실시간
뉴스

특집

[방송금융 전산마비] 안랩 “APT 공격에 의한 자산관리 서버 계정 탈취”

- 악성코드 진단·치료용 전용백신, 최신 업데이트 엔진 제공  
 
[디지털데일리 이민형기자] 안랩은 20일 14시경 발생한 특정 방송사와 금융사의 전산망 장애에 대한 중간 분석 결과, APT(지능형지속가능위협) 공격에 의한 자산관리서버인 APC(안랩폴리시센터) 서버의 관리자 계정 탈취로 사용자 PC 악성코드가 감염된 것으로 추정된다고 21일 밝혔다.

APC서버는 기업 내부에서 사용되는
V3 제품의 자동 설치와 버전 업데이트 등을 수행하는 자산관리 서버로, 일종의 PMS(패치관리시스템)다.

안랩측은 “업데이트 서버가 해킹 당한 것은 아니다”며 “기업내부에서 사용되는 자산관리 서버(APC)의 계정탈취로 악성코드가 배포된 것으로 예측된다”고 말했다.

다만 안랩은 계정 탈취는 자산관리 서버의 취약점 때문은 아니라고 밝혔다. 만약 관리자 계정이 탈취다면 정상적인 권한에 의한 접근이어서 취약점이 없는 대부분의 소프트웨어가 악용될 수밖에 없다는 이유에서다.


장애를 일으킨 악성코드는 ‘Win-Trojan/Agent.24576.JPF’이다. 이 악성코드는 안랩의 통합 자산관리(APC) 서버를 거쳐 APC와 연결된 PC가 이용된 것으로 확인됐다.

이번 악성코드는 PC를 감염시킨 후 PC가 부팅되는 데 필요한 영역인 MBR(Master Boot Record)를 손상시킨다. 또한 논리 드라이브를 손상시켜 PC 내 문서 등의 데이터를 손상 또는 삭제한다. 윈도비스타, 윈도7의 경우 모든 데이터가 손상되며 윈도XP, 윈도2003 서버의 경우는 일부가 손상된다.
 
한편, 안랩은 20일 오후 6시 40분부터 이 악성코드의 진단·치료용 전용백신을 제공하는 한편, 기존 V3 제품군의 최신 업데이트 엔진을 제공했다. 또한 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동 중이다.
 
<이민형 기자>kiku@ddaily.co.kr
디지털데일리 네이버 메인추가
x