3월 20일 14시경 주요 방송사 및 금융기관의 전산망 마비가 발생했다. 이에 하우리는 “현재까지 파악된 내용으로는 시스템 부팅시 로드되는 MBR(Master Boot Record)과 드라이브 파티션 정보를 악성코드가 변조 및 파괴를 생하기 때문”이라고 밝혔다.
 
또 “장애 증상 PC에서 샘플 파일을 수집하여 분석한 결과, 악성코드가 하우리 백신 프로그램의 구성모듈 파일(파일명: othdown.exe)로 위장했고 타사(안랩) 백신 프로그램 경우도 서버 구성모듈로 악성코드가 위장했다”고 설명했다.   
 
정상 파일로 위장한 악성코드는 특정 언론사와 금융권으로 침투한 후 하위 클라이언트 사용자까지 내려가서 실행되어 전산망 마비를 일으켰다는 것.
 
관계자는 “정상 백신 모듈 파일로 위장한 악성코드는 MBR 파괴, 드라이브 파디션 정보 파괴의 증상이 발생하며 복구가 불가능할 것으로 판단된다”고 전했다.  
 
하우리 김희천 대표는 "백신 엔진 업데이트 서버가 해킹된 것은 아니며, 해커의 악의적인 목적으로 백신 프로그램 파일을 변조했으며 악성코드 감염 후 디스크 손상으로 인한 부팅불가 증상 발생, 파괴가 유발되었다"라며 "이번 취약점의 대처 방안으로 othdown.exe 실행 전 파일의 무결성을 검사해 본래의 파일이 맞는 경우에만 실행하도록 보완해 같은 사례가 재발되지 않게 조치했다” 밝혔다.
 
또한 이번 악성코드에 패턴 업데이트가 20일 저녁 7시 20분경 조치가 완료되어 추가적인 피해 발생은 사용자가 최신 업데이트만 유지한다면 발생하지 않는다고 덧붙였다.
 
20일 발표한 하우리 악성코드 상세분석 보고서는 데일리시큐 자료실에서 다운로드 할 수 있다.
하우리는 분석 결과에 대해 “최초 감염의 경로와 기법은 확인되지 않고 있으나, 해당 악성코드는 파괴형 악성코드로서 특정 백신 프로그램의 구성모듈로 위장하여 실행되며, 감염시 시스템 부팅장애와 데이터 파괴현상이 발생하여 복구가 불가능하다”고 밝혔다.

 
데일리시큐 길민권 기자 mkgil@dailysecu.com