안랩 공식 발표..백신 관리서버 어찌 뚫렸나

[이데일리 김현아 이유미 기자] 20일 방송사와 은행사 전산망을 마비시킨 악성코드는 해커들이 방송사와 은행사 전산망의 업데이트 관리 서버를 뚫고 안랩과 하우리의 파일로 위장한 악성코드 파일을 유포한 것으로 보인다. 일부에서 제기됐던 국내 백신 업체들의 업데이트 서버(마스터 서버) 해킹은 아닌 것으로 나타났다.

안랩(053800)은 21일 오전 2시경 “방송사, 금융사 등의 전산망을 마비시키는데 사용된 악성코드 유포는 ‘업데이트 서버’가 아닌 기업의 내부망의 ‘자산관리서버(업데이트 관리 서버)’가 이용된 것으로 확인됐다”며 “공격자가 지능형 지속공격(APT)에 의해 고객사 서버 관리자 계정을 탈취한 것으로 추정되며 자산관리서버의 취약점 때문은 아니다”라고 발표했다.

자산관리서버란 기업의 내부망에서 최신 소프트웨어(SW)로 유지되는지 중앙에서 관리하는 서버를 뜻한다.

하우리 측도 장애 증상을 보이는 PC에서 샘플 파일을 수집해 분석한 결과, “하우리 자체 서버가 해킹 당한 징후는 보이지 않는다”며 “해커들이 하우리의 백신 파일을 변조해 악성코드를 방송사 전산망에 유입시켰고, 전산망 하단에 있는 PC로 악성파일이 퍼진 것”이라고 설명했다. 해커들이 하우리 파일로 변조할 수 있었던 것은 하우리의 바이로봇 백신의 구성모듈 파일인 ‘othdown.exe’과 같은 파일명을 사용했기 때문이다.

즉, 해커들이 배포한 악성코드가 담긴 프로그램이 안랩이나 하우리의 백신 프로그램으로 위장해 방송사 서버와 PC로 침투했던 것이다. 안랩이나 하우리의 자체 해킹 문제는 아니다.

방송통신위원회는 이번 악성코드가 방송사와 은행사 업데이트 관리 서버(PMS)를 통해 유포된 것으로 추정하고 있다. 업데이트 서버는 보안업체에서 담당하는 마스터 서버와 고객사에 있는 매니지먼트 서버(업데이트 관리서버)로 나뉜다.

권석철 큐브피아 사장(전 하우리 사장)은 “현재 안랩이나 하우리가 관리하는 마스터 서버가 해킹된 징후는 보이지 않기 때문에 백신업체가 공급한 매니지먼트 서버(자산관리서버)를 관리하는 방송사 직원의 PC가 해킹됐을 가능성이 높다”며 “해커가 해킹을 통해 관리자 권한을 획득해서 안랩과 하우리의 파일로 위장한 악성파일을 유포했을 것으로 보인다”고 말했다.

한편, 안랩과 하우리는 추가 피해를 막기 위해 해당 악성코드에 대한 업데이트를 마친 상태다.

▶ 관련이슈추적 ◀ ☞ 민간 전산망 마비

▶ 관련기사 ◀ ☞ 안랩 공식 발표..백신 관리서버 어찌 뚫렸나 ☞ 정부 "악성코드, 업데이트 관리서버로 유포 추정" ☞ 통신사 서버 해킹 가능성..2차 공격 가능성 농후 ☞ 서버해킹 비상..KISA가 추천한 예방법은 ☞ 軍 "전산망 마비 북한소행 확인 안돼" ☞ 안랩 "악성코드는 트로이목마의 일종" ☞ 국민은 불안에 떨고 있는데..굳게 입닫은 안랩 ☞ 안랩·하우리 "해킹사건 대응 백신 업데이트" ☞ 안랩 "페이스북 사칭한 알림메일 주의"