SGA 대응팀, 사고 방송사 PC 직접 조사 결과 밝혀져

[보안뉴스 김태형] 20일 오후 2시경 일어난 KBS, MBC, YTN 등 주요 방송사 전산망 마비 사태의 구체적 원인이 악성코드에 의한 APT공격 때문으로 분석되고 있다.

통합보안기업 SGA는 오늘 오후 2시 10분경 한 방송사로부터 컴퓨터 화면이 블루스크린이 뜨더니 재부팅이 안 된다는 소식을 접한 SGA 대응팀이 직접 사고컴퓨터를 조사한 결과 1차 원인은 악성코드 때문이라고 밝혔다.

“다만 방송사는 공통적으로 부팅이 안되는 악성코드 감염의 전형적인 현상이 나타나는 것과는 달리 금융권은 DB공격과 DDoS공격 등 여러가지 패턴으로 혼재돼 나타나고 있어 단순히 악성코드 공격 때문이라고 보기에는 무리가 있다”고 SGA 대응팀 관계자는 말했다. 

방송사에서 수집한 문제의 컴퓨터들은 하드 MBR이 00으로 바뀌고 하드파티션 정보도 모두 날아가 복구 부팅해도 다시 꺼지는 현상이 반복됐다.

또한 SGA 측은 “이번 방송사 전산망 마비 사태가 7.7 DDoS의 마지막 하드파괴 공격과 비슷하다고 보고 있으며 오래 전부터 미리 심어놓은 악성코드가 동시에 지령을 받고 같은 날 비슷한 시각에 공격을 한 것이라고 말했다. 아울러 사고컴퓨터에서 아직까지 개인정보유출의 흔적은 발견되지 않았다”고 덧붙였다.

또한 장애 발생 회사의 서버 보안 솔루션에서는 큰 문제가 발생되지 않았고 결과적으로 KBS, MBC, YTN 등 정치적 이슈가 있는 방송국이 주 공격대상이며, 공격당한 전산자원은 PC로 보인다고 SGA 측은 설명했다.

최근 모 신문사의 악성코드 감염을 위한 기사 웹페이지의 java script 삽입을 위한 소스 위변조 공격이 발생해 자사 서버보안솔루션인 RedCastle 설치 요청등과 같은 이슈가 많이 발생했는데, 해킹세력들은 오랜 시간 준비해 3개 방송사에 악성코드가 감염된 PC를 충분히 확보한 뒤 시한폭탄을 가동한 것으로 보여진다.

SGA는 자사 ‘바이러스체이서’ 백신이 깔린 고객사 확인 결과 사고 신고가 들어오지는 않았지만 계속적인 패턴 업데이트를 계속적으로 진행 중이며 긴급 대응팀 편성을 통해 불시의 공격에 대비하고 있다고 밝혔다.

또한 이번 공격은 “자신도 모르는 사이에 사용 중인 PC가 악의적인 공격 도구로 이용될 수 있으므로 PC 사용자는 주기적으로 운영체제의 보안 업데이트를 실행하고 컴퓨터 백신의 최신 업데이트 한 다음 전체 검사를 실행하는 것이 좋다”고 덧붙였다. 

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>