[방송·금융 전산망 해킹] 기업체 PMS로 악성코드 퍼뜨려… 잠복했다 PC 부팅영역 동시 파괴

방송사와 금융사의 전산망을 동시에 마비시킨 원인이 악성코드로 지목되면서 향후 같은 형태의 추가 피해가 발생할 우려가 커지고 있다.

20일 방송통신위원회에 따르면 악성코드는 피해 업체의 업데이트 관리서버(PMS·Patch Management System)를 통해 유포된 것으로 추정된다. PMS는 소프트웨어 업데이트 등을 강제하거나 유도하는 기업용 솔루션이다. 회사 PC의 경우 개인별 업데이트가 어렵기 때문에 보안프로그램 등을 최신 상태로 유지하기 위해 도입된 것이다. 하지만 이번에는 역설적으로 PMS가 악성코드를 퍼뜨린 셈이 됐다.

PMS를 통해 퍼진 악성코드는 해당 컴퓨터에 잠복하고 있다가 동시에 부팅영역(MBR·Master Boot Record)을 파괴시킨 것으로 보인다. PC의 부팅영역이 감염되면 컴퓨터는 켜지지 않게 된다.

지금까지 나타난 현상으로는 디도스(DDoS·분산서비스거부) 공격일 가능성은 낮다. 디도스 공격의 경우 통신망에 과부하가 걸리는 게 일반적인데 SK브로드밴드, KT, LG유플러스 등 망 제공 업체들이 모두 이상이 없다고 밝히고 있기 때문이다.

이승원 방통위 네트워크정보보호팀장은 “PMS를 통한 악성코드의 유포로 각 기관의 전산망이 마비된 것이라면 현재로서는 통신사의 망에 문제가 없다고 볼 수 있다”고 설명했다.

보안 전문가들은 지능형지속공격(Advanced Persistent Threat·APT)의 가능성을 우려하고 있다.

보안업체 포티넷코리아 이상준 부사장은 “APT 공격은 원하는 것을 얻을 때까지 지속적으로 공격하는 특성이 있다. 같은 회사에서 다른 형태로, 다른 회사에서 같은 형태로 나타날 수도 있다”고 경고했다.

특히 최근 들어 해커들의 기술이 발달하면서 백신에 걸리지 않는 패턴으로 악성코드를 만드는 언노운 바이러스(Unknown Virus)도 늘어나고 있다.

악성코드가 동시다발적으로 작동한 것으로 봐서 트로이목마나 좀비PC 형태의 공격일 가능성도 배제할 수 없다. 한 보안업체 관계자는 “트로이목마는 일정 시점이 되면 작동하는 특성이 있는데 이번처럼 대규모로 동시에 마비시키려면 감염을 많이 시킨 뒤 특정 시점에 문제를 터뜨려야 한다”고 말했다. 그는 “PC에 침입 뒤 특정시점을 기다렸다 자폭하도록 명령을 내리는 ‘좀비PC’ 가능성도 있다”고 덧붙였다.

한편 방통위는 “백신 업데이트 전까지 피해 방송사들의 정상 PC도 작동을 중지시킨 상태”라며 “보통 백신 업데이트가 (악성코드 공격) 다음날엔 나오는 만큼 21일 중 백신을 배포할 수 있을 것”이라고 설명했다.

김준엽 기자 snoopy@kmib.co.kr