[KNS뉴스통신=김학형] 어제 방송·금융기관의 전산망을 마비시켰던 해킹 사건의 경위와 수법에 윤곽이 잡히고 있다.
문제가 된 악성코드는 트로이목마를 통해 사전에 유입됐으며 6개사 모두 단일 조직에 공격당한 것으로 추정된다. 일부 기업의 악성코드 유입 경로 추적 결과 중국 소재 인터넷프로토콜주소(IP address)가 나온 점도 향후 해커 실체 추적의 열쇠가 될 것으로 보인다.
21일 방송통신위원회에 따르면 민·관·군 합동대응팀은 이번 해킹 사건에 이용된 악성코드를 분석한 결과 피해 기업 모두 동일 조직에 의해 공격이 자행된 것으로 추정했다.
악성코드가 하드디스크를 손상한다는 특징이 피해 사이트에서 공통적으로 나타나고, 악성코드 고유의 문자열이 발견됐다. 또 접근 경위나 하드디스크를 손상시킨 점 등 여러 면에서 수법이 비슷하다고 대응팀은 보고 있다.
또한 대응팀은 '트로이목마'가 침투에 이용됐다고 지목했다.
트로이목마는 정상적으로 보이는 프로그램으로 위장해 컴퓨터 시스템을 공격하는 악성코드를 뜻한다.
트로이목마 중에는 공격자의 명령에 따라 감염된 PC를 원격제어하고 필요한 정보를 마음먹은 대로 빼내 갈 수 있는 강력한 기능을 갖춘 경우도 있어 위험성이 높다는 게 업계 전문가들의 분석이다.
특히 트로이목마의 특성상 짧게는 수일부터 길게는 수개월 전에 이미 악성코드를 침투시켜 놨을 가능성이 높다는 관측도 나온다.
피해 업체 중 하나인 농협에서는 해커가 중국 IP를 경유해 업데이트 관리 서버에 접속한 후 악성파일을 생성한 사실이 파악됐다. 이는 중국을 경유했다는 점에서 북한이 자행한 것으로 알려진 과거 해킹 사례와 공통점이 있다. 그러나 최초 공격지점과 공격자 등 구체적인 공격경로는 아직 확인되지 않고 있다.
현재까지 확인된 사실을 토대로 악성코드 분석과 피해 PC 복구 등을 통해 해커 실체 규명에 주력하고 있다. 피해 복구 이후 시스템이 정상화되기까지는 최소 4∼5일이 걸릴 전망이다.
박재문 방통위 네트워크정책국장은 "중국 IP가 발견돼 여러 추정이 나오게 됐지만 현 단계에서는 모든 가능성을 열어놓고 해커 실체 규명에 최선을 다하고 있다"고 말했다.
김학형 기자 khh@kns.tv
