[3·20 사이버테러 파장] 中 IP로 심은 ‘트로이목마’가 주범… 해커 실체 오리무중

사상 초유의 방송사, 금융사 전산망 마비는 중국 인터넷프로토콜(IP)에서 유입된 트로이목마 악성코드 때문인 것으로 나타났다. 하지만 감염 경로에 대해서는 의견이 엇갈려 이를 규명하는 데는 시간이 소요될 것으로 보인다. 정부와 백신 업체들은 긴급 백신을 제공하기 시작했다.

민·관·군 합동대응팀은 21일 악성코드 공격 피해 업체 중 한 곳인 농협 시스템을 분석한 결과 중국 IP(101.106.25.105)가 업데이트 서버에 접속해 악성코드를 생성했음을 확인했다고 밝혔다.

이 악성코드는 트로이목마라고 덧붙였다. 트로이목마는 이메일, 웹페이지 등에서 유용한 프로그램인 것처럼 위장하고 있다가 특정 시점에 중요 정보를 빼가거나 PC를 마비시키는 형태의 악성코드다.

감염 경로에 대해서는 분석이 엇갈린다. 대응팀은 피해 회사의 업데이트 관리 서버가 해킹돼 회사 내부 PC가 대량 감염됐다고 보고 있다. 업데이트 관리 서버의 경우 운영체제, 백신 등 다양하기 때문에 정확히 어떤 서버인지는 더 조사가 필요한 상황이다. 반면 보안업체 안랩은 서버가 뚫린 게 아니라 해커들이 지능형지속공격(APT)으로 관리자 계정을 탈취해 감염시켰다고 분석했다.

누가 공격했는지도 여전히 의문이다. 보안 전문기업 잉카인터넷은 악성파일 표본에서 ‘후이즈 팀이 해킹했다(Hacked by Whois Team)’는 글귀와 같은 이메일 주소가 내용에 포함된 것으로 조사됐다고 밝혔다. 지난해 6월 중앙일보가 공격받았을 때 ‘이즈원이 해킹했다’는 메시지와 공격 방식이 비슷해 동일범이 아니냐는 추측도 나온다.

KISA는 이날 보호나라(www.boho.or.kr)를 통해 이번 사태를 야기한 악성코드를 치료하는 백신을 배포하기 시작했다. 홈페이지 ‘다운로드’ 항목에서 ‘맞춤형 전용백신’ 메뉴를 누른 뒤 ‘152번 Trojan.Win32.KillMBR.B’ 치료용 전용백신 다운로드 아이콘을 클릭해 실행하면 된다.

KISA는 악성코드가 부팅 영역을 파괴해 정상적인 부팅이 되지 않게 하고 있기 때문에 PC 시간 설정을 변경한 후 작동시킬 것을 권장하고 있다. PC를 부팅하자마자 키보드 ‘F2’ 키나 ‘Delete’(제조사별로 다름)를 누른 뒤 시모스(CMOS) 설정에 들어가면 시간을 설정하는 창이 나온다. 여기서 악성코드가 작동한 시간인 2013년 3월 20일 오후 2시 이전이나 이후로 바꾸면 된다.

김준엽 기자 snoopy@kmib.co.kr