IT·과학 산업 경제
정치 사회 문화·생활
전국 글로벌 연예·스포츠
오피니언 포토·영상 기획&시리즈
스페셜&이벤트 포럼 리포트 아이뉴스TV

3·20 '해커는 어떻게 악성코드를 옮겼을까'

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

백신 업데이트파일 바꿔치기? 제3의 악성파일 생성?

[김국배기자]'해커는 어떻게 악성코드를 옮겼을까'

'3 20 대란'을 일으킨 악성코드는 방송사와 금융사 내부의 패치관리서버(PMS)를 통해 사용자 PC로 뿌려진 것으로 확인되고 있다.백신 가는 길이 곧 악성코드가 가는 길이 된 것이다.많은 사람에게 좀 더 자주 최신 패치를 보내 주려던 의도는 오히려 독이 된 셈이다.방패가 틈새를 제공했다는 평이 나오는 이유다.

해커가 어떻게 내부망에 침입했는지는 두 번째로 두더라도 이번 3·20 대란에 대한 궁금증은 '내부 전산망에 몰래 들어온 해커가 어떻게 사람들에게 악성코드를 옮겼을까'에 모아진다.해커가 악성코드를 옮기는 동안 백신은 과연 무엇을 했을까 역시 알고 싶은 부분이다.

보안 전문가들은 관리자 계정을 탈취한 악성코드가 사용자 내부 네트워크에 설치된 백신 제작사의 관리서버를 통해 클라이언트 PC로 배포됐다고 전제할 경우 두 가지의 시나리오에 주목한다.

◆시나리오 1. 백신 업데이트 파일 바꿔치기

해커가 패치관리서버 내부에 저장된 백신 업데이트 파일 중 하나를 악성코드로 바꿔치기 한 후 이를 사용자 PC로 뿌리는 방법이다.

여기서 문제의 소지가 있는 부분은 바로 '무결성 검사'다. 무결성 검사는 보낸 파일과 받는 파일이 동일한 지 여부를 가리는 것으로 제대로된 업데이트 파일을 보내고 받았는지 확인하는 단계다.

무결성 검사에는 보통 해쉬값을 이용하는 방식이 사용되는데 일반적으로 이 작업은 구간별로 이뤄진다.

백신 회사에서 인터넷데이터센터(IDC)에 위치한 백신 업데이트 서버로, 백신업데이트 서버에서 패치관리서버로, 여기서 다시 사용자PC로 가는 각 단계에서 무결성 검사가 행해진다.

이번 사건이 업데이트 서버 해킹이 아니라 관리자 계정 탈취로 인한 것이라면 마지막 단계만이 사고의 빌미를 제공한 것이다.

한 외국계 보안회사 기술 담당자는 "패치관리서버에서 사용자에게 내려 보내는 파일이 변조된 파일이라면 해당 업데이트가 백신에 적용되지 않고 에러가 나게 된다"고 설명했다.

지난 21일 하우리는 "엔진 업데이트 서버가 해킹된 것이 아니고 해커의 악의적 목적으로 백신 프로그램 파일을 변조해 악성코드를 감염시킨 후 디스크를 손상시켜 부팅불가 증상이 발생했다"고 발표했다. 또한 "본 취약점의 대처 방안으로 othdown.exe 실행 전 파일의 무결성을 검사해 본래의 파일이 맞는 경우에만 실행하도록 보완해 같은 사례가 재발하지 않도록 조치했다"고 밝혔다.

이는 사실상 무결성 검사를 하지 않은 것을 시인한 것으로 문제가 바로 이 과정에서 발생했음을 유추할 수 있도록 한다.

일각에서는 해커가 관리자 계정을 탈취했어도 백신 업데이트 폴더에 접속해 파일을 바꿔치기 하는 것은 쉽지 않다고 지적한다. 일반적으로 업데이트 폴더 자체에 보호 기능이 포함돼 있다는 이유에서다.

보안업계의 한 관계자는 "서버 자체의 관리자 계정과 PMS 프로그램의 관리자 계정이 다른 경우도 있다"며 "두 가지 계정을 모두 탈취해야 변조나 대체가 가능하다는 것"이라고 말했다.

◆시나리오 2. '제3의 악성파일' 생성해 배포

두번째로 유추 가능한 시나리오는 해커가 백신과 무관한 제3의 악성 파일을 만들고 이를 패치관리서버의 '자동 배포 기능'만을 악용해 뿌려 버린 경우다. 패치관리서버가 꼭 백신 업데이트 파일만 내려보내는 역할을 하는 것은 아니기 때문에 가능한 일이다.

이 경우 해커가 PMS의 강제적인 자동 배포 기능을 '편리하게' 이용한 것일 뿐 백신 업데이트 파일 자체가 변조되거나 대체된 것은 아니다. 백신 업데이트 파일 이외에 파일에 대한 무결성 검사 진행 여부는 아직까지 확인되지 않았다.

이에 대해 안랩 관계자는 "V3는 무결성 검사를 진행하지만 다른 파일에 대해서는 확인해 봐야 알 수 있다"며 "V3의 변조 가능성은 아직 조사 중이라 확실히 답할 수 없다"고 말했다.

현재까지 발견된 변종 파일 중에는 백신 파일의 이름 뿐 아니라 다른 이름의 파일들도 발견되고 있다. 두번째 시나리오를 배제할 수 없는 이유이기도 하다.

이는 패치관리서버가 단지 악성코드의 경로로만 악용됐고 백신을 직접 문제 삼을 여지가 적어 백신 회사들의 입장에서는 나쁘지 않은 시나리오이기도 하다.또한 무결성 검사와 관계 없이 관리자의 보안의식 부재 등 관리 서버 계정을 미흡하게 관리한 점도 도마 위에 올릴 수 있다.

하지만 알려진대로 패치관리서버는 자동 배포 기능이라는 편리함 덕에 백신 뿐 아니라 다른 SW를 내려 보내는 데도 활용되고 있다. 그러다 보니 사용자들에게 적용해야 할 프로그램들이 패치관리서버에 쌓일 경우 패치관리서버는 우선순위에 따라 업무를 진행한다. V3와 같은 보안 솔루션은 작업에서의 우선순위가 높은 편이다.

김국배기자 vermeer@inews24.com



주요뉴스


공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.
alert

댓글 쓰기 제목 3·20 '해커는 어떻게 악성코드를 옮겼을까'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기


뉴스톡톡 인기 댓글을 확인해보세요.