울지않는벌새 : Security, Movie & Society

방송사, 금융사 사이버 공격에 따른 안랩(AhnLab) 중간 분석 발표 (2013.3.21)

벌새::Security

2013년 3월 20일 오후 2시부터 시작된 방송사(KBS, MBC, YTN), 금융사(신한은행, 농협, 제주은행, 롯데카드)를 대상으로 한 사이버 공격으로 인해 내부 PC의 부팅 불능 및 드라이브 손상 등으로 전산망 장애를 가져오는 사고가 발생하였습니다.

 

  방송사, 금융 사이트 사이버 공격에 따른 전용 백신 배포 (2013.3.20)

 

이에 따라 각 보안 업체에서는 사고 분석의 원인 및 이번 공격에 활용된 악성 파일을 수집 및 분석하여 업데이트를 진행하고 있으며 국가 차원에서 추가적인 공격에 대비하고 있습니다.

이번 사이버 공격의 원인에 대해 언론을 통해 알려진 안랩(AhnLab), 하우리(Hauri) 보안 업체의 업데이트 서버 해킹을 통한 악성 파일 유포에 대한 부분에 대하여 안랩(AhnLab) 업체에서는 다음과 같은 중간 분석 결과를 발표하였습니다.

 

  <AhnLab 블로그> 방송사 및 금융사 공격 관련 중간 분석 결과 발표 (2013.3.21)

 

1. 안랩(AhnLab)에서 자체적으로 운영하는 업데이트 서버 해킹은 아니다.

 

현재 안랩(AhnLab)에서 자체적으로 운영하는 업데이트 서버는 외부망(KT, LGU+)에 위치한 전체 제품의 업데이트를 수행하는 "업데이트 서버"와 이러한 업데이트 서버를 관리하는 "업데이트 관리 서버"입니다.

 

이번 사이버 공격에서 관리자 권한(ID/PW)이 탈취된 것으로 보이는 "자산 관리 서버"(안랩 : APC(AhnLab Policy Center), 하우리 : VMS(?))의 경우에는 해당 피해 업체(방송사, 금융사) 내부망에 위치한 중앙 관리 서버입니다.

 

"자산 관리 서버"의 관리자 권한이 외부에서 탈취한 경우 정상적인 접속이므로 악용될 수 있다고 밝히고 있으며, 서버의 취약점 문제로 인한 관리자 권한 탈취는 아닌 것으로 파악되고 있습니다.(※ 이 부분에 대해서는 정밀 조사가 진행 중입니다.)

 

여기에서 일반인의 시각에서 본다면 "자산 관리 서버"의 관리자 권한이 탈취 당한 상황에서도 악성 파일이 배포될 경우에는 자체 검증 시스템이 없다는 부분은 보안상 헛점이 있지 않았나 생각됩니다.

 

결론적으로 현재 중간 분석 결과 피해 업체의 "자산 관리 서버" 관리자 계정 정보가 외부에 노출되어 악성 파일 유포에 활용되었으며, 보안 업체에 대한 해킹이 아닌 각 기업 내부 해킹으로 볼 수 있는 것 같습니다.

 

2. 장애의 원인이 된 Win-Trojan/Agent.24576.JPF 악성코드 정보


  <ASEC Blog> 주요 방송사 및 은행 전산망 장애 유발 악성코드 분석 (2013.3.21)

 

Win-Trojan/Agent.24576.JPF 진단명으로 진단되는 악성 파일에 감염된 시스템은 MBR(Master Boot Record) 영역을 손상하여 부팅 불가 현상을 유발하며, VBR(Volume Boot Record) 영역을 손상하여 감염된 PC의 논리 드라이브(파티션) 손상을 통해 내부 데이터를 삭제하도록 제작되어 있습니다.

 

현재 보안 업체에서는 다수의 악성 파일이 수집되고 있으며 이로 인하여 추가적인 공격이 있을 가능성도 배제할 수 없으므로, 사용자들은 국내외 유명 보안 제품을 이용하여 항상 최신 업데이트 및 실시간 검사 기능을 켜시고 PC를 이용하시기 바랍니다.

 

해당 내용은 차후 발표되는 정부 차원에서의 발표 내용과 일부 다를 수 있으며, 추가적인 조사를 통해 내용이 변경될 수 있습니다.