언론 및 금융권 전산망 마비 사태를 일으킨 악성코드의 개인PC 감염 가능성은 낮은 것으로 나타났다.
박재문 방통위 네트워크정책국장은 21일 브리핑을 통해 “시스템에 접속된 내부 PC라면 모를까 일반 국민에게 감염됐다고 추정하긴 어렵다”면서도 “만약의 가능성에 대비하기 위해 일반 국민을 대상으로 전용 백신을 배포 중”이라고 말했다.
이날 정부는 KBS, MBC 등 언론 및 금융 6개사의 PC, 서버 3만2천여대가 피해를 당한 것으로 파악하고 있다며 완전 정상화에는 최소 4~5일이 소요될 것으로 예상된다고 밝혔다.
현재 민, 관, 군 사이버위협 합동대응팀을 중심으로 원인 분석과 피해 확산 차단에 주력 중이다. 추가 피해 차단을 위해 안랩, 하우리 및 잉카인터넷 등 백신업체와 협조, 전용 백신을 긴급 개발해 한국인터넷진흥원 보호나라 홈페이지 등을 통해 무료 배포하고 있다.
또 주요 기관에 대해 백신 업데이트 서버는 인터넷과 분리토록 하고, PC는 부팅시 CMOS에서 시간 설정을 재조정토록 하는 등 피해 차단 요령을 긴급 전파했다.
사고 원인은 피해사의 업데이트 관리 서버가 해킹돼 이를 통해 내부 PC가 대량 감염된 것 때문으로 분석했다. 악성코드 분석결과, 피해 6개사 모두 동일 조직에 의해 공격이 자행된 것으로 판단된다.
다음은 박재문 방통위 네트워크정책국장과 신화수 한국인터넷진흥원(KISA) 침해사고예방단장과의 질의응답이다.
추가 피해 가능성은
모든 가능성을 열어놓고 있다. 다만 설명 드린 것처럼 이번 공격이 주로 업데이트 서버를 해킹해서 악성코드 뿌린 형태의 공격이다. 주요 기관에 백신 업데이트 서버를 인터넷과 분리하도록 통보했다. PC 시간대도 돌리고. 같은 유형의 추가 공격으로부터는 어느 정도 대응이 될 것으로 보고 있다.
침입 경로는 어디인가. 어떤 업데이트 서버인가
아직까지 6개사에 대해 종합적인 조사 결과를 말씀드릴 단계가 아니다. 그렇지만 농협의 경우에 업데이트 서버의 위치가 농협에서 관리하는 PMS다. 악성코드가 여기에 심어졌고 그것이 PC에 전파됐다고 현재 분석하고 있다.
북한 공격이 주로 중국발 IP인데. 북한으로 추정할 수 있나. 농협 이외에 다른 곳에서도 중국발 IP가 발견됐나
중국 IP로 인해서 여러 추정들이 가능하다. 다만 현 단계에서는 여러 가지 가능성을 열어놓고 해커의 정체를 규명하는데 주력하고 있다.
PC 시간대를 돌리라는 말은 이미 악성코드가 감염돼 있다는 얘기 아닌가. 개인 PC 피해 가능성은
부팅 때 CMOS 조정하는 명령어로 시간대를 조정할 수 있다. 현재로서는 악성코드가 특정한 시간대에 작동하는 것으로 일단 판단하고 있다. 최종 조사 결과 때 다시 말씀드릴 것이긴 하지만 특정 시간대에 작동하는 악성코드의 경우, 이를 피하면 피해로부터 벗어날 수 있다. 동작 시간대는 20일 오후 2시로 설정된 것으로 보인다. 따라서 시간대를 그 이전으로 돌려 동작을 멈추게 한 후에 백신으로 치료하도록 하는 방법을 쓸 수 있다.
시간대를 2시 이전으로 돌리라는 것은 이미 PC에 심어져 있다는 것 아닌가
모든 가능성 열어두고 안내를 드린 것이다. 대책 안내는 국민을 대상으로 포괄적으로 드렸다.
한 가지만 말씀드리면 악성코드가 유포된 것은 패치 매니지먼트 시스템(PMS)를 통해 감염됐다고 보고 있기 때문에 피해를 입은 시스템에 접속된 내부 PC라면 모를까 일반 국민이 그것에 감염됐다고 추정하기는 어렵다. 다만 정부 입장에서는 이러한 사고가 있었고, 대응키 위한 백신이 개발됐기 때문에 사고 전반에 대응하기 위해 안내를 하고 있다.
일반 국민 PC도 다 백신 받고 시간 돌리란 얘기인가
아직 분석 안 끝났지만 정부 입장서는 모든 가능성을 열어두고 있다. 모든 국민에게 배포하는 이유도 마찬가지다. 가능성이 적다고 쳐도 아주 없는 것은 아니니 국민 대상으로 백신을 배포하고 있다.
악성코드 기법과 유포된 시점은. 같은 조직이 공격했는데 기관별 복구 시간이 다른 이유는
아직까지 조사가 충분히 이뤄지지 않은 상태다. 현재로서는 특정한 가정을 가지고 이에 대해 설명 드리기는 어렵다.
6개 기관이 같은 조직 공격받은 것으로 보인다는 판단 근거는 무엇인가
동일한 특징들이 나타난다. 하드디스크를 손상 시키는 등의 특징이 피해 사이트들에 동일하게 나타나고 있다. 악성코드가 고유하게 가진 문자열도 동일한 것으로 파악된다.
지난번 디도스 때도 하드 파괴 기법이 동원됐다. 어떤 점이 진화했고, 특징이 있나
부팅 장애를 유발하는 기법에 대해서는 하드디스크의 섹터 앞부분에 손상을 가하는 특징은 유사하다. 현재 악성코드들은 운영체제별로 버전을 파악해서 동작하는 방식으로 과거보다 다소 지능화된 것으로 보인다. 자세한 결과는 나중에 분석 결과가 나오면 알려드리겠다.
LG유플러스 서버 먼저 해킹되면서 망관리 주소가 해킹됐다는 얘기가 있었다
그 부분에 대해서는 조사 결과가 나오지 않았다. 조사를 하는 대로 명백히 규명하는 대로 놓치지 않고 설명해드리겠다.
관련기사
- [전산망 마비]악성코드 특정시간 동작…“PC시간 돌려야”2013.03.21
- [전산망 마비]방송3사 복구 완료, 업무 정상화2013.03.21
- [전산망 마비]정부 “중국 IP가 악성코드 생성”2013.03.21
- [전산망 마비]KISA 전 직원 비상2013.03.21
전용 백신 배포는
어제 새벽1시부터 백신을 배포하고 있다.
