보안업체 분석 결과, 악성코드 분석해 긴급 업데이트 중

악성코드에 의한 MBR파괴 및 시스템 마비가 주요 원인

[보안뉴스 김태형] 20일 발생한 방송사 및 금융권의 대규모 전산망 마비 사태는 일단 악성코드에 의한 MBR 파괴 및 시스템 마비로 파악되고 있다.

문종현 잉카인터넷 대응팀 팀장은 “잉카인터넷 대응팀은 오늘 발생한 전산망 마비 사태와 관련해서 의심파일을 수집하고 다양한 분석업무와 전사적인 긴급 대응을 가동 중에 있다. 현재 모든 가능성을 열어두고, 각종 단서와 정보를 수집 중에 있으며, 파괴된 MBR(Master Boot Record)에는 ‘PRINCPES’ 라는 문자열이 포함된 것으로 확인됐다”고 밝혔다.

또한, 그는 “일부 의심파일 중에 ‘ApcRunCmd.exe’, ‘OthDown.exe’ 파일이 확인됐다. 현재까지 분석한 바로는 악성코드에 의한 MBR 파괴와 이로 인한 시스템 마비가 원인인 것으로 보고 있다”고 말했다.

문 팀장은 현재 긴급 업데이트를 하고 있으며 PC사용자들은 지금 백신 업데이트와 운영체제 업데이트를 통해 보안을 강화하고 주의를 기울여야 한다고 강조했다.

SGA 대응팀도 “오늘 직접 사고컴퓨터를 조사한 결과 1차 원인은 악성코드 때문이다. 다만 방송사는 공통적으로 부팅이 안되는 악성코드 감염의 전형적인 현상이 나타나는 것과는 달리 금융권은 DB공격과 DDoS 공격 등 여러가지 패턴으로 혼재돼 나타나고 있어 단순히 악성코드 공격 때문이라고 보기에는 무리가 있다”고 설명했다. 

또한, “이번 방송사 전산망 마비 사태가 7.7 DDoS의 마지막 하드파괴 공격과 비슷하다고 보고 있으며 오래 전부터 미리 심어놓은 악성코드가 동시에 지령을 받고 같은 날 비슷한 시각에 공격을 한 것”으로 분석하고 있다.

이와 관련 문일준 빛스캔 대표는 “지난주 웹사이트를 통해 대량으로 유포된 악성코드 가운데, 일부 설치파일명이 ‘KBS.exe’, ‘MBC.exe’이 것들이 있었다. 현재 수집된 이들 파일에 대한 분석을 하고 있다”고 밝혔다.

또한, 문 대표는 “악성코드가 지난주 대량 유포될 당시 보안업계에 일부 포착되긴 했지만 훨씬 그 전부터 유포되기 시작했을 가능성이 있다. 이 같은 정황은 이번 방송사 및 금융권 대규모 전산망 마비사태가 특정 조직에 의해 미리 준비됐을 가능성이 있다는 것을 유추할 수 있다”고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>