안랩 업데이트 서버가 악성코드 통로?

20일 방송통신위원회(이하 방통위)는 각 방송사와 은행의 전산망 중단을 야기한 악성코드를 분석한 결과 업데이트 관리서버를 통해 유포가 이뤄진 것으로 추정된다고 밝혔다.

이날 보안 전문가들과 보안관련 인터넷 커뮤니티에 따르면 안랩의 바이러스 백신인 V3의 보안관리 프로그램은 '폴리시 에이전트' 안에 있는 다운 폴더의 ApcRunCmd.exe 파일이 실행되며 마스터 부트 레코드(MBR)가 삭제됐다.

일반적으로 바이러스 백신은 하루 혹은 3일, 일주일 단위로 엔진을 업데이트 하도록 설정돼 있다. 일정에 맞춰서 새로운 엔진 파일을 제공하는 것이 업데이트 서버다. 이 악성코드를 배포한 해커는 이 서버에 관련 악성코드를 숨겨놓고 다음 업데이트 시 자동으로 실행되도록 조종했을 가능성이 높다고 보안 전문가들은 추정했다.

해킹 대상 파일은 'iMBC.exe', 'KBS.exe' 등 방송사의 영문 약자로 이루어진 것 외에 'ApcRunCmd.exe', 'OthDown.exe’가 포함된 것으로 알려졌다. OthDown.exe는 보안업체 하우리의 바이러스 백신인 '바이로봇'의 실행파일 중 하나다.

artjuck@news1.kr