안랩 "업데이트 서버 아닌 자산관리 서버 계정 탈취"

[김국배기자] 안랩(대표 김홍선)은 지난 20일 14시경 발생한 특정 방송사와 금융사의 전산망 장애를 분석한 결과 업데이트 서버 해킹이 아닌 자산관리서버인 APC(안랩폴리시센터)가 이용된 것으로 조사됐다고 밝혔다.

자산 관리 서버는 기업의 내부망에서 최신 소프트웨어 유지를 위해 중앙에서 관리하는 역할을 담당하는 것으로 안랩에서는 V3 제품의 자동설치와 버전 업데이트를 하는 일종의 패치관리시스템(PMS)이다.업데이트 서버는 SK브로드밴드나 KT, LG유플러스와 같은 외부 망의 IDC에 있는 업데이트 서버를 통칭한다.

안랩 측은 "업데이터 서버가 해킹 당한 것은 아니고 외부망인 인터넷데이터센터(IDC)에 위치한 업데이트 서버가 아닌 기업 내부의 APC 계정 탈취로 악성코드가 배포된 것으로 보고 있다"고 설명했다.

안랩은 특히 "자산관리 서버의 취약점이 원인이 아니며 만약 관리자 계정이 탈취됐다면 정상적인 권한에 의한 접근이라 취약점이 없는 대부분의 SW가 악용될 수밖에 없다"고도 덧붙였다.

안랩에 따르면 장애를 일으킨 악성코드는 'Win-Trojan/Agent.24576.JPF'으로 이 악성코드는 안랩의 통합자산관리(APC) 서버를 거쳐 APC와 연결된 PC가 이용된 것으로 확인됐다.

이번 악성코드는 PC를 감염시킨 후 PC가 부팅되는 데 필요한 영역인 MBR(Master Boot Record)를 손상시켜 PC 부팅을 방해하고 논리 드라이브 또한 망가뜨려 PC 내 문서 등 데이터를 손상 또는 삭제한다. 윈도 비스타, 윈도우 7은 모든 데이터가,윈도우 XP, 윈도우 2003 서버는 일부가 손상된다.

김국배 기자의 다른 기사 보기

• 전산망 마비 사태 '전조현상' 있었다?

• 방송사들 전산망 일부 복구…"방송엔 차질 無"