- APC서버 관리소홀로 계정 탈취 흔적 발견, 취약점 이용해 악성코드 배포 

[디지털데일리 이민형기자] 안랩이 3.20 전산망 장애와 관련해 농협 해킹에 대한 일부과실을 인정했다.

안랩(대표 김홍선)은 농협에 대한 자체 중간조사 결과 “농협에 납품한 APC(자산 및 중앙 관리서버)서버의 계정(아이디, 패스워드)이 안랩의 관리소홀로 탈취된 흔적이 있다”고 29일 밝혔다.

안랩 조사에 따르면, 이번 해킹은 공격자가 내부PC를 악성코드로 감염시킨 후 농협 내부망에 있는 APC서버에 접근해 하드디스크를 파괴하는 악성코드를 배포했다.

이 과정에서 공격자는 안랩의 APC서버의 ‘로그인 인증 관련 취약점’을 이용해 악성코드를 내부망으로 배포한 것으로 파악하고 있다.

내부PC를 감염시켜 내부망에 은밀하게 침투해 잠복하면서 다른 취약점을 찾아 공격 목표를 달성하는 APT(지능형지속위협) 공격형태에 해당한다는 설명이다.

다만 안랩은 농협 이외의 고객사는 좀 더 명확한 조사를 진행한 후 추가적으로 분석결과를 발표할 예정이라고 밝혔다.

안랩은 APC 서버의 문제점을 보완하기 위해 APC 보유 고객사를 대상으로 APC 보안 정책 점검과 APC 서버의 로그인 인증 우회 차단을 위한 ‘보안 정책 점검 툴’을 27일부터 제공하고 있다.

김홍선 대표는 “안랩의 관리 소홀 및 제품 기능상 이슈에 대해 책임을 통감한다. 신속히 보완대책을 강구 중이며 또한 이와 관련해 고객사인 농협에 진심으로 사과의 뜻을 전한다”고 말했다.

안랩은 공격발생 당일인 3월 20일 17시 49분 긴급 V3 엔진 업데이트 및 18시 40분에 전용백신을 배포하고, 25일 고객사를 대상으로‘APT 트레이스 스캔(APT Trace Scan)'을 제공했다. 또한 25일 기업 뿐 아니라 불특정 다수를 대상으로 한 변종악성코드 추가배포 징후를 포착하여 주의를 당부했다.
 
이후 27일 변종에 대비해 PC부팅영역인 MBR(Master Boot Record)’보호를 위한 MBR프로텍터(MBR Protector)를 고객사에게 전달했다. 또한 기업 사용자가 아닌 일반 사용자를 대상으로 ‘APT 트레이스 스캔(APT Trace Scan)’을 안랩 홈페이지를 통해 제공할 계획이다.
 
<이민형 기자>kiku@ddaily.co.kr