6.25 사이버전과 관련해 시스템을 파괴시키는 악성파일들이 발견되고 있다. 일부 언론사 등을 대상으로 시스템 파괴 기능명령을 수행하고 있어 각별한 주의가 필요하다.
 
잉카인터넷 대응팀 관계자는 “이번에 발견되는 악성파일은 7.7 DDoS, 3.4 DDoS, 3.20 금융 및 언론사 사이버테러 때와 마찬가지로 시스템의 중요한 파일들을 삭제한다. 또한 하드디스크(HDD)의 마스터부트섹터(MBR)를 공격하는 기능도 기존과 동일하다”고 설명했다.

 
시스템 파괴 기능이 동작하면 변종에 따라 바탕화면을 임의로 변경하거나 드라이브에 존재하는 모든 파일들을 삭제시도하기 때문에 갑자기 프로그램이 실행되지 않고 재부팅될 수 있다.
 
악성파일은 사용자 계정 하위의 임시폴더(Temp) 경로에 임의의 이름을 가진 tmp.bat 파일을 생성하고 실행하는데, 이 파일 내부에는 어나니머스를 의미하는 ‘anon’이라는 문자가 포함되어 있고, NET USER 명령을 이용해 "highanon2013"이라는 명령을 사용한다. 생성되는 파일명은 매번 가변적으로 만들어진다.

 
아래 이미지는 악성파일에 의해서 시스템에 존재하는 파일들의 이름이 변경되는 화면이다.

 
파일명을 변경하고 삭제해 정상적으로 복원하더라도 어떤 파일인지 구분하기가 어려워 사용이 어렵다.

 
잉카인터넷 관계자는 “이 악성파일은 하드디스크의 마스터부트섹터 영역(MBR)을 파괴시도하기 때문에 보안업체들이 제공하는 MBR Guard를 설치해 두면 MBR 파괴를 사전에 탐지하고 방어할 수 있다”며 “그러나 파일들도 동시에 삭제되기 때문에 악성파일을 탐지할 수 있는 상용 백신 제품 등을 동시에 사용하는 것이 좋다”고 권고했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com