최근 확인된 언론사 하드디스크 파괴 공격은 3.20 사이버 테러때 사용됐던 수법과 일부 기능만 유사하고 대부분 다른 형태의 공격방식을 사용했다는 분석이 나왔다.
28일 안랩, 하우리 등 보안업체들은 시스템 파괴기능을 가진 악성코드를 분석한 결과 이 같은 정황이 확인됐다고 밝혔다.
분석에 따르면 최근 사용된 수법은 부팅영역(MBR) 파괴기능을 가졌다는 점에서만 비슷하고 나머지 상세한 기능에서는 차이를 보이는 것으로 나타났다.
안랩은 새로 발견된 변종 악성코드의 특징은 감염 후 파일 삭제, 사용자 PC 재부팅 시 하드디스크 파괴(MBR 삭제, 데이터 영역 삭제), 하드디스크 파괴 기능의 MBR 직접 삽입 등이라고 분석했다.
특히 PC를 켜는데 부팅에 필요한 정보들이 저장된 영역인 MBR에 하드디스크를 파괴하는 코드가 삽입돼 있어 백신을 통한 치료를 어렵게 한다고 설명했다. MBR은 부팅에 대한 정보가 들어있는 영역으로 메모리가 MBR에 있는 정보를 읽어서 운영체제(OS)를 작동시키는 역할을 한다.
또한 파일 삭제나 하드디스크 파괴를 수행하는 과정 중에 시스템 충돌 등 여러가지 이유로 블루스크린(BSOD) 현상이 나타나거나 재부팅하더라도 파괴 기능이 지속된다.
안랩은 이 공격에 사용된 악성코드가 3.20 사이버 테러와는 많은 부분에서 차이를 보인다고 주장했다.
안랩 관계자는 감염 후 파일을 삭제하고, 하드디스크 파괴 기능이 MBR 영역에 삽입돼 있으며, 데이터 영역 삭제 시에 특정 문자열(PRINCPES같은)이 아닌 랜덤 문자열로 덮어쓰기를 시도하고, 감염 즉시 데이터 영역을 삭제하지 않고 재부팅시 삭제하는 점 등이 과거 공격에는 없던 증상이라는 것이다. 이 관계자는 또한 비밀번호 변경 및 바탕화면 변경도 이전에는 없던 점이라고 전했다.
해당 악성코드는 V3제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전)으로 진단/치료할 수 있으며, 볼륨보호 기능이 있어 MBR 파괴를 막을 수 있다.
안랩 관계자는 현재까지 분석결과 악성코드가 기업,기관 등 서버 관리자를 타킷으로 한 것으로 보이나 내부 테스트결과 개인PC에서도 작동한다며 주의를 당부했다.
관련기사
- 3.20 사이버 테러 유사수법...언론사 공격중2013.06.28
- [속보]언론사 노린 무차별 파일삭제기능 작동중2013.06.28
- '충격' 6.25 해킹, 사이버戰 전술 쓰여2013.06.28
- 지능적 수법...일베 통해 청와대 해킹돼2013.06.28
이와 관련 하우리 최정식 선임연구원은 최근 발견된 악성코드는 MBR 영역을 파괴하는 기능 외에는 3.20 때 발견됐던 것과 전혀 다른 코드 구성으로 돼있다며 동일한 악성코드가 사용됐다고 보기는 힘들다고 밝혔다.
두 공격 수법이 기술적인 면에서 차이가 나는 것은 분명하나 3.20 사이버 테러와 최근 공격은 정황상 동일 해커 조직의 소행이었을 가능성이 높을 것으로 예상된다. 이는 MBR 파괴 기능에 더해 추가적인 공격이었을 것으로 추정된다는 것이다.
