이번 3.20 사이버 공격 사건을 정리해 보자면 이렇다. 지난 3월 20일 2시를 기점으로 일부 방송사 및 금융사 PC 및 윈도우 서버들이 자동으로 리부팅이 되면서 바로 먹통상태에 빠졌다.
 
이들 회사들은 국산 안티바이러스 소프트웨어를 사용하고 있던 고객들로 이들 보안 밴더(안랩, 하우리)의 시그니처 배포 서버(PMS)를 통해 직원 PC에 설치된 안티 바이러스 시그니처를 최신으로 유지하고 있었다.
 
하지만 이런 PMS 시스템이 APT로 추정되는 공격에 의해 관리자의 로그인 정보가 해커들에 의해 갈취되었고 해커들은 이들 PMS 서버에 백신 업체들의 정상적인 시그니처 갱신 파일로 위장해 자신들이 생성한 악성코드를 대신 심어 놓았던 것. 즉 신뢰할 수 있는 SW를 공격 도구로 사용한 것이다.
 
이 때문에 수많은 PC들이 동시에 먹통이 된 것이다. 이러한 공격 방식은 해커들이 매주 쉽게 수많은 PC들을 대상으로 악성코드 공격을 감행하고자 할 때 매우 효율적인 방법이라는 점에서 그 심각성이 높다.
 
악성코드는 MBR 즉, PC가 부팅할 때 하드 디스크에서 메모리로 읽어 들여서 부팅을 진행할 때 사용하는 파일 영역을 삭제하고 대신 HASTATI라는 문자열을 기록해 놓음으로써 PC가 부팅이 안되도록 한 것이다.
 
이 악성코드는 트로이목마 형태로 직원들의 PC에 심어졌으며 한국 시간으로 3월 20일 오후 2시에 동작되도록 Time Bomb 형식으로 작성된 것이다.
 
포티넷 이상준 부사장은 “이번 공격은 APT라고 불리는 공격 방식으로 감행됐다. APT의 공격은 매우 오랜 시간의 준비과정(2년 이상 걸린 경우도 있음)을 통해 정해진 몇 개의 목표를 대상으로 공격이 이루어진다는 점에서 그 결과가 일반적인 해킹 사건에 비해 매우 심각하다”고 밝혔다.
 
또 그는 “이번 사건처럼 신뢰할 수 있는 바이러서 백신사의 업데이트 서버를 우회해서 공격하는 경우, 동시에 수천 개 혹은 수만개의 PC가 감염될 수 밖에 없는 취약성이 문제가 된 것”이라고 덧붙였다.
 
이에 이 부사장은 “이러한 공격을 막기 위해서는 멀티 백터가 필요하다. 즉 하나의 공격 형태만을 차단하는 것이 아니라 매우 다양한 여러 형태의 공격을 그 순간에 가장 효율적인 방식으로 차단해야 한다는 것이다. 메일, SNS, 바이러스, 악성코드, 봇넷 서버 IP주소, 스패머의 IP 주소, 행동특성, 가상 머신, 샌드박스 등 모든 차단 기술을 총 동원해야만 APT공격을 막아낼 수 있다”고 설명했다.
 
또 “사용자 평판 분석 가능을 통해 의심스러운 행위를 감행하는 PC를 네트워크로부터 격리해 기업 네트워크를 보호해야 하고 내부 네트워크에 위협을 가할 가능성이 잠재되어 있는 블랙리스트 기기 및 사용자들을 관리할 수 있어야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com