3·20 전산 대란
3·20 전산 대란(-電算大亂)은 2013년 3월 20일 대한민국 주요 언론사와 기업체의 전산망이 마비되고, 안랩 서버 및 다수의 컴퓨터가 악성코드에 감염되어 막대한 피해를 입은 사건이다.
원인 분석[편집]
방송통신위원회의 브리핑[편집]
악성코드의 유포로 3만 2천여 대의 시스템이 감염된 것으로 알려져 있다.[1] 방송통신위원회는 사건 당일 브리핑에서 "피해 기관으로부터 채증한 악성코드를 분석한 결과 특정 업체의 업데이터 관리 안랩 하우리 서버(PMS)에서 악성코드가 유포된 것으로 추정된다"고 설명했다.[2] 다음날인 21일 브리핑에서는 단일 조직에 트로이 목마를 통해 사전에 유입된 악성코드에 공격당한 것으로 추정되며, 일부 기업의 악성코드 유입 경로 추적 결과 중국 소재 IP 주소가 발견되었다고 발표했다.[3] 하지만 22일 중국이 아니라 농협은행의 것으로 정정했는데 '101.106.25.105'라는 사설 IP 주소가 중국의 국제 공인 IP 주소와 같아 잘못 판단했다고 한다.[4]
보안 업체의 조사 결과[편집]
보안 업체인 잉카인터넷의 분석 자료에 따르면 ApcRunCmd.exe, Othdown.exe라는 파일명의 악성코드가 확인되었다. 이 악성코드는 2013년 3월 20일 14시가 되면 시스템을 파괴하도록 설계되어 있었다.[5] 하우리는 악성코드가 자사와 안랩의 백신 프로그램의 구성 파일로 위장했다며 정상 파일로 위장한 악성코드가 기업 PC에 침투한 후 실행되어 전산망 마비를 일으켰다고 분석했다. 또한 하우리와 안랩 관계자 모두 자사 백신에 보안 취약점은 없다고 밝혔다.[6] 22일 안랩의 김홍선 대표는 CBS 표준FM 《김현정의 뉴스쇼》와의 인터뷰에서 안랩이 직접 업데이트하는 서버가 아니라 고객사 각자가 관리하는 사내의 관리자 서버가 해킹당한 것이라고 설명했다.[7]
영국의 보안 업체인 '소포스'(Sophos)가 운영하는 '네이키드 시큐리티' 블로그에 올라온 글에 따르면 이미 소포스 제품은 약 1년 전부터 이 악성코드를 감지해왔으며, 하우리와 안랩의 백신 소프트웨어를 무력화하는 명령이 포함되어 있다고 말했다. 또한 악성코드에 포함된 다양한 명령은 난독화되지 않았다고 한다.[8] 미국 보안 업체인 '맥아피'(McAfee)는 이 악성코드가 PuTTY의 설정 파일을 취득하여 원격에 있는 시스템을 파괴하는 명령도 포함되어 있으며, 다른 파일을 추가로 받거나 윈도우 레지스트리를 변경하는 일은 없이 오직 시스템을 사용 불가능한 상태로 파괴하는 목적만 있다고 결론내렸다. 덧붙여 이 악성코드의 초기 형태가 지난해 발견되었다고 말했다.[9]
정부 발표 조사 결과[편집]
4월 10일 오후 정부과천청사 미래창조과학부 브리핑실에서 발표된 중간 조사 결과 발표에서는 북한 정찰총국의 소행으로 추정된다고 결론내렸으며, 2012년 6월 28일부터 최소한 6대의 북한 내부에 있는 PC들로부터 피해 기관에 악성코드를 유포하고 PC에 저장되어 있는 자료를 절취했다고 밝혔다.[10]
공격 및 피해[편집]
1차 공격[편집]
- 마스터 부트 레코드(MBR)와 볼륨 부트 레코드(VBR)를 파괴하여 컴퓨터가 부팅이 되지 않았다. KBS, MBC, YTN 등 주요 언론사 PC도 피해를 입어 업무에 차질이 있었다.[11] 또한, KBS는 이 날 전산망 복구를 위해 홈페이지를 전면 차단했다.[12]
- 신한금융지주의 계열사인 신한은행과 제주은행의 전산망이 장애를 일으켰고, 농협은행도 일부 PC에서 문제를 일으켜 추가 피해를 예방하기 위해 LAN 케이블을 분리하였다. 이들 은행은 당일 18시까지 영업을 연장하였다.[13]
- 금융위원회와 금융감독원에 따르면 우리은행에서도 서비스 거부 공격이 있었으나, 내부 시스템으로 방어하였다고 한다.[14] 하지만 방송통신위원회는 브리핑을 통해서 우리은행 건에 대해서는 조사중이라고 발표했다.[15]
- 한편 같은 날 자칭 '후이즈'(Whois)라는 해커 그룹이 LG유플러스의 그룹웨어를 해킹했으나, 한국인터넷진흥원(KISA)에서는 금융사 및 방송사의 전산 마비와는 무관하다고 발표하였다.[16][17] 하지만 잉카인터넷에서는 후이즈가 남긴 변조화면을 구성하는 악성코드가 발견됐다는 점에서 동일범일 것이라고 밝혔다.[18]
변종 등장[편집]
안랩은 같은 달 25일 10시 30분부터 일반 사용자를 대상으로 한 변종을 포착했다고 발표했다. 이 변종은 명령을 전달하는 서버와 교신하는 기능이 추가되어 해커가 원하는 시간대에 일제히 공격을 할 수 있고, 이미 수백 대의 PC가 감염되었다고 밝혔다.[19]
대책[편집]
- 정부는 민·관·군 합동 사이버위기대책본부를 구성하였다.[20]
- 보안 업체 안랩, 하우리 등은 자사 제품이 문제를 일으킨 악성코드를 검출할 수 있도록 긴급 업데이트를 실시하거나 전용 백신을 배포하고 있다. 각 업체가 부여한 진단명은 아래와 같다.
