'악성코드'로 무너진 전산망…PC까지 파괴

해킹에 의한 악성코드 감염으로 방송사와 금융권 전산망이 일제히 마비되는 '사이버 대란'이 또 발생했다.

20일 오후 2시 20분쯤, KBS와 MBC, YTN 등 방송사와 신한은행, 농협은행 등 금융권 사이트가 일제히 마비됐다. 공교롭게도 전산망이 마비된 기업들은 모두 LG유플러스의 전산망을 사용하는 것으로 밝혀져, 한때 LG유플러스의 전산망 해킹에 따른 것으로 추측됐지만 이날 정부는 '해킹에 의한 악성코드 감염'이 원인이라고 공식적으로 발표했다.

방송통신위원회는 이날 7시쯤 긴급브리핑을 통해 악성코드가 감염된 경로는 '업데이트 관리서버'라고 밝혔다. 통상 보안프로그램은 일정시간 간격으로 자동 업데이트하도록 프로그래밍돼 있다. 이것을 컨트롤하는 것이 바로 업데이트 관리서버인데, 해커가 바로 이 관리서버를 노렸다는 것이다. 관리서버에 미리 웜을 심어놓고 보안 업데이트 프로그램이 실행될 때 웜이 함께 실행되도록 하는 방식으로 PC를 감염시켰을 것이라는 얘기다.

문제는 보안업데이트를 통해 악성코드가 감염된 PC는 하드디스크 마스터부트레코드(MBR) 즉 부팅영역이 훼손되므로 PC에 저장된 데이터를 자동으로 삭제해버린다는 점이다. MBR에는 부팅에 필요한 필수파일이 저장되는 영역이다. 보안업체 잉카인터넷은 해당 피해기관에서 수집한 악성코드 샘플이 MBR을 삭제하는 기능을 가지고 있다는 분석결과를 내놨다. 이는 지난 2009년 7.7 디도스(DDoS) 대란 당시 발견된 악성코드의 공격패턴과 비슷하다는 게 보안업계 관계자들의 설명이다.

실제로 이날 악성코드로 전산망이 마비된 KBS와 MBC는 사내방송을 통해 악성코드에 감염된 직원들의 PC에서 데이터가 자동으로 삭제되고 있으니 모든 PC의 전원을 끄라고 공지했다. KBS 관계자는 "악성코드가 핵심서버에 침투하지 못하게 막은 뒤 피해상황을 확인하고 있다"며 "원인파악에 시간이 얼마나 더 걸릴지 장담할 수 없다"고 말했다. 사정은 MBC도 크게 다르지 않다. MBC 관계자는 "아직 원인조차 파악하지 못한 상황"이라고 했다.

현재까지 파괴된 PC규모는 파악되지 않고 있다. 방통위 관계자는 "피해대수는 밝히기 좀 어렵다"라며 "악성코드를 퇴치할 수 있는 백신패치가 나올 때까지 감염이 의심되는 PC의 전원을 켜면 안된다"고 말했다.

보안업계는 이번 사태가 치밀하게 계획된 사이버테러일 가능성도 배제할 수 없다고 입을 모은다. 보안업체 빛스캔은 지난주에 수집한 악성코드 중 iMBC.exe, KBS.exe 이름으로 된 실행파일을 발견했다는 것이다. 조근영 빛스캔 연구원은 "파일명을 볼 때 각 방송사를 직접 겨냥한 악성코드로 분석된다"고 말했다. 현재 빛스캔은 해당 악성코드 파일을 분석하고 있다.

일각에서는 단순 악성코드가 아닐 것으로 분석하고 있다. 이종락 서울호서전문학교 사이버해킹보안과 교수는 "해커의 소행에 의한 '지능형지속공격(APT) 악성코드' 감염으로 보인다"고 했다. 임종인 고려대 정보보호대학원장은 "대규모 공격이 이뤄진 것으로 미뤄볼 때 여러가지 해킹 기법을 섞어서 쓴 것으로 보인다"며 "현재 상황으로는 장애 원인을 예단하기 어려워 세부적인 조사결과가 나와야 알 것"이라고 말했다.

이날 정부는 사이버위기 경보단계를 '관심'에서 '주의'로 상향조정하고 해킹 감시 인력을 평소보다 3배 이상 늘렸다. 사이버위기 경보단계는 정상-관심-주의-경계-심각 5단계로 구분되며, 주의는 3번째로 높은 단계다. 이승연 방통위 네트워크정보보호팀장은 "현재 소스코드를 확보해 분석하고 있다"며 "정부합동전산센터 등 국가와 공공기관은 피해가 없는 것으로 확인됐다"고 밝혔다.

이날 경찰청 사이버테러대응센터는 김재규 사이버테러대응센터장을 책임자로 총 25명 규모의 수사전담반을 구성하고 본격적인 수사에 착수했다. 수사관은 분산서비스거부(DDos) 공격·악성코드 등 국가적 해킹 사건수사를 담당한 베테랑 수사관을 위주로 편성됐다.

국방부도 정보작전방호태세 '인포콘'을 3단계(향상된 준비태세)로 격상하고 북한의 개입 여부를 파악하고 있다. 인포콘이 발령되면 국방부와 각 군 본부, 군단급 부대 등에 편성된 정보전대응팀(CERT)이 방호벽을 설치하는 등 적의 사이버 공격에 대응할 수 있는 비상 전투태세를 갖춘다.

artjuck@news1.kr