지난해 중동 공격 유형과 비슷
3·20 전산망 마비 사태를 초래한 사이버 공격의 2차 타깃으로 에너지 분야가 유력하게 거론됐다. 디스크를 파괴해 전산망 장애를 일으키는 이번 공격 유형(MBR 악성코드)이 지난해 중동 에너지 기업에 피해를 끼친 유형과 유사하다는 분석이다. 보안업계 관계자는 “좀비로봇을 만든 후 국가 주요 인프라 시설을 공격할 가능성이 있다”면서 관련 분야의 철저한 점검을 당부했다.
주요 백신 업체들이 방송사와 일부 은행 전산망을 마비시킨 악성코드를 분석한 결과, 시스템파괴형 트로이목마형 자크라(Trojan Horse/Trojan.Jokra), 킬러MRB KillMBR-FBIA and Dropper-FDH), Win-Trojan/Agent.24576.JPF 등의 원인이 검출됐다. 이 악성코드는 운용체계(OS) 아래 부팅 영역인 마스터부트리코더(MBR)를 파괴하는 변종이다. 백신 프로그램을 회피해 다운로드된 후 도스(Dos)에서 실행 후 자가 삭제되는 게 특징이다.
정부와 백신 기업들이 시스템 점검 작업을 진행하면서 MBR 악성코드 변종 17개를 추가로 발견했다. 전문가들은 해커들의 2차 공격 목표점으로 전력, 원자력 등 에너지를 유력하게 거론하면서 2, 3차 연타성 공격 가능성을 제기했다.
디스크를 쓰레기성 숫자로 채우면서 시스템을 파괴시킨 이번 3·20 사이버 공격이 지난해 8월 중동 지역 공공기관에 피해를 준 악성코드(W32.Disttrack) 공격(The shamoon attack)과 유사하다. 문제는 국내 보안 기업들이 셧다운된 각 방송사와 은행 전산망을 분석하는 과정에서 변종 파일샘플이 속속 나온다는 점이다. `1.exe` `30.exe` `BY.exe` `cmd.exe` `logo1229.swf.exe` 등이다. 한국맥아피 관계자는 “침투경로가 새로운 것이 없지만, MBR만 동시 다발적으로 파괴하는 것이 이번 공격의 특징”이라며 “감염 파일 이외에 변종이 계속 발견된다”고 설명했다.
이번 악성코드와 유사한 랜섬웨어(Ransome Ware) 악성코드는 MBR를 다른 영역에 복사해 두고 돈을 요구하는 방식이었다. 이번 사례는 금전적 이득 없이 곧바로 IT 자산에 막대한 피해를 줬다는 점에서 이례적이다. 김준섭 이스트소프트 부문장은 “정밀한 타깃 공격은 대부분 악성코드 감염에서 시작된다”며 “이 사건의 목적과 배후가 아직 확인되지 않은 만큼, 추가공격 가능성을 배제할 수 없다”고 말했다.
한편 정부와 백신 업계는 사내에서 사용하는 PMS와 같은 관리 프로그램들과 서버들을 철저히 점검해야 한다고 권고했다.
김원석기자 stone201@etnews.com