안랩 "3.20은 전형적 지능형지속위협(APT) 사례"

[김국배기자] 지난 20일 발생한 '전산망 대란'은 공격자가 악성코드로 기업의 PC를 감염시켜 장악한 후 해당 기업의 취약점을 노려 공격한 지능형지속위협(APT, Advance Persistent Threat)의 전형적인 사례였던 것으로 조사됐다.

29일 안랩(대표 김홍선)은 3·20 전산망 장애에 대한 자체 중간조사 결과를 발표하고 "이번에 피해를 입은 방송사 및 금융사들은 기업의 PC를 장악한 후 해당 기업의 각기 다른 취약점을 각개격파식으로 공격한 APT 공격으로 추정된다"고 공식 발표했다.

안랩은 또한 "농협의 경우 자사가 납품한 자산 및 중앙관리서버(APC서버)의 계정(아이디,패스워드)이 관리소홀로 탈취된 흔적이 있으며 같은 APC서버의 '로그인 인증 관련 취약점'으로 인해 악성코드가 내부망으로 배포될 수 있었다"며 관리소홀을 인정하고 농협에 사과의 뜻을 전했다.

안랩은 "해당 취약점은 모든 관리 서버가 아닌 특정 버전에만 있는 버그로 즉시 수정보완 조치를 취했으며 이를 보완하고자 APC 보유 고객사를 대상으로 보안 정책 점검과 서버의 로그인 인증 우회 차단을 위한 '보안 정책 점검 툴'을 지난 27일부터 제공하고 있다"고 밝혔다.

안랩은 이와 관련 공격 발생 당일인 3월 20일 17시 49분 긴급 V3 엔진 업데이트를 진행했고 18시 40분에는 전용백신을 배포했으며 25일에는 고객사 대상 'APT 트레이스 스캔(APT Trace Scan)'을 제공했다. 더불어 같은날 기업 뿐 아니라 불특정 다수를 대상으로 한 변종악성코드 추가배포 징후를 포착해 주의를 당부하기도 했다.

안랩은 앞으로 기업 사용자가 아닌 일반 사용자를 대상으로 'APT 트레이스 스캔'도 홈페이지를 통해 제공할 계획이다.

김홍선 안랩 대표는 "관리 소홀 및 제품 기능 상 이슈에 대해서는 책임을 통감하고 신속히 보완대책을 강구하고 있다"며 "고객사인 농협에 대해 진심으로 사과의 뜻을 전한다"고 말했다.

김홍선 대표는 "그러나 정밀한 해킹 대응을 위해서는 내부 PC에 대한 탈취 과정을 밝혀야 하는 과제가 남아 있고 시중에 너무 많은 공격 위험(백도어)들이 도사리고 있어 관계 당국과 기업, 개인 소비자 모두가 이를 사전에 대비하고 예방할 수 있도록 많은 관심과 주의를 기울여야 한다"고 강조했다.

안랩은 농협 이외의 다른 고객사에 대해서도 좀 더 명확한 조사를 진행한 후 추가 분석결과를 발표할 예정이다.