꼬마별 놀이터

정보전산망을 마비 시킨 악성코드에 대한 대응책으로 KISA(한국인터넷진흥원)이 악성코드 탐지 및 치료 백신을 무료로 배포하고 있습니다.

정보전산망 마비의 주범 악성코드용 전용백신은 한국인터넷진흥원 보호나라 사이트(www.boho.or.kr)에서 다운로드 받을 수 있습니다.

한국인터넷진흥원 보호나라 사이트에서 정보전산망 마비 시킨 악성코드 전용백신을 다운로드 하기 위해서는 상단의 카테고리의 다운로드 메뉴에서 맞춤형 전용백신 메뉴로 들어가서 '152번 Trojan.Win32.KillMBR.B' 치료용 전용백신 다운로드 아이콘을 클릭해 실행하면 악성코드 전용백신을 다운로드할 수 있습니다.

한국인터넷진흥원 악성코드 전용백신 다운로드

해당 백신을 다운로드 받아 설치하면 악성코드 피해를 예방할 수 있습니다. 하지만 이미 악성코드에 감염되 하드디스크가 손상되면 복구는 불가능합니다.

한국인터넷진흥원 악성코드 전용백신 다운로드

한국인터넷진흥원은 이미 악성코드 감염이 우려되는 상황이라면 PC시간 설정을 변경한 뒤 PC를 작동시킬 것을 조언했습니다.

안랩에서는 3월 20일 14시경 발생한 방송사와 신한은행, 농협 등 은행 전산망 장애의 원인을 악성코드 유포로 인한 것으로 발표하고 대처방법을 공지했습니다.

방송사, 은행 전산망에 유포된 악성코드는 감염 후 디스크 손상를 손상시키고 부팅 불가능하게 하는 것으로 확인되었습니다.

해킹 검사, 치료 안랩 전용백신 다운로드

이 악성코드는 아래와 같이 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있습니다.

- Windows XP, Windows 2003 Server
물리 디스크의 MBR과 VBR 등을 쓰레기 데이터 채움
논리 드라이브 파괴

- Windows VISTA, Windows 7
물리 디스크 파괴
모든 논리 드라이브의 파일 내용을 삭제

안랩에서는  방송사와 은행 전산망 마비를 가져 온 악성코를 현재 제공 중인 전용백신을 다운로드 받아서 검사 및 치료를 할 수 있다고 밝혔습니다. 아래의 파일은 안랩의 악성코드 전용백신이며, 안랩 홈페이지에서도 직접 전용백신을 다운로드 할 수 있습니다.

악성코드 전용백신 다운로드 받기    v3_agent_24576.exe

또한 안랩에서는 전용백신으로 진단되는 악성코드가 있다면 이미 디스크가 손상되어 부팅이 안될 수 있으니 중요 데이터는 우선 백업을 받으시기를 권한다고 안내했습니다.

해킹 검사, 치료 안랩 전용백신 다운로드

한편 20일 방송사와 은행의 전산망 마비를 불러온 악성코드가 국내 정상급 보안 업체, 안랩과 하우리의 업데이트 서버를 활용한 것으로 확인돼 충격을 주고 있습니다.

정보보안의 최후의 보루인 보안업체가 오히려 악성코드를 퍼뜨린 주요 경로가 되었다는 사실에 충격과 불안이 마음을 감출 수가 없습니다.

조사결과 안랩과 하우리의 서버에서 피해 기업의 업데이트 관리 서버를 거쳐 직원들의 PC로 악성코드가 유포된 것으로 확인됐다고 합니다.

해커가 보안업체의 백신 업데이트 파일로 위장해 심은 악성코드가 피해 방송사와 금융회사에 유포됐다는 것입니다.

해킹 검사, 치료 안랩 전용백신 다운로드

보안전문가들은 이번 해킹 공격이 전형적인 ‘지능형 지속 해킹(APT·Advanced Persistent Threat)’이며, 개인 해커가 아닌 범죄그룹이 특정 대상을 정해 그 취약점을 지속적으로 공격하는 해킹이라고 설명했습니다.

사건 초기에는 전산망 마비 피해를 입은 방송사들이 LG유플러스의 통신망을 공통으로 사용하고 있다는 점에서 이 통신사가 악성코드 유통 경로로 지목받기도 했지만, 백신회사들이 악성코드의 유포 경유지라는 점이 밝혀져 LG유플러스도 피해자라는 사실이 확인되었습니다.

LG유플러스가 중소기업들에 제공하는 업무용 소프트웨어 서비스 ‘온넷 21’은 이날 같은 시각 해커의 공격으로 마비되었고, LG유플러스는 피해 확산을 막기 위해 곧바로 서비스를 중단해서 이 서비스를 이용하는 수백 개 중소기업도 업무에 차질을 빚었다고 합니다.

악성코드 배포한 세력은 누구인가?

이번 방송사, 은행 전산망 마비를 불러온 악성코드를 배포한 해킹 세력에 대해, 2011년 4월 농협 전산망 장애, 지난해 6월 중앙일보 전산망 해킹 때와 마찬가지로 북한의 사이버 테러로 추정하고 있습니다.

인터넷상에서는 해킹의 주모자를 자처하는 ‘후이즈(Whois) 팀’에 의한 해킹된 PC 화면이라는 해골 그림, ‘후이즈 팀이 해킹했다(Hacked by Whois team)’는 문구가 화제가 되었습니다.

합동조사반은 실제로 후이즈(Whois) 팀이 악성코드를 심은 해커인지 파악에 나섰다고 합니다.

악성코드 속에서는 해커들의 추가 공격이 이어질 것을 시사하는 메시지도 발견되었는데요, 악성코드를 분석한 결과 ‘PRINCEPS’와 ‘HASTATI’라는 문자열이 포함된 것으로 확인되었습니다.

두 낱말은 라틴어로 각각 ‘첫 번째’와 ‘군대의 선봉대’라는 의미입니다. 이에 따라 후이즈 팀이 2, 3차 공격을 예고한 것 아니냐는 분석이 나오고 있는 실정입니다.