주요 방송사와 신한은행, 농협 등의 전산망을 마비시킨 악성코드 공격이 분산서비스거부(DDoS) 공격으로 보기는 어렵고, PC 내에 삭제된 데이터들도 목적이 의도가 분명치 않은 파일들이라는 1차 분석이 나왔다. 특정 정보 유출 보다는 혼란을 주기 위한 목적이었을 가능성이 큰 상황이다.
20일 해킹분석팀 레드 어럴트는 주요 피해 회사로부터 전달 받은 내용을 분석한 결과 이 공격이 PC를 켤 때마다 부트섹터의 특정 영역이 동작을 하지 못하도록 했으며, 삭제된 내부 데이터들 역시 공통점이 없을 정도로 조잡한 상태라고 밝혔다.
봉용균 레드 어럴트 팀장은 1차 분석 결과 해킹 당한 회사들의 일부 시스템 데이터가 삭제됐으며, 부팅에 필요한 파일 등이 무작위로 유출돼 정확한 목표를 알기 어렵다고 말했다. 또한 임의로 삭제된 데이터들이 외부로 유출됐는지에 대해서는 추가적인 확인이 필요하다고 설명했다.
기존에 개인정보나 회사 내부 정보 유출 등을 노렸다기 보다는 단순히 시스템에 혼란을 주는 형태로 공격이 이뤄졌다는 것이다.
1차 분석결과에 따르면 마스터 부트 레코드(MBR)의 일부 영역이 덮어쓰기(overwrite)돼 시스템이 정상적으로 부팅되지 않는 수법이 사용됐다.
관련기사
- [전산망 마비]KBS-MBC “방송은 편성대로”2013.03.20
- [전산망 마비]신한은행, “피해 고객에 최선 다하겠다”2013.03.20
- [전산망 마비]KT “KBS 등에 단순 인터넷 제공”2013.03.20
- [전산망 마비]LGU+ “KBS 등에 보안망 제공 안해”2013.03.20
악성코드가 발견된 파일은 apcruncmd.exe, imbc.exe, sbs.exe, kbs.exe, Bull.exe, Sun.exe, asd.exe, 38.exe, 39.exe, Sad.exe, down.exe, v3lite.exe 등이다.
레드 어럴트는 기존 KBS, MBC, YTN, 농협은행, 신한은행, 제주은행, 농협생명 보험, 신한은행과 시스템이 연계 서버로 추정되는 롯데카드 등이 피해를 입은 것으로 파악했다.