6.25 사이버 테러에 사용됐던 악성파일 중 일부가 PC방의 클라이언트 관리 프로그램을 통해 전파된 것으로 나타났다.
5일 잉카인터넷 대응팀은 PC방에서 클라이언트 PC를 관리하기 위해 설치하는 업데이트용 관리 프로그램에서 악성파일이 발견됐다고 밝혔다.
해당 프로그램 개발사는 4일부터 설치파일 다운로드를 중단하고 그동안 홈페이지를 통해 게임*** 설치파일 다운로드를 제공했으나 2013년 7월 4일부로 중단하게 됐다며 7월 8일부로 기술지원사이트(CMS)를 통해 다운로드를 제공할 예정이라고 공지했다.
이 프로그램은 'http://www.game******.co.kr/pds/Client_setup.exe'를 통해 유포되고 있었다.
분석에 따르면 PC방 관리용 설치프로그램에는 수정한 날짜가 2013년 06월 14일 오전 8시 44분으로 지정된 'Setuplnit.exe' 파일이 포함돼 있다.
이 실행파일은 마치 셋업용 초기화 기능처럼 보이도록 파일명이 지어졌으며 지난달 14일 오전 8시 42분에 제작된 것으로 확인됐다.
대응팀은 이 과정에서 공격자가 상당히 지능적인 수법을 썼다고 설명했다. 정상 PC방 관리프로그램의 모듈을 악성파일로 변조하는 시점이 교묘하다는 것이다.
대부분 PC방 업체들은 효율적인 PC관리를 위해 특정시점을 지정해 재부팅시 자동으로 PC를 초기화하거나 복원되도록 복구시점을 별도로 지정해서 사용한다.
복구지점에 해당 악성파일이 포함돼 있을 경우 생존력이 늘어나고 장기간 잠복, 침투활동을 할 수 있게 된다. 문종현 잉카인터넷 대응팀장은 상황에 따라 자동 복원되는 불사조 좀비군단이나 다름없다고 설명했다.
실제 해당 PC방 업체는 지난달 13일 오전 10시에 프로그램 업데이트를 공지하고, 해당 프로그램은 그 다음날인 14일 악의적으로 변조됐다. 때문에 많은 PC방 업체들이 게임관리용 클라이언트 프로그램 교체 작업시점 및 복구지점 범위에 포함됐을 가능성이 높은 상황이다.
관련기사
- 중소사이트 동시다발 해킹 '청와대 동일수법'2013.07.05
- 영남일보 홈페이지 마비, 해킹으로 추정2013.07.05
- 청와대 홈피 해킹, 10만명 개인 정보 유출2013.07.05
- '충격' 6.25 해킹, 사이버戰 전술 쓰여2013.07.05
이는 PC방 내부의 관리체계를 잘 알고 있는 경우에만 이와 같은 공격을 수행할 수 있다. 그만큼 공격자가 국내 인터넷 환경에 대해 철저히 조사했다는 추론이 가능한 대목이다.
악성파일에 감염된 채 복원시점을 지정한 경우에는 문제가 없는 최신버전의 프로그램으로 교체할 필요가 있다. 해당 프로그램 개발사는 8일부터 보안업데이트를 적용한 프로그램을 제공할 예정이다.
