美보안업체 "韓 공격한 악성코드 1년전 탐지"

21일 서울 송파구에 위치한 한국인터넷진흥원(KISA)의 인터넷침해대응센터에서 전날 대규모 전산망 마비 사태 이후 모니터링 작업을 하고 있다.© News1 서송희 기자

미국의 IT보안업체 소포스연구소가 20일 방송사·금융사의 전산망을 마비시킨 악성코드를 1년전부터 탐지하고 있었던 것으로 드러났다.

소포스연구소에서 발간하는 소식지 '네이키드세큐리티'는 20일(현지시간) "소포스의 보안프로그램이 한국의 내부 전산망 마비사태를 불러온 멀웨어 'Mal/EncPk-ACE'를 탐지했다"며 "이는 소포스의 보안프로그램이 1년 전부터 탐지할 수 있는 형태의 멀웨어다"라고 밝혔다.

또 이 소식지는 "해당 멀웨어는 난독(obfuscated)과정을 거치지 않은 악의적인 코드를 담은 명령어를 지니고 있었다"고 언급했다. 난독 과정을 거쳤다는 것은 타인이 해당 코드를 분석하기 어렵게 암호화 했다는 의미로, 이번 내부 전산망 마비사태를 불러온 멀웨어는 난독 과정을 거치지 않은 덜 복잡한 코드인 셈이다.

국산 보안 프로그램인 안랩과 하우리는 이를 탐지못한 것으로 알려진다. 이를 놓고 일부 보안 전문가들은 한국의 보안 프로그램이 외국의 보안 프로그램에 비해 취약한 보안시스템이 아니냐는 지적을 제기하고 있다.

한편 한국인터넷진흥원(KISA)은 전산망을 마비시킨 악성코드가 백신 배포 시스템인 업데이트 관리서버(PMS)를 통해 퍼졌고, 부팅영역(MBR)이나 VBR의 내용을 삭제했다는 것을 확인하고 지속적으로 사태파악을 위한 작업을 진행 중이다.

going2007@news1.kr