반복내용 건너뛰기(skip to main content) 본문 바로가기(Go body) 메뉴 바로가기(Go Menu)
G03-8236672469

3.20 사이버테러 “상당히 조잡해” 대응방안 분석보고서 발표 주목

NSP통신, 도남선 기자, 2013-03-21 12:20 KRD2
#보안 #사이버테러 #전산장애 #전산망마비 #NSHC

NSHC Red Alert팀, 3.20 사이버테러 사고 대응 보고서 발표 “공격방식은 APT공격, 수동으로 섹터를 계산해 복구 진행해야”

[서울=NSP통신] 도남선 기자 = 국내 금융권과 방송사를 대상으로 발생한 전산망마비 사태가 북한의 사이버테러 가능성이 농후하다는 언론보도가 나오고 있는 가운데 “이번 사이버테러가 상당히 조잡한 공격”이라며 대응방안을 분석한 보고서가 발표돼 주목된다.

21일 보안업체 NSHC는 20일 오후 2시 KBS MBC YTN 등 방송사와 신한은행 농협은행 제주은행 농협생명 등 금융회사 전산망마비 사태를 분석한 ‘3.20 사이버테러 사고 대응 보고서’를 발표했다.

이 보고서에 따르면 이번 사이버테러의 공격방식은 ‘지속보안 위협’ 이른바 ‘APT’ 공격으로 보인다.

NSP통신-악성코드 정보. (Red Alert팀 제공)
악성코드 정보. (Red Alert팀 제공)

보고서를 발표한 Red Alert(레드얼럿)팀은 “최근 발생한 신규 취약점을 이용해 다수의 사용자 PC를 대상으로 악성코드를 설치하는 APT 공격 기법으로 추정 중”이라고 전했다.

G03-8236672469

Red Alert팀은 “현재 정확한 원인을 파악 중이며 국내 방송사와 금융권의 내부 PC들이 악성코드에 1차 감염됐다”며 “공격의 형태가 동시 다발적으로 발생해 정보 시스템이 마미되고 일부 대민 서비스, 대외 서비스 부분에 장애가 발생했다”고 말했다.

디도스 공격을 통한 2차 피해 우려도 전했다.

Red Alert팀은 “해커가 악성코드를 설치한 피해 시스템에 원격 명령 또는 과거 디도스 공격을 통한 2차 피해가 우려된다”며 APT 공격을 위해 특정 시기를 정해 놓고 올내 기간에 걸쳐 공격을 위한 다수의 시스템을 확보했을 것이라 추정하고 있다.

현재 2차적인 디도스 공격은 발생하지 않은 상태다.

하지만 언론보도와는 다르게 URL을 변조한 공격과는 무관하다고 판단하고 있다.

Red Alert팀은 보고서에서 news1의 “URL 변조 공격으로 의심된다”는 보도를 인용하며 분석결과 이같은 보도와는 다르게 URL을 변조한 공격과는 무관하다고 판단된다 밝혔다.

NSP통신-피해시스템 사진. (Red Alert팀 제공)
피해시스템 사진. (Red Alert팀 제공)

Red Alert팀은 악성코드가 유포된 경로가 백신 업데이트 관리 서버(PMS)인 것으로 판단하고 있다고 전했다.

“주요 방송사와 신한은행 종협 등의 전산망을 마비시킨 악성코드가 해당기관이 보유하고 있는 안랩, 하우리의 업데이트 관리서버(PMS) 모듈을 통해 유포가 이뤄진 것으로 확인됐다”며 “문제는 이미 다른 공격명령을 수행할 수 있는 길이 뚫려 있는 상황이라 또 다른 형태의 공격이 민간으로 까지 퍼질 가능성에 대한 여부”라고 ZD Net Korea의 보도를 인용하며 이같이 밝혔다.

피해 시스템의 경우 마스터 부트 레코드(MBR)의 일부 영역을 오버라이트(Overwrite)해 시스템이 정상적으로 부팅되지 않는 것으로 알려졌다.

NSP통신-피해시스템 사진. (Red Alert팀 제공)
피해시스템 사진. (Red Alert팀 제공)

Red Alert팀은 보고서를 통해 이번 사이버테러 사태의 대응방안을 제시했다.

보고서에 따르면 해당 공격은 사용자의 윈도우 PC를 대상으로 하는 APT공격으로 추정되며 피해가 발생할 수 있는 관련 기관은 내부로부터 외부 아이피에 대한 접근을 차단해 신규 취약점(0day)공격으로 인한 내부 PC에 추가 악성코드 감염을 차단해야 한다.

“‘apcruncmd.exe’ ‘othdown.exe’ 이 두 파일을 접근 제어 시스템과 IPS 정책에 적용해 추가 피해 발생을 차단해야 한다”고도 전했다.

Red Alert팀은 “피해 시스템은 마스터 부트 레코드(MBR)가 Overwriting 돼 부팅이 불가한 상태에 추가로 볼륨 부트 레코드(VBR)까지 손상된 것으로 확인된다. 따라서 시스템 복구를 위해서는 수동으로 섹터를 계산해 복구를 진행해야 한다”고 전했다.

한편 이번 ‘3.20 사이버테러 사고 대응 보고서’의 전문은 Red Alert팀에서 운영하는 페이스북 정보공유 페이지를 통해서도 확인할 수 있다.

NSP통신-변조된 MBR 영역의 데이터. (Red Alert팀 제공)
변조된 MBR 영역의 데이터. (Red Alert팀 제공)

도남선 NSP통신 기자, aegookja@nspna.com
<저작권자ⓒ 국내유일의 경제중심 종합뉴스통신사 NSP통신. 무단전재-재배포 금지.>