“중국 IP가 접속해 전산망 마비 악성파일 생성”<종합>
2013-03-21 11:26
아주경제 이한선 기자= 전산망 마비 사태의 원인이 중국 IP에서 접속해 악성파일을 생성했기 때문인 것으로 확인됐다.
정부는 21일 브리핑에서 농협 시스템에 대한 분석 결과 중국 IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성한 것으로 확인됐다고 밝혔다.
박재문 방송통신위원회 네트워크정책국장은 후속공격 여부에 대해 “모든 가능성을 열어놓고 있지만 이번 공격이 주로 업데이트 서버를 해킹해 악성코드를 뿌린 형태의 공격이기 때문에 백신 업데이트 서버와 인터넷을 분리하도록 했다”며 “같은 유형의 추가 공격에 대해서는 어느 정도 대응이 될 것으로 본다”고 말했다.
박 국장은 일반인들이 피해를 입을 우려에 대해서는 “악성코드가 업데이트 서버를 통해 유포돼 피해를 입은 6개사 PC에 접속한 시스템이 감염된 것으로 내부 PC 외 일반 국민에 감염 우려가 있다는 추정은 아직은 어려운 것으로 보인다”고 설명했다.
신화수 KISA 침해대응센터 단장도 “이번 악성코드 유포는 백신 업체의 중앙 업데이트 서비를 통한 것이 아니라 6개사의 별도 내부 업데이트 서버에 침투해 이뤄진 것”이라고 말했다.
하지만 일반인들도 악성코드 감염에 대비해 PC의 CMOS에서 시스템 날짜를 뒤로 돌리고 백신을 업데이트할 필요가 있다고 밝혔다.
이번 전산망을 마비시킨 악성코드는 KBS, MBC, YTN, 신한은행, 농협, 제주은행 등 6개사의 업데이트 서버에 침투해 동시에 PC의 부팅영역을 파괴해 컴퓨터가 켜지지 않도록 했다.
정부는 추가 피해 차단을 위해 안랩·하우리 및 잉카인터넷 등 백신 업체와 협조해 전용 백신을 긴급개발해 한국인터넷진흥원 보호나라 홈페이지 등을 통해 무료 배포하고 있다.
민·관·군 합동대응팀 주관을 악성코드를 분석한 결과 피해 6개사 모두 동일 조직에 의해 공격이 자행된 것으로 판단하고 있고 공격 주체를 지속 추적중이다.
정부는 언론·금융 6개사 PC·서버 3만2000대가 피해를 당했고 피해사 업데이트 관리 서버가 해킹돼 이를 통해 내부 PC가 대량 감염된 것으로 파악하고 있다.
정부는 민·관·군 사이버위협 합동대응팀 중심으로 원인 분석과 피해 확산 차단에 주력하면서 악성코드 분석과 피해PC 복구를 통해 침입 경로 및 공격 기법 등 해커 실체 규명에 주력하고 있다.
현재는 피해 서버·PC의 로그기록과 현장에서 채증한 악성코드 추가 분석을 통해 공격주체를 파악하는데 주력하고 있다.
또 국가 공공기관, 교통·전력 등 국가기반시설, 금융사, 병의원 등 주요기관에 대해 백신 업데이트 서버는 인터넷과 분리토록 하고 PC는 부팅시 CMOS에서 시간 설정을 재조정토록 하는 등 피해 차단 요령을 긴급 전파했다.
추가 공격에 대비해 국토부, 지경부, 행안부, 국정원 등 주요 기반시설에 대한 긴급 보안점검을 실시해 이상이 없음을 확인했다.
피해 회사의 완전 정상화에는 최소 4~5일이 걸릴 것으로 예상하고 있다.