아주 정교한 공격이었다. PC이용자들이 일상적으로 활용하는 프로그램 업데이트 서버에 미리 악성코드를 심어 잠복시켰다가, 업데이트 과정을 통해 PC로 들어가 원격명령을 통해 파괴활동을 개시했다.
악성코드가 만약 시간차 공격을 벌인다면 PC들의 추가 피해도 우려된다.
방송통신위원회와 보안업계 관계자들의 말을 종합해보면 이번 악성코드는 사전 잠복과 시간차 공격을 이용한 '신종 웜바이러스'로 알려졌다. 공격패턴도 과거와는 다른 방식이었다.
해커가 먼저 노린 곳은 업데이트 관리서버(PMS)다. PC이용자들은 운용체계(OS)든 백신이든 혹은 게임이든 수시로 자신이 쓰는 프로그램을 최신의 것으로 업데이트 하는데, 이를 위해 접속하는 곳이 바로 PMS다. 방통위는 바로 이 PMS를 통해 악성코드가 유포됐다고 밝혔다. 즉, 해커는 미리 PMS에 침투해 악성코드를 심어놓았고, 이 악성코드는 업데이트 과정을 통해 방송사와 은행 전산망으로 흘러 들어갔다는 것이다.
정부합동조사팀으로부터 이번 사고를 일으킨 악성코드의 소스를 넘겨받아 분석 중인 보안업체 C사 관계자도 "이번 악성코드의 특징은 특정 업데이트 서버에 접속한 컴퓨터만 공격한 것으로 보인다"며 "그래서 해당 업데이트 서버를 이용한 곳들이 집중 피해를 본 것"이라고 분석했다.
방송사와 은행 전산망 및 PC로 흘러 들어간 악성코드는 곧 바로 활동을 개시하지 않았다. 일정기간 잠복해 있다가 해커의 명령서버(커맨드서버)로부터 지령이 내려오자, 특정 시점에 파괴활동을 동시에 시작했다. 그게 바로 20일 오후 2시 무렵이었고, 방송사와 은행 전산망은 속절없이 무너지고 말았다.
문제는 프로그램 업데이트를 통해 같은 악성코드에 감염된 PC들이 더 있을 수 있다는 점. 만약 시차를 두고 활동을 개시하도록 해커명령이 내려진다면, 추가 전산망다운사태가 벌어질 수 있다는 것이다. C사 관계자는 "만에 하나 악성코드가 다른 PC들까지 공격 대상으로 삼았을 경우 피해는 걷잡을 수 없이 커진다"고 말했다.
더 교묘한 건 이 악성코드가 PC작동을 위해 필요한 하드디스크의 마스터부트레코드(MBR)부터 파괴했다는 점. MBR이 파괴되면 PC를 켤 수 없고 당연히 내부에 저장된 자료들도 소실될 공산이 크다. 또 다른 보안 전문가는 "MBR이 파괴되면 OS를 다시 설치하는 방법 밖에 없다"며 "당연히 저장된 모든 자료는 삭제된다"고 강조했다. 그 바람에 악성 코드 분석도 시간이 길어질 전망이다.
보안전문가들은 이번 공격이 ▲공영방송과 금융기관 등 공공성 강한 기관만 노렸다는 점 ▲하지만 국정원 등이 들여다보고 있는 국가기관은 건드리지 않은 점 ▲악성코드 전파력이 강한 업데이트 서버를 노렸다는 점 등을 감안할 때, 상당히 치밀하고 기술 좋은 해커의 소행으로 보고 있다. 북한소행을 단정할 수는 없지만, 배제할 수도 없다는 지적이다.
아울러 금융기관과 방송사의 허술한 보안체제에 대한 문제도 지적되고 있다. 한 보안업체 관계자는 "공영방송사 보안시스템에 이렇게 구멍이 클 줄은 몰랐다"고 말했고, 금융기관 역시 수 없는 해킹시도가 있었지만 과거와 별로 달라진 게 없다는 비판이 나오고 있다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0