안랩 "해커, APT 공격으로 관리자 계정 탈취" 추청

[마이데일리 = 김세호 기자] 정보보안 전문기업 안랩이 20일 일부 언론사과 금융기관의 전산망 마비사태에 대한 중간 분석 결과 업데이트 서버가 해킹당한 것은 아니라고 밝혔다.

안랩은 21일 "방송사, 금융사 등의 전산망을 마비시키는 데 사용된 악성코드 유포에는 외부망 인터넷 데이터센터(IDC)에 위치한 '업데이트 서버'가 아닌 기업 내부망의 '자산관리서버(안랩의 경우 APC서버)'가 이용된 것으로 확인됐다"고 전했다.

이어 "업데이트 서버가 해킹당했다는 일부 언론의 보도는 와전된 것"이라며 "'업데이트 서버'라는 명칭은 통상적으로 SK브로드밴드나 KT, LGU+같은 외부 망의 IDC에 있는 업데이트 서버를 통칭하는데 이 서버가 해킹 당한 것은 아니다"라고 덧붙였다.

또 안랩은 공격자가 지능형지속공격(APT, Advanced Persistent Threat)에 의해 APC서버의 관리자 계정(ID,PW)을 탈취한 것으로 추정하며 자산관리서버(안랩의 경우 APC서버)의 취약점 때문은 아니라고 밝혔다.

장애를 일으킨 것은 Win-Trojan/Agent.24576.JPF 악성코드이며 이 악성코드가 안랩의 통합자산관리(APC, AhnLab Policy Center) 서버를 거쳐 APC와 연결된 PC가 이용된 것으로 확인됐다. 이번 악성코드는 PC를 감염시킨 후 PC가 부팅되는 데 필요한 영역을 손상시킨다.

안랩은 지난 20일 오후 6시 40분부터 이 악성코드의 진단/치료용 전용백신을 제공한 한편, 기존 V3 제품군의 최신 업데이트 엔진을 제공했다. 또한 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동 중이다.

김세호 기자 fame@mydaily.co.kr
- ⓒ마이데일리(www.mydaily.co.kr). 무단전재&재배포 금지 -