이미 감염된 달 10일 이후 하드 파괴 명령 수행

[보안뉴스 오병민] 최근 일어난 DDoS 공격에 이용된 악성코드가 작년 7.7 DDoS 공격 때 이용된 악성코드와 동일한 것으로 확인됐다. 이에 따라 작년에 7월 10일 악성코드가 자동으로 감염PC의 하드디스크를 파괴하는 명령을 수행할 수 있을 우려가 나타나고 있다. 그러나 전문가들은 하드디스크 파괴의 가능성은 거의 없다고 진단하고 있다. 따라서 혹시 모를 위험에 대비하기 위해 백신 검사는 필수라고 이야기한다.

전문가들은 작년과 마찬가지로 10일 0시에 DDoS 악성코드가 감염된 PC를 대상으로 하드디스크가 파괴되는 명령을 수행할 가능성은 있지만 피해 대상은 많지 않을 것으로 예상하고 있다. 그 이유는 당시 닷넷 프레임이 설치되지 않은 PC의 경우 하드디스크 파괴 명령이 시행되지 않았기 때문이다. 따라서 현재 남아있는 7.7 DDoS 악성코드가 당시 하드디스크 파괴 명령이 시행되지 않은 악성코드일 확률이 높다고 판단하고 있다.

아울러 당시 7.7 DDoS 악성코드를 분석한 전문가들은 꼭 7월 10일이 아니라도, 악성코드가 감염된 시간에 따라 감염된 그 달의 10일에는 하드파괴 명령이 시행되도록 명령돼 있었다고 분석한다. 따라서 이미 하드디스크 파괴 명령은 감염된 달 10일에 실행이 됐었을 것으로 판단하고 1년이 지난 현 시점에서는 남아있는 악성코드가 하드디스크를 파괴할 가능성은 매우 낮다고 예측하고 있다.

또한 7.7 DDoS 악성코드가 시스템 시간을 바꾼다고 알려져 있지만 실제로 시간을 바꾸는 것이 아니기 때문에 하드디스크 파괴 명령이 실행되는 조건을 충족하는 것은 쉽지 않다고 이야기한다.

당시 7.7 DDoS 악성코드를 분석했던 한 보안전문가는 “7.7 DDoS 악성코드가 DDoS 공격을 하기 위해 읽어 들인 DDoS 공격 설정파일에는 DDoS 공격 시작 시간이 2009년 7월 7일로 되어있지만 DDoS 공격을 시작하기 위해 시간을 비교하는 과정에서 현재 시스템 시간 값을 가져와 년도를 2009년으로 강제 인식하게 하기 때문에 조건에 만족하여 DDoS 공격을 하게 되는 것”이라며 “그러나 실제로 시스템 시간을 2009년으로 바꾸는 것이 아니고  DDoS 공격 시간 비교과정에서만 변경이 이루어지기 때문에 하드디스크 파괴 명령이 실행되는 시간조건과는 다르다”고 설명한다.

그러나 그는 가능성은 매우 적지만 당시에 닷넷 프레임워크가 설치되어 있으며, PC의 시간을 1년 전으로 되돌렸던 경우에는 하드디스크 파괴 명령이 실행될 수는 있다고 덧붙였다. 따라서 사용자들은 가급적이면 10일 이전에 바이러스 백신으로 전체 검사를 수행을 해, PC의 상태를 깨끗하게 하는 것이 중요하다고 조언했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>