안랩, 악성코드 중간분석 “3·20 사태와 차이”

지난 25일 정부기관에 대한 디도스(DDoS, 분산서비스거부) 공격에서 쓰인 ‘하드디스크 파괴 기능을 가진 악성코드’가 지난 3·20 사이버테러 때 쓰인 것과는 세부적으로 다른 것으로 나타났다.

안랩은 28일 ‘하드디스크 파괴 악성코드 상세분석결과’를 중간발표하면서 이 같은 내용을 공개했다.

하드디스크를 파괴하는 악성코드의 특징은 컴퓨터(PC)를 켜는 데 필요한 정보가 저장된 영역인 마스터 부트 레코드(Master Boot Record·MBR)에 하드디스크를 파괴하는 코드를 넣어 백신 치료를 어렵게 한다는 것이다.

또 파일 삭제나 하드디스크 파괴를 하는 중에 시스템 충돌 등을 일으켜 청색화면현상(블루스크린현상·BSOD)을 만들거나 재부팅후에도 파괴 기능이 유지되도록 한다.

그러나 안랩은 이번 공격에 사용된 악성코드의 작동방식이 3·20 사이버테러 때와는 다르다고 밝혔다.

감염 후 MBR에 하드디스크 파괴 기능을 넣고 감염 즉시 자료를 삭제하는 게 아니라 재부팅할 때 삭제하는 점은 3·20 사태 때는 없던 증상이라는 것. 비밀번호와 바탕화면 변경도 이번에 새로 나타난 공격 방식이다.

안랩은 자사의 개인용 무료백신 V3 Lite(2013.6 출시 버전) 등을 이용하면 이 악성코드를 진단 치료하고 MBR 파괴를 막을 수 있다고 말했다.

안랩 관계자는 “분석결과 악성코드는 기업·기관의 서버 관리자를 주요 표적으로 삼지만 개인 PC에서도 작동한다”며 주의를 당부했다. 안랩은 분석결과를 한국인터넷진흥원(KISA) 등 관계기관과 공유했다.

연합뉴스