악성코드 감염을 통한 전산망 마비에 외국보안회사들도 비상이 걸렸다. 이들은 국내 고객사에 공급한 솔루션에 문제가 없는지 점검하는 한편, 각 사마다 갖고 있는 전문인력들을 통해 원인을 분석하고 대책을 제시했다.
국내에 진출해 있는 시만텍은 사고 발생 당일 자사 보안대응팀의 분석을 통해 자사가 갖고 있는 멀웨어 샘플 중 'Trojan Horse/Trojan.Jokra', 'WS.Reputation.1'과 비슷한 유형의 공격이 이뤄졌던 것으로 파악하고 있다고 밝혔다. 전혀 새로운 형태의 공격은 아니었다는 것이다. 한국 백신회사의 pasvc.exe, clisvc.exe 등을 무력화 시키는 기능을 가진 악성파일이 유포됐다고 이 회사는 설명했다. 이 두 파일은 각각 안랩 폴리시 센터(APC), 하우리 바이로봇 ISMS의 실행파일이다.
특히 시만텍은 PC에 저장된 정보를 삭제해 버리는 '디스크 와이핑' 공격이 전 세계에서 벌어지고 있으며 지난해 8월 중동지역의 수많은 정부기구들을 마비시켰던 샤문 바이러스의 공격도 비슷한 수법이 사용됐었다고 설명했다.
공격수법에 대해서는 트로이목마 바이러스(Trojan.Jokra)를 통해 원격으로 리눅스 기반 기기에 접속한 뒤 해당 기기에 저장된 정보를 삭제한다. 시만텍측은 리눅스 뿐만 아니라 그 안에 포함된 공격명령에는 윈도7, 윈도XP의 취약점을 노렸다는 점에 주목했다. 윈도 기반 운영체제(OS)에 사용된 것은 'mRemote'라는 오픈소스 기반 다중원격접속프로그램이다.
포티넷은 지난해 말 국내 농협에 차세대 방화벽을 도입했었다. 이 공격에 대해 포티넷 측은 악성코드는 지능형지속가능위협(APT) 형태로 이미 자사 방화벽을 설치하기 전부터 뿌려지기 시작했던 것이라 초기 대응이 어려웠다고 밝혔다.
포티넷에 따르면 부팅영역(MBR)을 파괴시키는 형태의 공격은 해외에서는 주로 '랜섬웨어'라고 불리는 형태로 사용돼왔다. 예를들어 은행이나 병원 전산망을 악성코드에 감염시킨 뒤 이를 인질삼아 돈을 요구하는 형태의 공격이다. 그러나 우리나라에서 발생한 공격은 이처럼 금전적인 이득을 노린 것이 아니어서 이례적인 일로 판단하고 있다. 이 회사는 사건 발생 한 뒤 9시간만에 자사 포티가드의 백신 시그니처를 업데이트했다고 밝혔다.
관련기사
- 사설IP 발견, 최초유포지 한국 근거 아직...2013.03.23
- [전산망 마비]"백신회사 로그에 ID가 없다"2013.03.23
- 잉카인터넷, 방송사-LGU+ 해킹 동일범 유력2013.03.23
- "해킹, 국내 사설 IP로 밝혀져"2013.03.23
포티넷 측은 이 사안에 대해 APT공격은 신뢰할 수 있다고 판단되는 백신회사의 업데이트 서버를 우회해서 공격이 들어와 동시에 수 천개, 수 만개 PC가 감염될 수밖에 없는 취약성이 문제라고 밝혔다. 이에 따라 메일, 소셜네트워크서비스(SNS) 등은 물론 바이러스, 악성코드, 봇넷 서버 IP주소, 스팸 유포자의 IP주소, 의심스러운 행위 분석, 가상머신, 샌드박스 등을 모두 모니터링하고 차단할 수 있는 '멀티벡터' 기술이 중요하다고 설명했다.
APT 대응 전문 회사 파이어아이는 자사의 멀웨어프로텍션시스템(MPS)를 쓰고 있었다면 이 같은 사고를 예방할 수 있었을 것이라고 밝혔다. 공격에 사용된 안랩 폴리시 센터(APC)를 통한 공격이 의심될 때 이를 사전에 파악할 수 있었다는 것이다. 이 회사는 '멀티벡터가상실행(MVX)'를 통해 악성코드를 가상환경에서 먼저 실행해 보는 기술을 가졌다. 전수홍 파이어아이 코리아 지사장은 전형적인 APT 공격으로 보이는 이 공격은 더이상 시그니처 기반의 백신으로는 방어가 불가능할 것으로 보인다고 말했다.
