솔루션

[방송금융 전산마비] 하우리 “업데이트 서버 해킹 아니다” 해명

이유지 기자
- “악성코드가 백신 구성모듈 파일로 위장, 고객사 백신 관리서버가 악용”

[디지털데일리 이유지기자] 20일 오후 방송사와 금융사 전산망 마비와 관련해 백신 업데이트 서버가 악성코드 유포에 악용됐을 가능성이 제기된 하우리가 적극 해명에 나섰다.

하우리는 악성코드가 하우리백신 프로그램의 구성모듈로 위장한 것일 뿐 업데이트 서버가 해킹당해 악성코드 유포 통로로 이용된 것은 아니라고 밝혔다.

하우리측은 “장애 증상 PC에서 샘플 파일을 수집해 분석한 결과, 악성코드가 하우리 백신 프로그램의 구성모듈 파일(othdown.exe)로 위장했다”며 “타 백신 프로그램(안랩) 경우도 서버 구성모듈로 악성코드가 위장했다”고 설명했다.

김희천 하우리 대표는 “엔진 업데이트 서버가 해킹된 것은 아니며, 해커가 악의적인 목적으로 백신 프로그램 파일을 변조했다”며 “이번 취약점의 대처 방안으로 othdown.exe 실행 전 파일의 무결성을 검사해 본래의 파일이 맞는 경우에만 실행하도록 보완, 같은 사례가 재발되지 않게 조치했다”고 말했다.

업데이트 서버의 악성코드 전파 경로 악용 논란과 관련해서는 백신업체에서 관리하는 백신 업데이트 서버가 아니라 고객사가 운영관리하는 백신 업데이트와 패치 등을 수행하는 백신 관리서버라는 것이 하우리의 설명이다.

이 관리서버는 고객사에 설치돼 일종의 패치관리시스템(PMS)의 기능을 수행한다.  

이 회사 관계자는 “최초의 감염 경로와 기법이 확인되지는 않고 있으나, 공격자가 이 서버의 관리권한을 획득한 뒤 파일을 탈취, 변조한 뒤 백신 프로그램 모듈로 위장한 악성코드를 사용자 업데이트 배포시에 실행시켜 감염시킨 것으로 만들었을 가능성을 예상할 수 있다”고 말했다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널