3차 DDoS공격받은 사이트들 현재 정상 서비스

하드디스크 파괴 악성코드, 개인PC에 잠재돼 있어 주의 요망

어제 9일 오후 6시에 대대적인 3차 공격이 있을 것이라는 경고와 달리 실제 대규모 공격은 재발하지 않아 큰 피해는 없었지만 국민은행, 조선일보 사이트만이 일시적인 장애를 일으키는 것으로 그쳤으며, 10일 오전 9시 현재까지 3차 공격대상 사이트들에 큰 이상은 없는 것으로 파악됐다. 하지만 3차 공격시 사용된 악성코드에는 7월 10일 0시 정각에 하드디스크 저장장치의 모든 내용을 파괴하는 프로그램이 실행돼 저장 자료의 손실은 물론 PC 재시작이 되지 않는 악성코드가 심어져 있는 것으로 파악됐으며, 현재 방통위는 이와 관련한 피해 사례가 34건이 발생했다고 10일 발표했다.

이에 김명섭 이스트소프트 팀장은 “하드디스크를 파괴하는 악성코드로 인해 피해를 받은 사례가 이스트소프트 측으로도 금일 9시 현재 3건이 보고됐다”며 “좀비 PC들에 대해 윈도우즈 같은 경우에는 복구가 어려운 것으로 파악하고 있으며, 원본 파일 데이터 복구 솔루션으로 복구가 가능한지 등을 파악하고 있는 상황”이라고 밝혔다.

또한 이번 하드디스크 파괴와 관련해 김명섭 팀장은 “좀비 PC에 숨어 있는 악성코드는 특정 확장자를 강제로 압축하며 랜덤하는 과정에서 패스워드를 걸고 데이터를 파괴하는 수법이 사용됐다”고 말하고 “그럴 경우 일반 개인PC 사용자뿐만 아니라 그 암호수가 불규칙해 현실적으로 찾는 것은 어려울 것으로 판단하고 있다”고 말하며 현재까지 고객문의가 계속적으로 늘어나고 있어 주의가 필요하다고 강조했다.

그리고 김정수 하우리 보안대응센터 김정수 선임연구원은 “현재 하우리는 하드디스크 파괴 관련 바이러스 진단명 3개의 코드 분석을 완료했다”며 “추가적인 피해를 줄이기 위해, 휴지기 상태에 있던 PC들은 ‘안전모드부팅>시스템날짜변경>전용백신 진단·치료’등의 순으로 감염여부를 확인하고, 백신 설치 및 최신 백신 엔진 업데이트를 유지해야 한다”고 말했다.

또한 김정수 선임연구원은 “하우리에 접수된 하드디스크 파괴관련 바이러스 진단명은 ‘I-Worm.Win32.Mydoom.33764’, ‘Trojan.Win32.Agent.36864.CB’, ‘Trojan.Win32.DDos-Agent.41168’”이라고 말하고 “추가적인 DDoS 변종 바이러스가 지속적으로 발생할 가능성이 있어, 관리자 및 사용자의 주의가 절실히 필요하다”고 당부했다.

한편 이번 하드디스크 파괴 관련 바이러스에 대한 대응 방안은 다음과 같다.

1. PC를 안전모드로 부팅한다.

2. 시스템의 날짜를 하루 전으로 변경 한다.

3. PC를 재부팅 한다.

4. 전용백신으로 변종 바이러스에 대한 PC감염 여부를 확인해야 한다.

5. 백신 설치 및 엔진을 최신으로 업데이트 한다.

6. 윈도우 운영체제의 취약점 보안 패치를 적용한다.

즉 안전모드로 부팅하면 악성코드가 로딩되지 않기 때문에 안전모드로 전용백신 다운받아 검사·치료할 수 있으며, 이번 하드디스크 파괴 바이러스는 10일 0시를 기해 작동하기 때문에 이전 날짜로 돌려놓고 재부팅을 하는 것이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>