서버·피시 3만2천대 해킹 피해…정상화에 최소 4~5일

‘3·20 사이버테러’ 중간조사 결과
백신업체 업데이트 서버 아닌
각 기관 ‘자산관리 서버’ 감염
금융기관 피시·ATM 피해 커
“악성코드 ‘다크서울’ 1년전 감지”
캐나다 보안업체 ‘소포스’ 밝혀
“우리 보안업체 뭐했나” 지적도

20일 오후 한국방송(KBS)·문화방송(MBC)·와이티엔(YTN)·신한은행·농협·제주은행 등 6개 방송사·금융기관의 전산망이 동시다발적으로 마비된 사건 경위가 조금씩 드러나고 있다. 하지만 악성코드의 정확한 유통 경로와 공격 주체를 확정하기까지는 넘어야 할 산이 많아 보인다.

■ 동일 주체가 6개사 공격, 3만2000여대 피해 민·관·군 사이버위협 합동대응팀은 21일 오전 서울 광화문 방송통신위원회에서 브리핑을 열어 중간 조사 결과를 발표했다. 사고 발생 20시간 만에 열린 브리핑에서는 △서버와 피시 등 3만2000여대 감염 피해 △해킹에 중국발 아이피(IP·인터넷주소) 사용 확인 △6개 기관 모두 동일 주체에 의한 공격 △정상화까지 최소 4~5일 소요 등의 사항이 공개됐다. 피해 단말기 70% 이상은 금융기관 피시와 현금자동지급기(ATM) 등인 것으로 전해졌다.

합동대응팀은 동일한 주체에 의한 공격으로 판단한 근거로 “하드디스크 손상과 (해커들이 남긴) 고유 문자열” 등 피해 사이트들에 나타난 공통적인 특징이 있다고 설명했다. 여기서 말하는 고유 문자열이란 고대 로마시대 중무장 보병의 1열을 뜻하는 ‘하스타티’(HASTATI)와 2열을 뜻하는 ‘프린키페스’(PRINCIPES)를 가리킨다.

■ 백신업체 서버 아닌 각 기관 내부 서버 감염 악성코드의 ‘숙주’ 노릇을 했다는 업데이트 관련 서버의 관리 주체가 어디인지를 두고서는 전날 밤부터 이날 아침 사이에 혼선이 빚어졌다.

합동대응팀은 전날 “각 기관의 ‘업데이트 관리 서버’(PMS·패치관리시스템)가 해킹돼 악성코드에 대량 감염됐다”고 밝혔지만, 일부 언론들은 “백신업체가 관리하는 ‘업데이트 서버’가 해킹됐다”고 보도했다. 이에 안랩에서는 21일 새벽 3시께 자료를 내어 “악성코드 유포에는 외부망 인터넷데이터센터에 위치한 업데이트 서버가 아닌 기업 내부망의 자산관리 서버가 이용된 것으로 확인됐다”고 반박했다. 자산관리 서버는 각 기업체 내부에서 소프트웨어 업데이트와 불법 소프트웨어 사용 감시, 원격제어 등을 담당하는 서버로, 업데이트 관리 서버를 포괄하는 개념이다.

방통위 박재문 네트워크정책국장은 이날 브리핑에서 ‘악성코드가 유포됐다는 업데이트 관련 서버는 보안회사가 관리하는 것이냐, 개별 회사들이 자체적으로 관리하는 것이냐?’는 기자의 질문에 “업데이트 관리 서버를 통해 감염됐다. 6개 회사 종합적인 검사 결과가 나오지 않아 확답은 어렵지만, 대개 개별 회사들이 관리하고 있다. 농협도 직접 관리하는 것으로 확인됐다”고 설명했다.

■ “외국에선 1년 전 탐지된 악성코드” 지적도 캐나다 보안업체 소포스는 “전산망 마비의 원인이 된 악성코드는 ‘다크서울’(DarkSeoul)로 알려진 악성코드이고, 거의 1년 전에 소포스 백신이 이 악성코드를 감지했다. 악성코드가 특별히 정교한 것은 아니다”라고 자사 누리집(홈페이지)에서 밝혔다. 이런 내용이 트위터를 통해 알려지면서 ‘우리나라 보안업체들은 왜 발견하지 못했느냐’는 지적이 나오기도 했다. 인텔 계열의 세계적인 보안회사인 맥아피도 이날 오후 자료를 내어 “해당 악성프로그램을 2012년 8~10월 사이 이미 발견해 대응하고 있었다”고 밝혔다. 이순혁 기자 hyuk@hani.co.kr

<한겨레 인기기사>

■ 진영 낯뜨거운 ‘박비어천가’…“대통령께 업무보고 가슴 벅찬 감동”
■ 청와대, 김학의 성접대 의혹에 ‘허탈’…선긋기 급급
■ 김우중 전 대우그룹 회장 귀국한 이유는?
■ 자살한 울산 복지공무원 유서 내용이…
■ 불교방송 ‘멱살잡이’ 속내는?