아주경제 이한선·송종호·박현준 기자= 20일 발생한 6개사의 전산 마비사태에 이어 2차 공격이 일어날 가능성이 크다는 예상이 나오면서 세밀한 대응이 요구되고 있다.

피해가 발생한 컴퓨터 하드디스크 부팅섹터에서 추가 공격을 암시하는 문구가 연속적으로 나타났기 때문이다.

동일한 주체가 중국 IP를 통해 침투한 것으로 확인되면서 북한의 공격 가능성이 높아지고 있는 가운데 추가 사태가 발생할 수 있다는 우려도 커지고 있다.

박재문 방송통신위원회 네트워크정책국장은 21일 브리핑에서 북한의 공격으로 추정할 수 있느냐는 질문에 "중국 IP가 발견돼 여러 추정이 가능할 것"이라며 "다만 현 단계에서는 여러 가능성을 다 열어놓고 해커 실체 규명에 최선을 다하고 있다"고 밝혔다.

후속 공격 여부에 대해서는 "모든 가능성을 열어놓고 있지만 이번 공격이 주로 업데이트 서버를 해킹해 악성코드를 뿌린 형태의 공격이기 때문에 백신 업데이트 서버와 인터넷을 분리하도록 했다"며 "같은 유형의 추가 공격에 대해서는 어느 정도 대응이 될 것으로 본다"고 말했다.

일반인들이 피해를 볼 우려에 대해 박 국장은 "악성코드가 각사의 업데이트 서버를 통해 유포돼 피해를 본 6개사 PC에 접속한 시스템이 감염된 것으로 내부 PC 외 일반 국민에 감염 우려가 있다는 추정은 아직은 하기 어려운 것으로 보인다"고 설명했다.

백신업체의 업데이트 서버를 통해 악성코드가 유포됐다는 설이 있으나 사실이 아니며 피해를 본 회사들의 개별 업데이트 서버에 침투한 것으로 드러났다.

신화수 한국인터넷진흥원(KISA) 침해대응센터 단장은 "이번 악성코드 유포는 백신업체의 중앙 업데이트 서비를 통한 것이 아니라 6개사의 별도 내부 업데이트 서버에 침투해 이뤄진 것"이라고 말했다.

정확한 침투 경로를 밝히는 데는 시간이 필요할 것으로 예상된다.

신 단장은 "악성코드의 침투 경로를 밝히는 것은 우리나라에 있는 간첩을 잡는 것과 같다고 보면 된다"며 "방대한 양의 피해 컴퓨터와 시스템에서 어디를 통해 침투했는지 찾는 것이 쉬운 일은 아니다"라고 말했다.

보안전문가들은 추가 공격 가능성이 높다는 데 무게를 두고 있다.

조창섭 이글루시큐리티 보안서비스부문장은 "개인 해커가 아닌 대규모 집단이 장기간 준비한 대규모 사건"이라며 "추가 공격 가능성도 높은 것으로 예상된다"고 말했다.

박찬암 라온시큐어 보안기술연구팀장은 "금전적이거나 정보를 탈취하기 위한 목적이라면 몰래 계속 실행했을텐데 탄로날 줄 알면서도 방송사와 금융권의 시스템을 마비시킨 것을 보면 피해를 입히기 위한 사이버테러로 보인다"며 "차후 공격이 언제 어디서 일어날지 모르고, 현재도 악성코드가 각 기업체나 개인 PC에 숨어 있을지 몰라 차후 공격에 대한 가능성은 충분히 있다"고 밝혔다.

이번에 전산망을 마비시킨 악성코드는 KBS, MBC, YTN, 신한은행, 농협, 제주은행 등 6개사의 업데이트 서버에 침투해 동시에 PC의 부팅영역을 파괴해 컴퓨터가 켜지지 않도록 했다.

일반인들도 악성코드 감염을 피하기 위한 대비가 필요하다.

이번 악성코드는 지난 디도스 공격과는 하드디스크의 섹터 앞부분을 손상시켜서 부팅 장애를 유발하는 기법은 유사하지만, 윈도 등 운영체제별로 버전을 파악해 동작하는 방식을 바꾼다는 점이 진화했다.

민·관·군 사이버위협 합동대응팀 중심으로 원인 분석과 피해 확산 차단에 주력하면서 악성코드 분석과 피해 PC 복구를 통해 침입 경로 및 공격기법 등 해커 실체 규명에 주력하고 있다.

현재는 피해 서버·PC의 로그기록과 현장에서 채증한 악성코드 추가 분석을 통해 공격 주체를 파악하고 있는 중이다.

추가 공격에 대비해 국토부, 지경부, 행안부, 국정원 등 주요 기반시설에 대한 긴급 보안점검을 실시하고 이상이 없음을 확인했다.

또 국가공공기관, 교통·전력 등 국가기반시설, 금융사, 병·의원 등 주요기관에 대해 백신 업데이트 서버는 인터넷과 분리하도록 하고 PC는 부팅 시 CMOS에서 시간 설정을 재조정하도록 하는 등 피해 차단 요령을 긴급 전파했다.