- 안랩 - Win-Trojan/Agent.24576.JPF (JPG, JPH), Dropper/Eraser.427520[21]
- 잉카인터넷 - ApcRunCmd.exe : Trojan/W32.Agent.24576.EAN / Othdown.exe : Trojan/W32.Agent.24576.EAO[5]
- 하우리 - ApcRunCmd.exe : Trojan.Win32.U.KillMBR.24576 / Othdown.exe : Trojan.Win32.U.KillMBR.24576.A[22]
- 시만텍 - Trojan.Jokra[23]
- 소포스 - Mal/EncPk-ACE (별칭 "DarkSeoul")[8]
각주[편집]
- ↑ “피해입은 3만2천대 PC 복구 난항…"포맷해야"”. 연합뉴스. 2013년 3월 21일. 2013년 3월 25일에 확인함.
- ↑ “"방송·금융 전산마비 악성코드, PC부팅영역 파괴"”. 연합뉴스. 2013년 3월 20일. 2013년 3월 20일에 확인함.
- ↑ “중국 IP로 심은 트로이목마에 전산망 '와르르'”. 연합뉴스. 2013년 3월 21일. 2013년 3월 21일에 확인함.
- ↑ “농협 사설 IP`를 중국 해킹 진원지로 오인”. 한국경제. 2013년 3월 22일. 2013년 3월 22일에 확인함.
- ↑ 가 나 “언론사 방송국, 금융사이트 부팅 불가 사고 발생 중”. 잉카인터넷 대응팀. 2013년 3월 20일. 2013년 3월 25일에 원본 문서에서 보존된 문서. 2013년 3월 20일에 확인함.
- ↑ “안랩·하우리 "백신 업데이트 모듈로 위장했을 뿐, 해킹 아냐"”. 머니투데이. 2013년 3월 20일. 2013년 3월 20일에 확인함.
- ↑ “안랩 "PC 복구 가능...데이터도 살릴 수 있다"”. CBS. 2013년 3월 22일. 2013년 3월 22일에 확인함.
- ↑ 가 나 Graham Cluley (2013년 3월 20일). “DarkSeoul: SophosLabs identifies malware used in South Korean internet attack”. Naked Security.
- ↑ Jorge Arias (2013년 3월 20일). “South Korean Banks, Media Companies Targeted by Destructive Malware”. McAfee Blog Central. 2013년 3월 24일에 원본 문서에서 보존된 문서. 2013년 3월 21일에 확인함.
- ↑ “"북한 8개월간 준비해 3.20 사이버 테러 감행"”. 연합뉴스. 2013년 4월 10일. 2013년 5월 25일에 확인함.
- ↑ “문자로 기사쓰고, 뛰고… KBS 등 '아수라장'”. 머니투데이. 2013년 3월 20일. 2013년 3월 20일에 확인함.
- ↑ “KBS 홈피 자체 차단..MBC·YTN 홈피는 정상 가동”. 연합뉴스. 2013년 3월 20일. 2013년 3월 20일에 확인함.
- ↑ “·농협·제주銀 `먹통`...16시 전후 복구 완료”. 전자신문. 2013년 3월 20일. 2013년 3월 20일에 확인함.
- ↑ “우리은행도 디도스 공격받아…농협생명 등 금융사들도 전산망 이상”. 조선일보. 2013년 3월 20일. 2013년 3월 21일에 확인함.
- ↑ “방통위, "악성코드 규명중.. 21일까지 백신 배포가능"”. 아시아경제. 2013년 3월 20일. 2013년 3월 21일에 확인함.
- ↑ “해골 남기는 그들… 이번 해킹도 '후이즈'가?”. 머니투데이. 2013년 3월 20일. 2013년 3월 20일에 확인함.
- ↑ 같은 이름을 사용하는 인터넷 기업 '후이즈 주식회사'는 이 해커 그룹이 자사와 무관하다는 내용의 보도 자료를 공표하였다. / “해커그룹 Whois와 (주)후이즈는 관련이 없음을 알려드립니다.”. 후이즈. 2013년 3월 20일.
- ↑ “전산망 대란 주범, '후이즈 팀' 맞다"”. 머니투데이. 2013년 3월 21일. 2013년 3월 21일에 확인함.
- ↑ “"변종 악성코드, 일반PC 수백대 감염"”. 뉴스1. 2013년 3월 25일. 2013년 3월 25일에 확인함.
- ↑ “朴대통령 전산망마비 '조속복구' 지시…범정부팀 가동”. 연합뉴스. 2013년 3월 20일. 2013년 3월 20일에 확인함.
- ↑ “Dropper/Eraser.427520”. AhnLab. 2013년 3월 22일.[깨진 링크(과거 내용 찾기)]
- ↑ “주요 방송매체 및 금융권 시스템 장애 대응 업데이트 공지”. 하우리. 2013년 3월 20일.[깨진 링크(과거 내용 찾기)]
- ↑ “Trojan.Jokra”. Symantec.