본문 바로가기 검색 바로가기 메뉴 바로가기
배너
배너
배너

[실시간뉴스]

최종업데이트YYYY-mm-dd hh:mm:ss
검색

안랩 "해커, APT 공격으로 관리자 계정 탈취한 듯"(종합)

원인 파악에 분주한 한국인터넷진흥원
원인 파악에 분주한 한국인터넷진흥원(서울=연합뉴스) 한종찬 기자 = 방송·금융사 전산마비 사태가 발생한 20일 오후 서울 송파구 가락동 한국인터넷진흥원 인터넷침해대응센터에서 직원들이 분주히 움직이고 있다. 정부는 이날 "해킹에 의한 악성코드 유포로 발생한 것으로 확인돼 소스코드 증거를 수집하고 있다"고 밝혔다. 2013.3.20
saba@yna.co.kr
"우리가 해킹했다"…'후이즈' 팀의 해킹 메시지
"우리가 해킹했다"…'후이즈' 팀의 해킹 메시지
(서울=연합뉴스) 20일 오후 KBS·MBC·YTN 등 방송사와 농협·신한은행 등 금융사의 전산망이 마비됐다. 이날 트위터 등 사회관계망서비스(SNS)에 올라온 해킹 메시지. '후이즈'라는 팀이 이번 해킹을 했다고 밝히고 있는 이 메시지는 한 누리꾼이 자신이 다니는 회사의 망이 해킹됐다며 화면을 캡처해 올린 것이다. 2013.3.20 << 트위터 아이디 @Re_YJ 제공 >>
photo@yna.co.kr


하우리 "악성코드 자사 백신 구성모듈로 위장"
"엔진 업데이트 서버는 해킹 안돼…재발 방지조치 완료"

(서울=연합뉴스) 권혜진 권영전 기자 = 방송사와 은행의 전산망을 마비시킨 악성코드의 유포 경로가 유명 백신업체의 업데이트 서버일 가능성이 제기된 가운데 해커가 지능형지속공격(APT)으로 해당 서버의 관리자 계정을 탈취한 것으로 보인다는 분석이 나왔다.

보안전문업체인 안랩[053800]은 "이번 해킹 사태와 관련한 중간 분석 결과, 공격자가 APT 공격으로 업데이트 서버 관리자의 아이디와 비밀번호를 탈취한 것으로 추정한다"며 "업데이트 서버 자체의 취약점 때문에 이번 사태가 벌어진 것은 아니다"라고 21일 밝혔다.

일단 업데이트 서버 관리자의 계정 정보가 유출되면 해커는 이를 이용해 정상적으로 서버에 드나들 수 있어 서버 취약점이 없더라도 이 같은 공격을 할 수 있다는 설명이다.

그러나 안랩은 "탈취된 관리자 계정은 피해기업 내부망에 위치한 업데이트 서버의 것"이라며 "이는 SK브로드밴드·KT·LG유플러스와 같은 외부망 IDC(인터넷데이터센터)에 위치한 업데이트용 서버와는 별개"라고 덧붙였다.

안랩은 장애를 일으킨 악성코드로 'Win-Trojan/Agent.24576.JPF'라는 코드를 지목했다.

이 악성코드에 감염되면 윈도 비스타와 윈도7 운영체제(OS)에서는 모든 데이터가 손상되며 윈도XP·윈도2003서버 OS에서는 일부가 손상된다.

다른 보안전문업체인 하우리는 "이번에 발견된 악성코드가 자사의 백신 프로그램인 '바이로봇'의 구성모듈 파일인 'othdown.exe'로 위장했다"고 밝혔다.

업체측은 "정상 파일로 위장한 악성코드가 특정 언론사와 금융기관에 침투한 뒤 하위 클라이언트 사용자까지 내려가 실행돼 전산망 마비를 일으켰다"며 "이렇게 위장한 악성코드가 PC의 부팅영역(MBR) 파괴, 드라이브 파디션 정보 파괴를 일으켰다"고 설명했다.

업체측은 파괴된 정보 복구는 불가능할 것으로 진단했다.

하우리 김희천 대표는 그러나 "엔진 업데이트 서버가 해킹된 것은 아니다"라며 "이 악성코드에 대한 패턴 업데이트가 이뤄져 최신 업데이트만 유지한다면 추가 피해는 발생하지 않는다"고 말했다.

현재 MBC는 안랩의 보안 서비스를, KBS와 YTN[040300]은 하우리의 서비스를 이용하고 있는 것으로 알려졌다.

lucid@yna.co.kr

comma@yna.co.kr

<저작권자(c) 연합뉴스, 무단 전재-재배포 금지> 2013/03/21 03:22 송고

광고
댓글쓰기
배너
광고
AD(광고)
광고
많이 본 뉴스
많이 본 뉴스
종합
정치
산업/경제
사회
전국
스포츠
연예ㆍ문화
세계
더보기
광고
광고