방송사, 은행들의 전산망을 마비시켰던 3.20 사이버테러는 외부망에서 내부 서버로 접속하기 위해 웹 액티브X 모듈의 업데이트 기능이 악용된 것으로 나타났다. 피해회사 내부망에서 안랩, 하우리의 백신업데이트용 프로그램을 통해 악성코드가 유포된 것은 확인됐으나 외부 PC에서 어떻게 내부와 연결통로를 만들 수 있었는지에 대해 알려진 것은 처음이다.
10일 국내 전, 현직 악성코드 분석가들로 구성된 이슈메이커스랩은 3.20 사이버테러의 작전명을 'Operation 1Mission'이라고 명명하고, 이미 6년 전부터 국내를 대상으로 사이버전을 수행해 왔던 조직이 피해회사의 웹서버를 해킹하기 위해 국내 소프트웨어의 액티브X 보안취약점을 악용했다고 밝혔다. 1차적인 악성코드 감염경로로 여러 가지 가능성이 검토되고 있으며 그 중 하나가 액티브X 업데이트 기능이 악용됐다는 것이다.
이슈메이커스랩에 따르면 공격순서는 먼저 피해회사의 웹사이트에 설치되는 웹 액티브X 모듈 업데이트 파일 경로를 위장해 악성코드를 뿌렸다. 이를 통해 해커들은 감염된 일부 PC를 통해 2차로 내부망의 PC와 서버를 마비시키기 위해 추가적인 악성코드를 사용했다는 것이다.
이와 관련 익명을 요구한 국내 보안전문가는 이슈메이커스랩이 공개한 내용은 이미 알려진 사실을 토대로 분석한 내용이라며 은행의 경우 제큐어웹의 취약점은 기존에도 문제가 된 적이 있었으나 방송사의 경우는 다른 가능성도 고려해야한다고 밝혔다. 이메일, 웹사이트 방문, 액티브X 취약점 등 여러가지 방법이 1차적인 감염에 사용됐을 가능성이 높다는 설명이다.
관련기사
- 3.20 전용백신 위장 악성코드까지 등장2013.04.10
- APT 라이프사이클로 본 전산망 마비2013.04.10
- 3.20 전산망 장애 이후 '망분리' 화두2013.04.10
- [전산망 마비]"백신회사 로그에 ID가 없다"2013.04.10