20일 발생한 방송·금융 전산망 마비 사태를 조사하고 있는 사이버위협합동대응팀은 전산마비를 일으킨 악성코드가 '트로이목마' 형태일 가능성이 높다고 파악 중인 것으로 전해진다.
▲ 전산망 마비로 ATM 운영이 중단된 농협. 이종현 기자 jhlee@ilyo.co.kr
트로이목마란 겉으로 보기에는 전혀 해를 끼치지 않을 것처럼 보이지만 실제로는 바이러스 등의 위험인자를 포함하고 있는 프로그램을 뜻한다.
합동대응팀은 전날 피해기관에서 채증한 악성코드에 대한 분석작업을 통해 이같은 사실을 확인하고 정확한 사고 원인 및 공격주체 파악에 주력하고 있다.
합동대응팀은 공격을 받은 기관의 업데이트관리서버(PMS)에서 악성코드가 유포됐고 이 서버에 연결된 PC, 노트북 등 모든 컴퓨터의 부팅영역(MBR)을 파괴한 것으로 추정했다.
특히 문제의 악성코드를 분석한 결과 '2차 공격'을 암시하는 문자열이 발견돼 관계기관이 바짝 긴장하고 있다. 부팅영역(MBR) 손상 부분에 'PRINCPES'와 'HASTATI' 등 문자열이 발견됐는데 이는 두 낱말은 라틴어로 각각 '첫 번째'와 '(로마) 군대의 1열' 등의 뜻이다.
이에 따라 이번 공격을 감행한 해커가 2차 공격이나 3차 공격을 예고한 것으로 볼 수 있지 않느냐는 관측이 나오고 있는 것이다.
정부는 전날 발령한 사이버위기 '주의' 경보를 이틀째 유지하는 한편 추가공격 발생에 대비해 전 기관에 경계강화 및 공격 발생시 신속복구 체계를 가동하도록 조치했다.
동진서 기자 jsdong@ilyo.co.kr