주요 방송사, 금융기간 전산망 마비에 대해 하우리는 고객사에 제공하고 있는 하우리의 백신 프로그램 구성모듈 파일을 위장한 공격을 확인했다고 20일 발표했다.
하우리에 따르면 이날 오후 2시부터 발생한 공격에 사용된 악성파일은 하우리의 백신프로그램 구성모듈 파일인 'othdown.exe'를 위장했다. 문제가 된 타 회사의 백신 프로그램도 마찬가지로 서버 구성모듈 일부를 위장한 공격으로 조사됐다고 덧붙였다. 하우리와 함게 피해 회사에 백신을 공급한 회사는 안랩으로 알려졌다.
하우리가 현재까지 파악한 것은 방송통신위원회에서 발표한 대로 '시스템 부팅시 로드되는 MBR(Master Boot Record)과 드라이브 파티션 정보를 악성코드가 변조 및 파괴'하는 공격이 전산망을 마비시켰다고 밝혔다.
정상 파일로 위장한 악성코드는 특정 매체사와 금융권으로 침투한 후 하위 클라이언트 사용자까지 내려가서 실행되어 전산망 마비를 일으켰다. 정상 백신 모듈 파일로 위장한 악성코드는 MBR 파괴, 드라이브 파디션 정보 파괴의 증상이 발생하며, 복구가 불가능할 것으로 판단된다.
관련기사
- KISA "유포지 안랩-하우리 모듈, 걱정은..."2013.03.20
- [전산망 마비]KISA 전 직원 비상2013.03.20
- “악성코드, 안랩-하우리 모듈 통해 유포”2013.03.20
- “악성코드, 안랩-하우리 모듈 통해 유포”2013.03.20
김희천 하우리 대표는 엔진 업데이트 서버가 해킹된 것은 아니며, 해커의 악의적인 목적으로 백신 프로그램 파일을 변조했으며 악성코드 감염 후 디스크 손상으로 인한 부팅불가 증상 발생, 파괴가 유발됐다고 설명했다.
이어 이 취약점에 대한 대처 방안으로 othdown.exe 실행 전 파일의 무결성을 검사해 본래의 파일이 맞는 경우에만 실행하도록 보완하여 같은 사례가 재발되지 않게 조치했다고 밝혔다.