머니투데이

통합검색

실시간 속보

경제신춘문예 (~12.08)KMA 2017 모바일 컨퍼런스 (~11.23)
세상과 잘 사는법, 내가 잘 사는법 - 네이버 법률

"안랩V3 뚫렸다" vs "기업망 해킹", 진실은?

안랩, 악성코드 공격 중간분석 발표 "기업 관리자 계정탈취 흔적 발견"

머니투데이 이하늘 기자 |입력 : 2013.03.21 03:20|조회 : 32709
폰트크기
기사공유
KBS와 MBC, YTN 등 주요 방송사와 신한은행과 농협 등 일부 금융사들의 전산망이 20일 오후 일제히 마비된 가운데, 서울 여의도 KBS 본사 보도국의 컴퓨터가 전산 마비로 작동하지 않고 있다. 2013.3.20/뉴스1
KBS와 MBC, YTN 등 주요 방송사와 신한은행과 농협 등 일부 금융사들의 전산망이 20일 오후 일제히 마비된 가운데, 서울 여의도 KBS 본사 보도국의 컴퓨터가 전산 마비로 작동하지 않고 있다. 2013.3.20/뉴스1


안랩 (50,800원 상승100 -0.2%)이 지난 20일 오후 2시께 발생한 일부 방송사와 금융사의 전산망 장애와 관련해 "V3 업데이트 서버를 통해 악성코드가 유포된 것은 사실과 다르다"고 주장했다.

안랩은 21일 새벽 '방송사 및 금융사 공격 관련 중간 분석 결과 발표' 자료를 통해 위와 같이 밝혔다.

안랩은 "이번 전산망 마비에 사용된 악성코드 유포에는 외부망 IDC에 위치한 '업데이트 서버'가 아닌 기업의 내부망의 '자산관리서버'가 이용된 것으로 확인됐다"고 밝혔다.

이와 관련해 안랩 관계자는 "일부 언론에 와전된 것처럼 업데이트 서버가 해킹 당했다는 것은 사실이 아니다"라며 "일부에서 업데이트 서버와, 업데이트 관리서버, 자산관리서버가 혼용돼 사용돼 불거진 오해라고 설명했다.

업데이트 서버란 통상적으로 SK브로드밴드 (4,015원 상승100 -2.4%)KT (29,950원 상승550 1.9%), LG유플러스 (13,050원 상승550 4.4%) 같은 외부 망의 IDC(인터넷데이터센터)에 있는 업데이트 서버를 통칭한다. 보안기업의 해당 서버가 해킹을 당했을 경우 해당 기업은 이번 피해에 대해 책임을 져야 한다. 보안기업의 서버를 통해 해당 기업이 악성코드에 노출됐기 때문이다.

반면 자산관리서버는 기업의 내부 망에서 직원들의 PC가 최신 SW(소프트웨어)로 유지되는지 중앙에서 관리하는 서버를 뜻한다. 해당 자산관리서버의 관리자 계정이 탈취당하면 어떤 보안프로그램도 이를 제어할 수 없다. 때문에 이 경우 보안기업은 이번 보안사고 책임이 없다고 볼 수 있다.

안랩은 "현재까지 분석한 결과 일부에서 계정탈취 흔적이 보이나 정확한 원인은 현재 분석 중"이라고 설명했다.

또한 "공격자(해커)가 APT(Advanced Persistent Threat: 지능형 지속공격)에 의해 자산관리서버의 관리자 계정(ID, PW)을 탈취한 것으로 추정한다"며 "이는 안랩이 구축한 서버의 취약점 때문은 아니다"라고 설명했다.

다만 관리자 계정 탈취가 아닌, 안랩이 구축한 자산관리서버의 취약점이 발견되면 이번 사고와 관련한 책임소재는 불분명해진다. 안랩은 추가 적인 정밀 조사를 통해 조속한 시일 안에 명확한 원인을 발표할 예정이다.

한편 장애를 일으킨 악성코드는 'Win-Trojan/Agent.24576.JPF'로 알려졌다. 이 악성코드는 안랩의 통합자산관리 서버를 거쳐 APC와 연결된 PC가 이용된 것으로 확인되었다.

이번 악성코드는 PC를 감염시킨 후 PC가 부팅되는 데 필요한 영역인 MBR(Master Boot Record)를 손상시킨다. 이 때문에 감염된 PC는 부팅이 되지 않는다. 또한 논리 드라이브를 손상시켜 PC 내 문서 등의 데이터를 손상 또는 삭제한다. 윈도비스타, 윈도7은 모든 데이터가 손상되며 윈도XP, 윈도2003 서버는 일부가 손상된다.

이와 관련해 안랩은 20일 오후 5시49분 최신 업데이트 엔진을 제공했다. 또한 이번 악성코드 전용백신은 오후 6시40분에 내놨다.

안랩 관계자는 "이번 공격은 특정 타깃을 노린 APT 공격으로 파악되나 현재 추가적으로 변종이 발견되고 있어 불특정 다수를 대상으로 한 공격의 위험이 있다"며 "기업체 외에 일반 사용자들도 최신 버전으로 백신을 업데이트할 것"을 권고했다.

한편 이번 보안사고로 인해 보안솔루션 무용론 논란도 재점화될 것으로 보인다. 공격자가 해당 조직의 관리자 계정을 취득, 명령을 내리면 현존하는 보안솔루션은 이를 정상명령으로 인식하기 때문이다.

보안업계 관계자는 "일단 내부망에 침투해 관리자의 계정을 취득한 해커의 공격은 보안기업이 손을 쓰기 어렵다"며 "APT 공격 대응 제품을 미리 설치해야 이 같은 타깃공격을 방어할 수 있다"고 설명했다.

  • 0%
  • 0%


오늘의 주요뉴스

1개의 소셜댓글이 있습니다.

댓글쓰기
트위터 로그인배종엽  | 2013.03.21 09:21

관련 관리자는 이거 해결하고 나면 감봉 또는 징계당하겠네요. V3 인터넷 시큐리티도 만능이 아니니 사용한다고 안전한건 아니라는게 문제입니다. 주가가 내력가네요ㅠㅠ

소셜댓글 전체보기


베스트클릭

실시간 급상승

10초

5분간 수집된 조회수 기준

오늘의 운세

많이 본 뉴스