어떻게 해킹했나?…트로이목마·좀비 PC 등 지목

20일 오후 발생한 주요 방송사와 금융사의 전산망 마비 사태가 해킹에 의한 악성코드 유포 때문인 것으로 나타난 가운데 보안업계 전문가들은 악성코드 종류에 대해 다양한 가능성을 제시하고 있다.

보안전문업체인 SGA의 남보현 보안사업부문 부장은 "요즘 소셜네트워크서비스(SNS)가 발달해서 악성코드 확산이 어렵지도 않다"며 "트위터나 페이스북도 마음먹으면 악용할 수 있다"고 말했다.

남 부장은 "해커가 악성코드 URL(인터넷주소)을 심는 방식으로 악성코드를 퍼뜨릴 수 있다. 이런 URL에 무심코 들어갔다가 감염된 이후 회사 내부 컴퓨터에 오염시키는 방식도 가능하다"며 가능성 있는 시나리오로 제시했다.

체크포인트의 한승수 보안컨설턴트는 특정한 시간대에 동시다발적으로 발생한 점으로 볼 때 최근 유행하는 APT 공격 가능성에 무게를 뒀다. 그는 "악성코드를 이미 오래전 PC나 서버에 심어뒀다가 외부 명령으로 PC가 꺼진 후 다시 켜지지 않도록 설정했을 수 있다"며 "이런게 전형적인 APT 공격 유형"이라고 설명했다.

또 다른 보안업체 임원은 트로이목마 가능성을 내놨다.

이 관계자는 "트로이목마는 일정 시점이 되면 작동하는 특성이 있는데 이번처럼 대규모로 동시에 마비시키려면 우선 동시다발적으로 감염을 많이 시킨 다음 특정 시점에 문제를 터뜨려야 한다"고 말했다.

그는 PC에 침입한 뒤 특정시점을 기다렸다가 자폭하도록 명령을 내리는 '좀비PC' 가능성도 거론했다.

박찬암 라온시큐어 보안기술연구팀장은 "일단 부팅 자체가 안되는 것은 디도스(DDos:서비스분산거부 공격)와 다르다"면서 디도스 이상의 해킹 가능성에 주목했다.

그는 "디도스는 고속도로를 자동차로 꽉 막아서 못가도록 막는 것이라면 이번은 컴퓨터가 다운된 것으로 볼 때 아예 고속도로 자체를 파괴해버리는 것"이라고 설명했다

공격당한 내부자 PC 화면을 SNS에서 봤다는 그는 "일종의 파괴 목적으로 내부망 부팅이 안되도록 하는 방식으로 전산망 마비까지 일으킨 것 같다"면서 "공격 유형이 워낙 다양해 백신을 설치해도 안듣는 경우가 많다"고 덧붙였다.

애초 악성코드 유포가 목적이 아니라 금융정보와 같은 다른 정보 갈취를 목적으로 시작했다가 사태가 발전했을 가능성도 제기됐다.

포티넷코리아의 이상준 부사장은 "서로 다른 회사의 PC가 이렇게 많이 감염되는 사례는 매우 드물다"며 "내부 정보를 갈취하려고 시작했다가 이렇게 됐을 수도 있다"고 분석했다.

전문가들은 다양한 방식의 해킹 가능성을 설명하면서도 '고도화된 해킹'이라는 데 공통적인 견해를 내놨다. 피해 대상인 방송사나 은행의 보안 수준이 다른 기관에 비해 높은 수준인데다 피해 범위가 넓다는 이유에서다.

체크포인트의 한승수 보안컨설턴트는 "이정도 규모로 피해를 주려면 실력이 아주 좋은 수준"이라고 평가했다. 라온 화이트햇센터의 박찬암 팀장도 "이 정도로 규모로 하려면 철저한 계획하에 진행해야 해 상당한 기술수준을 갖췄을 것"이라고 진단했다.

(서울=연합뉴스)