모든 데이터가,윈도우 XP와 윈도우 2003 서버는 일부 데이터가 손상 또는 유실된다.

하지만 20일에 발생한 전산망 마비 사태는 이전에 있었던 디도스(DDoS) 공격과는 달랐다는 것이 보안 전문가들의 분석이다. 디도스 공격의 경우 대형 서버나 사이트를 다운시키는 게 목적이었던 반면 이번 공격은 개개인의 PC를 노렸다는 이유에서다.

특히 이번 사태는 또한 금전적 목적보다는 일종의 사이터테러에 무게가 실리고 있다. 돈을 목표로 했다면 게임업체 등을 대상으로 삼는 것이 더 합리적인데 언론사를 타깃으로 공격했다는 점에서 금전보다는 공격에 의미가 실린다는 분석이다.

또한 이번 공격은 파괴를 목적으로 했다는 점에서 사후 파장이 우려되고 있다.이전 7.7 디도스나 3.4 디도스는 공격 서비스 중지에 초점을 맞춰 공격이 중단되면 곧바로 복구가 가능했으나 이번 공격은 순수하게 파괴를 목적으로 한다는 지적이다.

라온시큐어 박찬암 보안기술 팀장은 "일반적인 공격들은 들통나지 않게 파괴를 시키지 않고 계속해서 공격을 감행하면서 사용자 모르게 정보를 빼내는데 이번 해킹은 걸릴 것을 알고도 대놓고 파괴를 자행했다"고 설명했다.

보안 전문가인 홍민표 에스이웍스 대표도 "이전 디도스 공격은 외부 네트워크 망을 통해 들어오는 '바깥에서 안쪽으로'의 공격이었다면 이번 공격은 내부를 통해 시작됐다"며 "학교 건물에 돌을 던진 것이 아니라 그 안의 학생들을 공격한 꼴"이라고 비유했다.

◆2차 공격 있을까

이번 공격의 배후는 아직까지 정확히 밝혀지지 않았다.'후이즈'라는 해커 그룹이 스스로 자신들의 소행이라고 밝히는 정도다.

다만 KBS와 MBC의 악성코드로 손상된 자사 컴퓨터의 하드디스크를 분석한 결과 '하스타티(HASTATI)'라는 문자가 발견되면서 2, 3차 공격 가능성도 배제할 수 없는 상황이다.

하스타티는 옛 로마 군대 중 선봉에 서는 부대를 말한다. 전쟁에서 최전선에 나서는 하스타티가 무너지면 2열에 서있던 부대 프린키패스, 3열의 트리아리가 잇따라 공격에 나선다. 이에 따라 추가 공격의 의미가 담긴 것으로 해석되고 있다.

또한 공격 대상 중 한 곳인 농협의 시스템 분석 결과, 중국 IP(101.106.25.105)가 업데이트 관리 서버(PMS)에 접속해 악성파일을 생성한 정황은 포착됐다.

이를 두고 보안 전문가들은 북한 소행의 가능성에도 무게를 두고 있다. 과거 디도스 공격 당시에도 해커가 중국 IP를 경유한 것으로 나타나 북한의 소행이라는 빌미를 제공했었기 때문이다.

고려대 정보보호대학원 임종인 원장은 "북한은 지난해부터 특정 언론사 등을 지정하면서 보복을 가하겠다고 공언했다"며 "범행 동기를 보면 경제적 목적이 아니라 정치적 목적으로 사회에 혼란을 주는 것인데 그런 면에서 적대적 감정을 북한이라고 보는 게 합리적"이라고 말했다.

김국배기자 vermeer@inews24.com




주요뉴스


공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.
alert

댓글 쓰기 제목 3·20 전산망 마비 사태 '디도스 공격과 달랐다'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기


뉴스톡톡 인기 댓글을 확인해보세요.



TIMELINE