방통위 "업데이트 서버에 악성코드 유입..부트섹터 파괴"

방송통신위원회는 언론-금융사 정보전산망 마비 사태와 관련, "'민·관·군 사이버위협 합동대응팀'을 중심으로 악성코드를 채증, 사고 원인 및 공격 주체를 파악하는데 주력하고 있다"고 전했다.

방통위 이승원 네트워크정보보호팀장은 20일 긴급 브리핑을 통해 "피해기관으로부터 채증한 악성코드를 분석한 결과, 업데이트 관리서버(Patch Management System)를 통해 악성코드 유포가 이루어진 것으로 추정하고 있다"며 "이들 악성코드가 '부팅영역(Master Boot Record)'을 파괴시킨 것으로 분석하고 있다"고 밝혔다.

이승원 팀장은 "현재 국가공공기관은 피해가 없는 것으로 확인됐다"면서 "악성코드 유포 등 추가공격 발생에 대비, 전 기관에 경계 강화 및 공격 발생시 신속 복구체계를 가동토록 조치했다"고 전했다.

이 팀장은 "합동조사팀이 관련 PC를 수거, 전문가들과 정밀 분석을 실시하고 있다"면서 "조만간 분석을 끝내고 악성코드를 퇴치할 백신을 업데이트 할 계획"이라고 밝혔다.

덧붙여 이 팀장은 "이번 사이버 침해사고는 국내에서만 발생한 것으로 파악됐다"며 "전산망 마비 원인이 분석되는대로 국가사이버안전전략회의를 개최해 국가 차원의 후속조치를 논의할 계획"이라고 전했다.

다음은 방통위 이승원 네트워크정보보호팀장과의 일문일답 전문

-악성코드가 전파된 경로는?

방송사와 금융사의 정보시스템에는 파일이나 백신 등을 업데이트하는 서버가 있다.
이 서버에 연결된 개인별 PC가 백신을 수시로 업데이트 하게 되는데, 바로 업데이트 서버에 악성코드가 입력돼 있었다.
결국 업데이트 관리 서버를 통해 개인 PC가 감염됐고, 컴퓨터가 가동하는데 필요한 부트섹터(MBR·Master Boot Record)가 파괴되면서 부팅이 안되는 증상이 나타난 것으로 보인다.

-그럼 통신사 망에는 전혀 문제가 없었나?

그렇다.

-피해규모와 현재까지의 복구 상황은?

신한은행은 복구를 완료했고, 농협은 아직도 일부 창구에서 전산장비 마비 증상이 있는 것으로 알고 있다.
중소 생명보험사의 연관성 여부는 아직 확인 중이다.
방송사의 경우 정상적인 PC를 포함, 전 컴퓨터에 대해 '작동 중지' 조치를 취했다.
백신이 배포될때까지 재가동을 중단하기로 했다.

-해킹팀 '후이즈' 소행이 맞나?

모든 가능성을 열어 놓고 조사 중에 있다.

-원인 분석은 언제쯤 완료 되나?

현재 합동조사팀이 분석 중인데, 아직은 예측하기 힘들다.
배후에 누가 있는지 파악하는 것도 현재로선 어려운 실정이다.
지금으로선 백신 업데이트가 제일 중요하다.
통상적으로 백신 업데이트는 그 다음날 정도면 가능하리라고 본다.

-민관군 사이버대응팀은 어떻게 이뤄졌나?

경찰청, 국정원, 방통위, 인터넷진흥원 등이다.

-다른 기관이 공격 받을 가능성은?

(추가 공격에 대비해)사이버위기 경보단계를 '주의' 단계로 격상시켰고, 모니터링 인력을 3배 증원했다.