전산망 마비를 불러온 악성코드의 변종이 발견돼 주의가 필요한 상황이다.
안랩(대표 김홍선)은 지난 20일 주요 방송사와 은행들의 전산망을 마비시켰던 악성코드의 변종이 발견돼 기업 및 개인PC를 통해 유포되고 있다며 긴급 차단조치를 취했다고 25일 밝혔다.
안랩에 따르면 이날 발견된 변종 악성코드는 기존에 부팅영역 파괴(MBR) 기능을 갖고 있는 것에 더해 공격자가 임의로 명령을 내릴 수 있는 C&C서버와 통신하는 백도어를 추가로 설치하는 기능을 가진 것으로 확인됐다.
안랩은 24일 오전 9시에 처음 변종을 발견했으며, 공격자가 C&C서버와 통신을 통해 원하는 시간대에 공격을 수행할 수 있도록 했다고 밝혔다. 기존에 발견된 것과 마찬가지로 변종 악성코드는 백신프로그램의 진단 및 치료를 방해하는 기능도 포함하고 있다.
이 회사는 안랩 스마트 디펜스(ASD) 엔진의 DNA기술을 이용해 해당 악성코드를 이미 2013.03.20.07 엔진(20일 오후 9시 38분부터 배포)부터 선제 대응해 왔다고 밝혔다.
V3에 탑재된 엔진에서는 해당 악성코드를 유포 하루 전 인 24일 오전 9시에 관련 내용을 수집했으며, 현재 관련 정부기관의 조치로 악성코드 유포 사이트 및 C&C서버는 접속이 차단된 상태다.
관련기사
- 우리나라 사이버전력 '걸음마 수준'2013.03.25
- 해킹, 미국 유럽 등 4개국 IP 추적중2013.03.25
- [사이버수사대]④여대생 해킹 사건2013.03.25
- 잉카인터넷 "오후 2시 안되면 3시 공격하도록"2013.03.25
안랩 관계자는 오늘(25일) 오전 10시 30분부터 오후 1시 45분까지 수백 대 이상의 PC가 감염됐을 것으로 추정된다며 현재 C&C서버가 차단되어 실행명령은 내려올 수 없으나 기존과는 다른 다양한 방식으로 변종 배포를 시도하고 있어서 기업뿐 아니라 일반 PC사용자들도 주의해야 한다고 당부했다.
현재 이 공격은 주로 보안이 취약한 중소규모 웹사이트를 통해 전파되고 있는 것으로 나타났다. 떄문에 중소 웹하드, 동호회 사이트 등을 당분간 이용하지 않는 것이 하나의 방법이 될 것으로 보인다.
