머니투데이

머니투데이 페이스북 머니투데이 트위터
통합검색

오늘의 증시

오늘의 증시
코스피 코스닥 원/달러
2068.05 671.56 1134.30
보합 3.18 보합 0.71 ▲1
-0.15% +0.11% +0.09%
메디슈머 배너 (7/6~)조 변호사의 가정상담소 (10/18)
블록체인 가상화폐

안랩·하우리 "백신 업데이트 모듈로 위장했을 뿐, 해킹 아냐"

[전산망 대란]"정상 백신모듈 위장파일에 당한 것"

머니투데이 이하늘 기자, 배소진 기자 |입력 : 2013.03.20 23:07|조회 : 16322
폰트크기
기사공유
20일 오후 일부 방송사 및 금융사 전산망 마비와 관련해 프로그램 취약점 악용 가능성이 제기됐던 백신체들이 이와 관련해 해명에 나섰다.

20일 안랩 (42,000원 상승1150 2.8%)과 하우리는 "백신 프로그램의 취약점을 악용, 해킹을 당해 악성코드 유포에 악용됐을 가능성이 없다"고 밝혔다.

방송통신위원회는 KBS, MBC, YTN 등 방송사와 신한은행 등 금융전산망을 마비시키는데 사용된 악성코드는 업데이트관리서버(PMS)를 통해 유포된 것으로 추정했다. 이에 따라 해당기업에 백신을 공급하는 안랩과 하우리가 악성코드 유포에 악용됐을 수 있다는 분석이 제기됐다.

하지만 이들 기업은 자사 백신의 문제가 아니라는 설명이다. 하우리는 이날 밤 보도자료를 통해 "장애 증상 PC에서 샘플 파일을 수집해 분석한 결과, 악성코드가 하우리 백신 프로그램의 구성모듈 파일(파일명: othdown.exe)로 위장했다"며 "타 백신 프로그램(안랩) 역시 서버 구성모듈로 악성코드가 위장한 것"이라고 밝혔다.

↑하우리가 분석한 악성코드. 이 코드는 20일 오후 2시부터 작동하도록 사전에 입력됐다.
↑하우리가 분석한 악성코드. 이 코드는 20일 오후 2시부터 작동하도록 사전에 입력됐다.
하우리 분석에 따르면 정상 파일로 위장한 악성코드는 특정 매체사와 금융권으로 침투한 후 하위 클라이언트 사용자까지 내려가서 실행되어 전산망 마비를 일으켰다.

정상 백신 모듈 파일로 위장한 악성코드는 MBR 파괴, 드라이브 파디션 정보 파괴의 증상이 발생하며 복구가 불가능할 것으로 판단된다.

김희천 하우리 대표는 "엔진 업데이트 서버가 해킹된 것은 아니다"라며 "이번 취약점의 대처 방안으로 othdown.exe 실행 전 파일의 무결성을 검사해 본래의 파일이 맞는 경우에만 실행하도록 보완하여 같은 사례가 재발되지 않게 조치했다"고 말했다.

안랩 관계자 역시 "내부 점검 결과, 백신 프로그램의 취약점을 악용, 해킹을 당해 악성코드 유포에 악용됐을 가능성은 없다"고 밝혔다.

안랩은 "해당 악성코드는 V3엔진을 업데이트하면 검사 또는 치료가 가능하다"며 "이날 오후 6기경부터 제공 중인 전용백신으로도 검사·치료할 수 있다"고 덧붙였다

한편 이번 악성코드가 유포된 업데이트 서버 관리권한은 백신 공급사가 아닌 해당 기업들에게 있다. 공격자(해커)가 시스템 관리자 권한을 획득한 뒤 해당 서버를 통해 악성코드를 배포했을 가능성이 높다.

보안업계 관계자는 "해커는 시스템 관리자 권한을 이용해 악성코드를 마치 백신 업데이트 모듈로 위장하는 방식으로 유포했을 것"이라고 설명했다.

안랩과 하우리는 이날 저녁 홈페이지를 통해 해당 악성코드에 대한 긴급업데이트를 완료했다. 이번 업데이트를 통해 추가적인 피해발생이 없을 것이라는게 이들의 설명이다.

  • 0%
  • 0%


오늘의 주요뉴스

1개의 소셜댓글이 있습니다.

댓글쓰기
트위터 로그인waterww1  | 2013.03.21 02:48

정보망 대란이 실시간 검색에 들지 못하고 이런 일개업체의 해명이 검색에 들다니 이거 말이 되니? 도대체 말이되니? 분통터진다. 우리를 장님 귀먹어리로 만들겠다? 그런시대는 갔다. 각오하...

소셜댓글 전체보기



베스트클릭

실시간 급상승

10.0초

5분간 수집된 조회수 기준

오늘의 운세

많이 본 뉴스