20일 발생한 방송사·은행 사이버테러로 PC와 서버 3만2000여대가 피해를 입은 것으로 잠정 집계됐다. KBS MBC YTN과 신한은행 농협 제주은행 등 6개사 모두 동일 조직이 공격한 것으로 파악됐다. 악성코드는 중국 인터넷프로토콜(IP)을 통해 유입된 것으로 확인됐다.

민·관·군 사이버위협 합동대응팀은 21일 브리핑에서 “완전 정상화에 최소 4~5일 정도 걸릴 것으로 예상된다”고 발표했다.

○해킹 경위와 수법

정부는 정상 프로그램으로 위장한 트로이목마를 통해 악성코드가 사전에 유입됐고, 6개사 모두 단일 조직에 공격당한 것으로 분석했다. 접근 경위나 하드디스크를 손상시킨 점 등 여러 면에서 수법이 비슷하다는 것이다.

신화수 한국인터넷진흥원(KISA) 침해예방단장은 “PC 내 하드디스크를 손상하는 악성코드 특징이 피해 기관 사이트에서 동일하게 나타나고 있고, 악성코드 고유의 문자열이 보였다”고 설명했다. 정부는 농협 시스템에서 해커가 중국 IP(101.106.25.105)를 거쳐 업데이트 관리서버에 접속해 악성파일을 생성한 사실을 확인했다.

○2차 공격 가능성

전문가들은 해커들이 언제든지 2차 공격에 나설 수 있다고 내다봤다. 해커들이 보통 1년 넘게 공을 들여 가능한 한 많은 PC를 감염시켜놓는데, 이번 공격에 동원되지 않은 좀비PC가 더 있을 것이란 이유에서다. 김명주 서울여대 정보보호학과 교수는 “이미 다른 곳이 뚫렸을 가능성이 커 감염됐는데 아직 못 찾은 PC가 있을 것”이라고 말했다.

전문가들은 데이터 삭제를 통한 전산망 마비 외에도 좀비PC를 이용한 디도스(DDoS·분산서비스거부) 공격 등 다양한 방법이 시도될 수 있다고 예상했다.

○일반인 피해 가능성

이번 사이버 테러는 치밀한 계획 아래 표적을 정해 공격이 이뤄졌다. 피해 회사와 관련 없는 일반인들은 악성코드에 감염됐을 가능성이 낮다는 게 전문가들의 진단이다. 나상국 SGA 백신사업본부장은 “하지만 악성코드가 어디까지 퍼질 수 있는지 모르는 만큼 일반인들도 백신 설치로 예방에 나서야 한다”고 말했다. 방송통신위원회도 “피해를 당한 6개사의 접속 시스템에 연결된 PC라면 모를까 일반 국민의 PC까지 감염됐다고 추정하기는 아직 어렵다”고 말했다.

○예방은 어떻게 하나

전문가들은 운영체제(OS) 보안패치를 ‘최신 버전'으로 유지하고 백신을 설치해야 한다고 조언했다.

KISA는 이번 공격과 관련된 악성코드를 탐지·치료할 수 있는 전용백신을 개발해 배포하고 있다. 보호나라(www.boho.or.kr) 사이트로 접속해 ‘다운로드-맞춤형 전용백신’ 메뉴를 눌러 내려받으면 된다. 만약의 사태에 대비하기 위해 악성코드 작동 시간인 3월20일 오후 2시 이전으로 PC 시간을 바꾸는 게 좋다.

○보안업체 서버 유통 경로 논란

보안업체 업데이트 서버가 악성코드의 유통 경로로 이용됐다는 조사 결과가 나왔다. 안랩 측은 이에 대해 “해커가 피해 기업 내부에 있는 업데이트 서버에 침투해 관리자의 계정을 탈취한 것으로 추정된다”고 주장했다. 하우리 측은 “해커들이 하우리의 백신 파일을 변조해 악성코드를 방송사와 금융사 전산망에 유입시켰고, 전산망 하부에 있는 PC로 악성파일이 퍼진 것”이라고 해명했다.

김승주 고려대 정보보호대학원 교수는 “보안업체 주장대로 피해 기업 서버에 침투했다면 방송사와 금융사의 관리 소홀이 문제가 되겠지만 아직 조사가 끝나지 않았다”며 “보안업체 업데이트 서버에 침투했다면 보안업체가 불리해지기 때문에 유포 루트를 면밀히 조사해야 하는 부분”이라고 말했다.

양준영/임근호 기자 tetrius@hankyung.com