특집

방송·금융사 해킹 경로·공격자 추적 난항…장기화 가능성 높아

이유지 기자
- 근원지 여전히 미궁, “농협 피해 시스템 접속한 내부PC 해킹 경유지 추정”

[디지털데일리 이유지기자] 20일 주요 방송·금융사 전산망 마비를 야기한 사이버공격 주체와 해킹경로 추적에 정부당국이 난항을 겪고 있다.

전문가로 구성된 민·관·군 합동대응팀 분석 결과, 정부가 피해기업의 전산망 마비를 일으킨 일부 악성코드가 유입된 유력한 경로로 중국을 지목했다 하루만에 뒤집는 웃지 못할 일도 발생했다.

합동 대응팀은 사고 발생 직후부터 이틀 넘게 공격을 당한 기업 6곳에서 채증한 악성코드와 하드디스크 이미지를 확보해 분석을 계속하고 있다.

그 결과,
정부는 이번에 직접적인 전산망 마비를 일으킨 원인은 해킹으로 인한 악성코드 감염 때문으로 분석했다. 공격을 당한 KBS, MBC, YTN, 농협, 신한은행, 제주은행에 가해진 공격기법과 악성코드의 유사성이 높다는 점에서 동일그룹의 소행으로 파악하고 있다.   

이번에 사용된 악성코드는 감염시면 PC가 부팅되는데 필요한 영역인 MBR(마스터부트레코드)와 드라이브를 파괴·손상시켰다. 이로 인해 총 3만2000여대의 PC·서버가 피해를 입었다.

악성코드 유포는 피해 기업에 구축돼 있는 자산 및 업데이트 관리 서버(PMS)를 이용한 것으로 파악했다.

그러나 이 시스템에 침투해 악성코드를 심은 경로는 여전히 불분명하다.

안랩 등 보안업체들은 서버 관리자 계정을 탈취해 악성파일을 심은 것으로 추정하고 있다. 그러나 합동조사팀은 이 부분에 대해서도 면밀한 조사가 필요하다는 입장이다.

농협의 피해 시스템 분석 결과, 해킹에 활용된 것으로 추정됐던 중국IP가 사내망에 있는 내부자 PC의 사설IP인 것으로 최종 확인됐다.  

자체 할당 기준을 적용하는 농협의 사설 IP를 국제공인 인터넷주소를 기준으로 중국 IP로 오인하는 실수를 범한 것이다.

앞서 21일 방통위는 “중국 IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성한 것으로 파악됐다”고 밝힌 바 있다. 이 해킹 경로 및 근원지 추적에서 발견된 농협의 IP를 중국IP로 섣불리 발표했다 곤혹스럽게 처지가 다. 

이 ‘중국 IP’ 발표로 사고 직후부터 이번 공격 주체로 거론됐던 북한의 소행에 상당한 무게가 실렸던 것이 사실이다. 청와대도 북한의 소행일 가능성에 강한 의구심을 갖고 모든 가능성에 대해 면밀히 추적 분석하고 있다고 했다.

합동대응팀은 이 IP를 사용하는 PC가 해킹에 악용, 경유지로 활용됐을 것으로 추정하고 하드디스크를 추가 확보해 정밀 분석에 들어간 상태다.

또한 농협이 아닌 다른 피해기업에서 해외 침투 경로가 사용된 정황도 파악했다. 이에 따라 해외 기관과의 협력도 추진하고 있다.

방통위는 해외IP가 발견돼 분석 중이라는 점 외에 구체적인 내용은 밝히지 않았다.

합동대응팀 관계자는 “모든 가능성을 열고 면밀히 조사하고 있다”며, “여러 경유지를 활용할 수도 있기 때문에 최종 해킹 근원지를 찾은 것이 쉽지 않다. 분석에 시일이 오래 걸릴 수도 있다”고 말했다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널