숨어 있던 악성코드, 방송·민간 사이트 공격

3개 공영방송과 6개 금융기관 전산망을 초토화시켰던 '3ㆍ20 사이버 테러'발생 일주일이 지났지만 공격은 계속되고 있다. 당시 해커가 심어 놓았던 20여종의 변종 악성코드가 방송사와 민간사이트, 개인PC 수백대를 재차 무력화시켰다.

26일 관계당국에 따르면 지난 20일 공격을 받았던 YTN 전산시스템에 이날 오전 또다시 악성코드로 인한 장애가 발생, 홈페이지 접속이 되지 않고 자료 일부도 손상된 것으로 전해졌다. 민간사이트인 '날씨닷컴'도 악성코드의 공격을 받았으며, 이 사이트에 접속했던 수백대 개인 PC도 악성코드에 감염됐다.

한 당국자는 "새로운 악성코드가 등장한 게 아니라 해커가 3ㆍ20 사이버테러 때 여러 종류의 악성코드를 침투시켰고 이들이 공격을 한 것"이라고 말했다. 다른 당국자도 "피해를 본 방송사와 금융기관의 자료를 분석한 결과 모두 동일 해커가 제작한 악성코드들이었다"며 "처음엔 악성코드 종류가 14종 발견됐지만 현재는 20여종까지 늘어났고 이 숫자는 더 늘어날 수도 있다"고 말했다.

이날 KBS 홈페이지 접속도 불안했는데, 이 또한 악성코드 때문으로 당국은 보고 있다.

각 악성 코드들은 공격방식이 조금씩 달랐다. 3ㆍ20 사이버 공격을 퍼부은 악성코드들은 하드디스크의 마스터부트레코드(MBR)를 파괴해 PC를 다시 켜지 못하게 하는 것이 특징. 하지만 추가 발견된 악성코드는 홈페이지 접속을 방해하고 일부 자료를 삭제하는 공격방식을 택했다.

당국은 이 모든 것이 해커의 치밀한 계산에 의한 것으로 보고 있다. 한 보안전문가는 "해커가 한 가지 공격이 실패할 경우 다른 공격이 이어지도록 사전계획을 한 것 같다"면서 "아직 발견하지 못한 악성코드가 있다면 추가 공격, 다른 형태의 공격도 예상할 수 있다"고 말했다.

3ㆍ20때와는 달리 민간사이트(날씨닷컴)도 당했는데, 안랩 관계자는 "변종 악성코드가 명령서버로부터 지령을 받는 것을 확인하고 이를 차단했다"고 밝혔다. 특이한 건 이 악성코드들은 공격시기가 따로 정해져 있지 않고 명령서버로부터 공격 날짜를 그때그때 지시받는 형태였다는 점. 이 관계자는 "이번에 차단한 명령서버는 극히 일부에 지나지 않을 것"이라며 "명령 서버는 악성코드가 교신하기 전까지는 발견하기 어렵기 때문에 추가로 발견된다면 또 다른 공격 행위가 일어나는 것을 의미한다"고 말했다.

또 이날 오후 ▦NK지식인연대 북한민주화네트워크 등 탈북자단체 ▦자유북한방송 데일리NK 북한개혁방송 등 대북 인터넷 사이트 ▦조갑제닷컴 코리아318 등 보수 사이트들도 해킹공격으로 추정되는 접속장애 현상이 발생했다. 해당 사이트들은 천안함 공격 3주기를 맞은 '북한의 사이버 세레모니'에 무게를 뒀지만, 사실 여부는 확인되지 않고 있다.

아울러 7개 지방자치단체 홈페이지가 다운되는 사고도 발생했지만, 이는 해킹 아닌 내부전산 과부하에 따른 것으로 밝혀졌다.

박근혜 대통령은 이날 국무회의에서 방송 통신 금융 등 주요 민간시설에 대한 총체적 안전점검 필요성을 강조하면서 "중요한 국가안보사안인 만큼 국가안보실에서 대책을 마련해 주길 바란다"고 말했다.

최연진기자 wolfpack@hk.co.kr

김현수기자 ddackcue@hk.co.kr