3ㆍ20 사이버테러의 가장 큰 특징은 지속공격위협(APT) 기법이 가미됐다는 점. APT는 사전 잠복과 시간차 공격이 핵심인데, 즉 공격대상(서버)에 1차 해킹으로 미리 숨어 들어가 악성코드를 잠복시킨 뒤 특정 시점이 되면 일제히 공격을 하는 식이다.
이는 20일 2시경 공격이 시작되기 이전, 이미 방송사와 금융기관에 1차 해킹이 이뤄졌음을 의미한다. 안랩은 해커가 1차 해킹을 통해 방송사와 금융기관 업데이트 관리서버(PMS)를 담당하는 관리자 계정(아이디와 비밀번호)을 탈취한 다음, PMS로 침투해 악성코드를 심어 놓은 것으로 분석했다. 안랩 관계자는 "피해 서버 분석결과 계정 탈취 흔적이 있다"며 "1차 해킹이 있었음이 분명하다"고 말했다.
이와 관련, 보안전문가들은 올해 1~2월에 1차 해킹이 있었을 것으로 추정하고 있다. 복상진 한국맥아피 이사는 "20일 사고가 터진 것을 보면 한두 달 전에 이미 해커가 PMS에 침투해 악성코드를 심어 놓은 것으로 추정된다"며 "그 때 해커가 PC들이 어떤 백신을 사용하며 취약점이 무엇인 지 철저히 분석을 마치고 공격시점을 기다렸을 것"이라고 설명했다.
해커가 백신분석을 하는 이유는, 백신을 우회하기 위해서다. APT는 사용하는 백신이 어떤 방법으로 악성 코드를 진단하는 지 파악해 이를 피해가는 지능적 방법을 쓴다. 안랩 관계자는 "APT는 공격대상이 사용하는 백신을 파악해 진단하지 못하도록 소스코드를 변형한다"며 "따라서 해커가 마음만 먹으면 APT를 이용해 얼마든지 국내외 백신들을 우회할 수 있다"고 주장했다.
바로 이런 점 때문에 이번 악성 코드가 개인PC까지도 공격할 가능성이 점쳐지고 있다. 정부가 서둘러 백신 무료보급에 나섰지만, APT의 백신 우회 기능을 통해 이 또한 얼마든지 무력화 시킬 수 있기 때문이다. 보안업체 관계자는 "잠복해 있는 악성 코드들이 다른 날짜에 추가 공격할 가능성도 있고 다양한 변종들이 개인PC를 공격할 수도 있다"고 우려했다.
특히 이번 악성 코드는 소스분석이 어렵도록 하드디스크를 완전히 파괴했기 때문에, 자료 복구는 사실상 불가능하고 추적에도 여러 달 걸릴 수 있다.
따라서 보안전문가들은 개인과 기업의 예방도 중요하지만 인터넷접속업체나 서비스업체들이 서버 관리를 재점검해야 한다고 지적했다. 복 이사는 "개인이 공격받을 가능성도 있기 때문에 각 인터넷 서비스 업체들의 보안관리자들이 서둘러 서버 점검을 다시 해야 한다"고 강조했다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0