안랩(053800)은 21일 오전 2시경 “방송사, 금융사 등의 전산망을 마비시키는데 사용된 악성코드 유포는 ‘업데이트 서버’가 아닌 기업의 내부망의 ‘자산관리서버(업데이트 관리 서버)’가 이용된 것으로 확인됐다”며 “공격자가 지능형 지속공격(APT)에 의해 고객사 서버 관리자 계정을 탈취한 것으로 추정되며 자산관리서버의 취약점 때문은 아니다”라고 발표했다.
자산관리서버란 기업의 내부망에서 최신 소프트웨어(SW)로 유지되는지 중앙에서 관리하는 서버를 뜻한다.
하우리 측도 장애 증상을 보이는 PC에서 샘플 파일을 수집해 분석한 결과, “하우리 자체 서버가 해킹 당한 징후는 보이지 않는다”며 “해커들이 하우리의 백신 파일을 변조해 악성코드를 방송사 전산망에 유입시켰고, 전산망 하단에 있는 PC로 악성파일이 퍼진 것”이라고 설명했다. 해커들이 하우리 파일로 변조할 수 있었던 것은 하우리의 바이로봇 백신의 구성모듈 파일인 ‘othdown.exe’과 같은 파일명을 사용했기 때문이다.
방송통신위원회는 이번 악성코드가 방송사와 은행사 업데이트 관리 서버(PMS)를 통해 유포된 것으로 추정하고 있다. 업데이트 서버는 보안업체에서 담당하는 마스터 서버와 고객사에 있는 매니지먼트 서버(업데이트 관리서버)로 나뉜다.
한편, 안랩과 하우리는 추가 피해를 막기 위해 해당 악성코드에 대한 업데이트를 마친 상태다.
▶ 관련이슈추적 ◀ ☞ 민간 전산망 마비
▶ 관련기사 ◀ ☞ 안랩 공식 발표..백신 관리서버 어찌 뚫렸나 ☞ 정부 "악성코드, 업데이트 관리서버로 유포 추정" ☞ 통신사 서버 해킹 가능성..2차 공격 가능성 농후 ☞ 서버해킹 비상..KISA가 추천한 예방법은 ☞ 軍 "전산망 마비 북한소행 확인 안돼" ☞ 안랩 "악성코드는 트로이목마의 일종" ☞ 국민은 불안에 떨고 있는데..굳게 입닫은 안랩 ☞ 안랩·하우리 "해킹사건 대응 백신 업데이트" ☞ 안랩 "페이스북 사칭한 알림메일 주의"