[KNS뉴스통신=김학형 기자] 안랩이 이번 전산망 장애와 관련해 자사 백신 프로그램 ‘V3’의 업데이트 서버가 악성코드 유포에 사용됐다는 내용은 사실이 아니라고 주장했다.
21일 안랩은 '방송사 및 금융사 공격 관련 중간 분석 결과 발표' 자료를 발표했다.
전날 오후 2시쯤 발생한 특정 방송사와 금융사의 전산망 장애를 분석한 결과 외부망 IDC(인터넷데이터센터)에 위치한 업데이트 서버 해킹이 아닌 기업의 내부망인 자산관리서버(APC, 안랩폴리시센터)가 이용된 것으로 확인했다고 밝혔다.
업데이트 서버는 SK브로드밴드나 KT, LG유플러스와 같은 외부 망의 IDC에 있는 업데이트 서버를 말한다. 보안기업의 해당 서버가 해킹을 당했을 경우 해당 기업은 피해에 대해 책임을 져야 한다. 보안기업의 서버를 통해 해당 기업이 악성코드에 노출됐기 때문이다.
반면 자산 관리 서버는 기업의 내부 망에서 직원들의 PC가 최신 소프트웨어로 유지되는지 중앙에서 관리하는 역할을 담당한다.
V3와 같은 프로그램의 자동설치와 버전 업데이트를 맡는 일종의 패치관리시스템(PMS)이다. 해당 자산관리서버의 관리자 계정이 탈취당하면 어떤 보안프로그램도 이를 제어할 수 없기 때문에 이 경우 보안기업은 책임이 없는 것으로 본다.
안랩 측은 "업데이터 서버가 해킹 당한 것은 아니고 외부망인 인터넷데이터센터(IDC)에 위치한 업데이트 서버가 아닌 기업 내부의 APC 계정 탈취로 악성코드가 배포된 것으로 보고 있다"고 설명했다.
안랩은 특히 "자산관리 서버의 취약점이 원인이 아니며 만약 관리자 계정이 탈취됐다면 정상적인 권한에 의한 접근이라 취약점이 없는 대부분의 SW가 악용될 수밖에 없다"고도 덧붙였다.
다만 관리자 계정 탈취가 아닌, 안랩이 구축한 자산관리서버의 취약점이 발견되면 이번 사고와 관련한 책임소재는 불분명해진다. 안랩은 추가 적인 정밀 조사를 통해 조속한 시일 안에 명확한 원인을 발표할 예정이다.
안랩에 따르면 장애를 일으킨 악성코드는 'Win-Trojan/Agent.24576.JPF'으로 이 악성코드는 안랩의 통합자산관리(APC) 서버를 거쳐 APC와 연결된 PC가 이용된 것으로 확인됐다.
이번 악성코드는 PC를 감염시킨 후 PC가 부팅되는 데 필요한 영역인 MBR(Master Boot Record)를 손상시켜 PC 부팅을 방해하고 논리 드라이브 또한 망가뜨려 PC 내 문서 등 데이터를 손상 또는 삭제한다. 윈도 비스타, 윈도우 7은 모든 데이터가, 윈도우 XP-윈도우 2003 서버는 일부가 손상된다.
김학형 기자 khh@kns.tv
