전체메뉴

검색
팝업창 닫기
이메일보내기

정부 “‘트로이목마’형태로 공격…공격주체 파악중”

추후 공격이 있을 거라는 관측도 있어

지난 20일 발생한 방송·금융 전산망 마비 사태를 조사중인 정부 사이버위협합동대응팀은 전산마비를 일으킨 악성코드가 ‘트로이목마’ 형태라는 점을 파악한 것으로 알려졌다.

합동대응팀은 전날 피해기관에서 채증한 악성코드에 대한 밤샘 분석작업을 통해 이같은 사실을 확인하고 정확한 사고 원인 및 공격주체 파악에 주력하고 있다.

방통위 관계자는 “피해기관의 업데이트관리서버(PMS)에 트로이목마가 심어져 전산마비 사태를 불러일으킨 것으로 파악됐다”면서 “최초 공격지점, 공격자 등 구체적인 공격경로를 추적하고 있다"고 전했다.

앞서 합동대응팀은 해당 기관의 업데이트관리서버(PMS)에서 악성코드가 유포됐고 이 서버에 연결된 PC, 노트북 등 모든 컴퓨터의 부팅영역(MBR)을 파괴한 것으로 추정했다.

특히 문제의 악성코드를 분석한 결과, ‘2차 공격’을 암시하는 문자열이 발견돼 관계기관이 바짝 긴장하고 있다. 부팅영역(MBR) 손상 부분에 'PRINCPES'와 'HASTATI' 등 문자열이 발견됐는데 이는 두 낱말은 라틴어로 각각 '첫 번째'와 '(로마) 군대의 1열' 등의 뜻이다.

이에 따라 이번 공격을 감행한 해커가 2차 공격이나 3차 공격을 예고한 것으로 볼 수 있지 않느냐는 관측이 나오고 있다.



특정 시각에 파괴기능이 동작하도록 설정한 내용도 발견된 것으로 알려져 이번 해킹이 오랜 시간에 걸쳐 계획적으로 이뤄졌음을 보여주고 있다.

분석 결과에 따르면 파괴 기능은 2013년 3월 20일 오후 2시부터 동작하도록 만들어졌고 실제 이 시각에 전산마비 사태가 발생했다.

또 전산망 마비 원인이 분석되는 대로 국가사이버안전 전략회의를 열어 국가차원의 후속조치를 논의할 예정이다.

/디지털미디어부
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
주소 : 서울특별시 종로구 율곡로 6 트윈트리타워 B동 14~16층 대표전화 : 02) 724-8600
상호 : 서울경제신문사업자번호 : 208-81-10310대표자 : 손동영등록번호 : 서울 가 00224등록일자 : 1988.05.13
인터넷신문 등록번호 : 서울 아04065 등록일자 : 2016.04.26발행일자 : 2016.04.01발행 ·편집인 : 손동영청소년보호책임자 : 신한수
서울경제의 모든 콘텐트는 저작권법의 보호를 받는 바, 무단 전재·복사·배포 등은 법적 제재를 받을 수 있습니다.
Copyright ⓒ Sedaily, All right reserved

서울경제를 팔로우하세요!

서울경제신문

텔레그램 뉴스채널

서경 마켓시그널

헬로홈즈

미미상인