3.20 사이버대란과 관련 빛스캔(대표 문일준)이 초기 경고 및 추적과 대응 등에 대한 상세한 자료를 제시하며 웹을 통한 대량 유포와 감염에 대한 기업과 기관의 대책마련을 촉구했다.  

 
빛스캔은 “사고가 터지기 전, 비정상적인 주중 악성코드 유포 행위가 지속되었다는 점과 군 관련 모임과 매체에 대한 악성코드 감염 시도 발견 그리고 주중 유포되는 악성코드들 대부분이 백도어 및 트로이목마 유형이었다”며 “이 세가지 핵심적인 변화 관찰 결과에 따라 경고를 했음에도 불구하고 사고는 발생됐다. 이에 3.20 대란에 대한 논점은 명확히 짚고 넘어가는 것이 필요하다”고 강조했다.
 
3.20 사건의 핵심 논점은 다음 세가지다.
1. 내부망 침입: Email을 통한 APT 혹은 Web 서핑을 통한 감염?
2. 악성코드 확산 도구: 중앙에서 업데이트 되는 장비(APC/ISMS)
3. 최종 피해: 파괴형 악성코드
 
공격이 발생 되기 위해서 필요한 세 가지 구성요소에서 확산 도구와 최종 피해를 입히는 부분은 확인 되었으나 최초 내부망의 PC에 어떻게 접근을 할 수 있었는지에 대해서는 알려져 있지 않다.
모든 피해가 서비스 운영이 아닌 개인 PC가 운영되는 네트워크 단위에서 발생되었다는 점을 주목해 볼 때 두 가지 침입 가능한 지점을 확인 할 수 있다고 한다.
 
즉, 이메일을 통한 악성파일 첨부 공격에 의한 감염과 직원들의 웹서핑을 통한 악성코드 감염을 의심해 볼 수 있다는 것.

 
빛스캔에서는 웹을 통한 대량 감염을 2년 이상 추적해 오고 있으며 180만여 개의 국내·외 웹서비스들의 악성코드 감염 이슈를 모니터링 해오고 있다. 따라서 이메일을 통한 공격은 제외하고 웹서핑을 통한 악성코드 감염 이슈를 중점으로 정보를 제공해 오고 있다.
 
빛스캔 관계자는 “매주 평균 100~200여 개 이상의 웹서비스들에서 모든 방문자를 대상으로 악성코드 감염시도를 하고 있으며, 그 중에는 방문자가 많은 서비스들도 포함이 되어 있는 상태라 불특정 다수에게 감염을 시킬 수 있는 상태”라며 “공격자는 이미 권한을 가지고 있는 웹서비스들의 소스코드를 변경해 방문 시마다 자동으로 실행하도록 하고 감염시키는 형태를 통해 감염자를 기하급수적으로 늘린다. 최초 내부망으로 유입된 통로를 확인 할 수 없어서 3.20일까지는 추정되는 의심정보로 전달한 바 있다. 빛스캔은 웹을 통한 감염으로 추정한다”고 설명했다.

 
3월 17일 이후 imbc.exe, sbs.exe와 같은 특정 방송사명의 악성코드가 사용자들 PC에 설치가 되었으며, 그 중에서 imbc.exe 파일 내에는 감염 PC를 원격에서 조정 할 수 있는 C&C 주소가 발견되어 관련성에 대해서 추정을 할 수 있는 상태였다고 한다.  
 
빛스캔 측은 “3월 20일의 파괴형 악성코드 동작 이후 3월 24일에도 국내 사이트를 통한 악성코드 감염 사례가 발생됐으며 해당 악성파일명은 naver01.exe로 이용되고 있었다. 해당 파일의 분석결과 여러 악성코드를 추가로 다운로드 받는 것이 관찰 되었고 공격자가 원격에서 조정하는 C&C 주소가 imbc.exe에서 발견된 C&C 주소와 동일한 것이 확인되었다”며 “도메인의 이름만 변경되었으며 실제 IP 주소는 동일한 것으로 확인이 되었고 시스템에 대한 파괴 행위도 3월 20일 발견된 피해 악성코드의 기능과 유사한 변종으로 확인되었다”고 설명했다.  
 
따라서 “3월 20일 사건에 대해 3월 17일 이후 대량으로 국내에 유포된 imbc.exe 악성코드와 실제 피해를 입힌 악성코드와의 연결 고리를 확인 할 수 있다”고 밝혔다. 그 근거는 다음과 같다.  
 
-3.17일 이후 발견된 imbc.exe 악성코드와 3.24일 발견된 naver01.exe의 C&C 주소가 동일 ( *.hades08.com )
-3.20일 파괴행위를 했던 최종 악성파일과 3.24일 발견된 파괴 행위가 유사한 형태의 변종

 
빛스캔 측은 위의 두 가지 관찰 결과에 따라 이번 공격이 동일 그룹의 소행이며, 동일 C&C를 사용한 것으로 추정하고 있다.  
 
관계자에 따르면, “최초 악성코드 유포지인 악성링크 도메인 등록은 3월 15일에 등록했으며, 등록 이후 즉시 국내에 대한 공격을 시행했다. hXXp://dxx.asdasd2012.com/ro/sunt.html(홍콩) 악성링크가 자동 실행이 되어 방문자의 브라우저에 대한 공격이 발생하고 성공하게 되면 다음 도메인에서 imbc.exe 파일을 받아 온다. 최종다운로드 링크는 hXXp://mx.asdasd2012.com/imbc.exe(일본)이다”라고 밝혔다.
 
이 업체 관계자는 “관찰 결과에 따르면 3월 20일 사건 이전에 필요한 준비기간은 단 5일 정도로 예상을 할 수 있다. 도메인 등록까지 포함해서 5일 정도로 예상이 되며, 실제 공격은 단 3일 동안에 대량 유포와 대상을 지정한 공격까지 모두 끝낸 상황으로 추정 할 수 있다”며 “3월 24일 발견된 악성코드 감염의 사례는 국내 주요 사이트 최소 7~8곳에서 유포가 되었으며 방문과 동시에 감염이 되고 파괴형 악성코드도 즉시 설치되는 것을 확인했다. C&C의 명령에 따라 즉시 파괴가 가능함을 관찰한 바 있다”고 설명했다.
 
문일준 빛스캔 대표는 “웹을 통한 대량 유포와 감염 이슈가 기업과 기관의 내부망의 안전을 심각하게 위협하고 있는 상황에서 대량 유포를 위한 매커니즘을 줄여 나가고 근본적인 취약성을 개선시켜나가지 않는다면 앞으로도 더욱 심각한 사고가 발생할 수 있음을 이번 3.20 사건을 통해 충분히 인식하는 것이 중요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com