[보안뉴스 권 준] 보안전문기업 하우리(대표 김희천)는 3월 20일 오후 2시경 주요 방송사 및 금융기관의 전산망 마비 사태가 발생한 것과 관련해 일각에서 주장하는 것처럼 엔진 업데이트 서버가 해킹된 것은 아니라고 주장했다.

하우리 측은 이번 사태와 관련해 악성코드 상세 분석 보고서를 발표하면서 현재까지 파악된 내용으로는 시스템 부팅시 로드되는 MBR(Master Boot Record)과 드라이브 파티션 정보를 악성코드가 변조 및 파괴해 발생한 것이라고 밝혔다.

하우리 측은 장애 증상 PC에서 샘플 파일을 수집하여 분석한 결과, 악성코드가 하우리 백신 프로그램의 구성모듈 파일(파일명: othdown.exe)로 위장했고, 타 백신 프로그램 경우도 악성코드가 서버 구성모듈로 위장했다는 것. 

정상파일로 위장한 악성코드는 특정 매체사와 금융권으로 침투한 후, 하위 클라이언트 사용자까지 내려가서 실행되어 전산망 마비를 일으켰으며, 정상 백신 모듈 파일로 위장한 악성코드는 MBR 파괴, 드라이브 파디션 정보 파괴의 증상이 발생하며, 복구가 불가능할 것으로 판단했다.

하우리 김희천 대표는 "엔진 업데이트 서버가 해킹된 것은 아니며, 해커의 악의적인 목적으로 백신 프로그램 파일을 변조했으며 악성코드 감염 후 디스크 손상으로 인한 부팅불가 증상 발생, 파괴가 유발됐다"며, “이번 취약점의 대처방안으로 othdown.exe 실행 전 파일의 무결성을 검사하여 본래의 파일이 맞는 경우에만 실행하도록 보완하여 같은 사례가 재발되지 않게 조치했다”고 밝혔다. 

또한, 이번 악성코드에 패턴 업데이트가 20일 저녁 7시 20분경 조치가 완료되어 추가적인 피해 발생은 사용자가 최신 업데이트만 유지한다면 발생하지 않는다고 말했다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>