[전산망 마비]"백신회사 로그에 ID가 없다"

일반입력 :2013/03/22 16:22    수정: 2013/03/22 19:01

손경호 기자

지난 13일 악성코드 공격을 받은 회사들이 보유하고 있는 패치관리시스템(PMS) 관련 로그기록에는 사건 당일 누가 접속했는지에 대한 기록이 남아 있지 않은 것으로 밝혀졌다. 해커가 다른 경로로 확보한 관리자 권한의 ID와 비밀번호를 통해 정상 접속한 것이 아니라 인증시스템을 우회해 공격을 시도했다는 것이다.

22일 관련업계에 따르면 안랩과 하우리가 피해회사에 제공했던 패치관리시스템(PMS)은 발표와는 달리 심각한 보안취약점에 노출돼 있는 셈이다. 2, 3차 피해로 까지 충분히 이어질 수 있는 상황이어서 각별한 주의가 필요한 상황이다.

지난 20일 방송통신위원회는 피해기관에서 채증한 악성코드를 분석한 결과, PMS를 통해 부팅영역을 파괴시키는 악성파일이 유포됐다고 발표했다. 해당 시스템은 안랩 폴리시 센터(APC), 하우리 바이로봇 ISMS인 것으로 밝혀졌다.

두 보안회사의 발표에 따르면 APC와 ISMS 서버는 피해를 입은 회사들이 직접 관리한다. 안랩은 공격자가 피해 회사들이 직접 관리하고 있는 APC서버의 ID와 비밀번호가 탈취됐다고 밝혔다. APC 자체의 취약점은 아니라는 설명이다.

그러나 관련 업계에 따르면 분석결과 APC와 ISMS의 로그기록에는 ID가 아예 남아있지 않은 것으로 나왔다. 공격자들이 실제 접속은 했지만 누가 접속을 했는지에 대해서는 알 수 없게 했다. APC서버의 접속하는 과정에서 인증을 우회하는 취약점이 사용된 것이다.

최종적으로 유포된 악성코드는 감염된 PC의 부팅기능을 마비시켰다. 그러나 더 중요한 것은 악성코드가 유포될 수 있도록 취약점을 해결하지 못한 보안회사들의 책임이 크다는 지적이다.

물론 모든 조사결과가 나온 것은 아니다. 공격자가 관리자 권한의 ID와 비밀번호를 탈취했다면 어떤 경로를 통해 이뤄졌는지에 대해서도 추가적인 분석이 필요한 상황이다.

관련기사

익명을 요구한 관계자는 실제로 보안회사들의 PMS를 사용하고 있는 다른 회사들도 같은 형태의 취약점에 노출됐다고 볼 수밖에 없다며 피해회사들은 이제 상황이 종료됐고, 앞으로 같은 취약점을 이용한 공격을 통해 다른 회사에 접속한 뒤 정보를 빼내는 등의 수법이 사용될 가능성도 충분하다고 밝혔다.

이와 관련 안랩은 APC서버는 해킹된 사실이 없다며 APC의 여러 서버계층 중 최상층 서버 계층에서 인증을 받으면 그 아래 계층 서버에서는 로그기록이 남지 않기 때문이라고 해명했다.