지난 3.20 해킹사건과 관련, 사고 원인이 무엇일까에 대한 의견들이 많이 나오고 있다. 지금까지 합동대응팀 수사결과를 필두로 어떤 방식으로 해킹이 이루어졌는지에 집중했다면, 이제는 기업들은 재발방지를 위해 어떤 대응방법이 필요할까를 고민해야 한다는 목소리가 높다. 
 
정보보안 컨설팅 전문기업 핵티즌(Hacktizen) 구대훈 대표는 “3.20사고 이후, 백신업체들에서 해당 악성코드에 대한 백신들은 나왔지만 원천적으로 사고를 예방할 수 있는 방법들은 언급되지 않고 있다”며 기업들이 향후 대응해야 할 구체적인 방안들을 몇 가지 제시했다.
 
그는 “이번 악성코드에 이용된 기법은 시스템에 저장된 패스워드를 수집해 시스템에 접근한 후 시스템을 파괴하는 것이다. mRemote나 SecureCRT 프로그램의 경우는 패스워드 저장기능이 있어 계정정보가 파일로 저장된다”며 “시스템 관리자들이 패스워드 저장기능을 사용하면 편하긴 하지만 저장된 패스워드는 복호화가 가능하므로 저장하는 것은 위험하다”고 경고했다.  
 
구 대표는 기업 보안담당자들이 이번 사건과 관련, 향후 재발을 방지하기 위해 후속를 해야 할 부분들에 대해 다음과 같이 제시하고 있다.
 
1. mRemote의 계정정보가 저장되는 ConfCons.xml파일 삭제

[win]+f 단축키를 눌러 파일을 검색 한 후 검색된 mRemote 관련 파일을 삭제해야 한다.  
 
2. SecureCRT의 계정 정보가 저장되는 파일 삭제
아래 그림과 같이 [Options] - [Global Options] - [General] - [Configuration folder]에 설정된 경로로 이동한다.  

 
설정된 경로로 이동하면 Sessions 폴더가 존재하는데 아래와 같이 저장된 세션 파일이 존재하게 됩니다. Sessions 폴더에 있는 모든 파일을 삭제해야 한다.

 
3. 각 기업의 파일서버 점검
*.xml과 *.ini 파일을 검색해 mRemote와 SecureCRT 관련된 파일을 삭제해야 한다.
 
구 대표는 “언급한 3가지 이외에도 여러가지 후속조치 대응방안들이 있을 수 있지만 이번 사건과 관련해서는 위 3가지는 꼭 체크하는 것이 안전할 것”이라고 말했다.  
 
또 그는 “이번에 사고를 당한 KBS, MBC, YTN, 신한, 농협은 시스템 전체적으로 패스워드 변경은 하고 있는지 모르겠다”며 “시스템 망가진 것에만 초점을 맞춰 복구하다 보면 패스워드는 기존과 동일하게 사용할 수도 있을 것 같다. 패스워드를 변경하지 않으면 노출된 패스워드로 추가적인 공격이 가능하기 때문에 주의해야 한다”고 패스워드 변경도 권고했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com