방송사와 금융기관을 타깃으로 했던 3·20 사이버 공격의 여진이 이어지고 있다. 사건 발생 닷새 만에 이번에는 일반인을 대상으로 한 악성코드 공격이 감지됐다. 안랩은 즉각 주의보를 내렸다.
이번 악성코드는 25일 오전 10시 30분부터 기업은 물론이고 개인용 PC를 대상으로 유포됐다.
안랩 관계자는 “25일 오전 10시 30분부터 오후 1시 45분까지 수백대 이상의 PC가 감염된 것으로 추정된다”고 밝혔다. 또 현재 C&C(Command&Control)서버가 차단돼 실행명령은 내려올 수 없으나 기존과는 다른 다양한 방식으로 변종 배포를 시도하고 있어서 기업뿐만 아니라 일반 PC사용자들도 주의해야 한다고 덧붙였다. 특히 이번 공격에서는 해커가 악성코드를 원격 조정하는 C&C서버를 통해 공격을 예정했지만, 실패로 돌아갔다.
안랩 관계자는 이어 “이 악성코드는 기존 백신의 진단·치료를 방해하는 기능을 갖고 있었다”며 “최신 V3 버전으로 백신 업데이트를 해야 한다“고 강조했다.
안랩은 앞서 24일 오전 9시경 변종을 발견했으며, 1차 공격에 사용된 악성코드의 특징인 MBR(Master Boot Record) 파괴기능은 물론이고 C&C서버와 통신하는 백도어 설치기능이 추가됐음을 확인했다고 밝혔다.
V3에 탑재된 ASD(AhnLab Smart Defense) 엔진에서는 해당 악성코드를 유포 하루 전인 24일 오전 9시경에 수집했고, 관련 정부기관의 조치로 현재 악성코드 유포 사이트 및 C&C서버는 차단된 상태다.
김원석기자 stone201@etnews.com
