방송통신위원회는 20일 저녁 브리핑을 통해 “피해기관으로부터 채증한 악성코드를 초동 분석한 결과 업데이트 서버를 통해 유포가 이뤄진 것으로 추정되며, 부팅영역(Master Boot Record)이 파괴됐다”고 밝혔다.
이 과정에서 업계 관계자들은 이 과정에서 피해기관들이 사용하는 안랩과 하우리의 백신 솔루션의 업데이트 서버가 유포지로 활용된 것으로 추측했으나 보안업체는 업데이트 서버가 아닌 PMS 솔루션 계정탈취로 인한 것이라고 주장했다.
PMS 솔루션은 많은 수의 PC에 설치된 SW를 관리하기 위해 개발된 제품이다. 안랩과 하우리는 각각 안랩 폴리시 센터(APC), 바이로봇매니지먼트시스템(VRMS)를 보유하고 있다. 이 솔루션은 백신뿐 아니라 기업에서 활용하는 모든 SW, 윈도 보안업데이트 등도 관리한다.
바꿔말하면 PMS 솔루션 관리 계정을 탈취하면 다양한 방법의 공격이 가능해진다는 의미다. 안랩과 하우리는 “PMS 솔루션 관리자 계정이 탈취될 경우 변조된 파일이라도 이를 에이전트로 내려주는 것은 정상적인 권한에 의한 접근이기 때문에 악용될 수 밖에 없다”고 입을 모았다.
김희천 하우리 대표는 “엔진 업데이트 서버가 해킹된 것은 아니며, 해커의 악의적인 목적으로 백신 프로그램 파일을 변조했다”며 “본 취약점의 대처 방안으로 백신SW 업데이트 파일 실행 전 파일의 무결성을 검사해 본래의 파일이 맞는 경우에만 실행하도록 보완했다”고 밝혔다.
안랩 역시 PMS 솔루션 계정 탈취로 인한 피해로 추정하고 있다. 안랩은 보도자료를 통해 “이번 악성코드 배포는 업데이트 서버 해킹이 아닌 APC(안랩 폴리시 센터) 솔루션 계정 탈취로 인한 것”이라고 말했다.
다소 별도의 문제로 업데이트 시 파일 무결성 검사 여부의 문제도 도마에 올랐다. 일각에서는 백신SW 업데이트 파일의 무결성 검사를 실시했더라면 악성파일이 배포되지는 않았을 것이라는 주장도 나오고 있다.
보통 백신SW는 실행 시 파일 무결성을 검사한다. 해커들이 백신SW를 우회하거나 무력화시키는 것을 방지하기 위해서다. 무력화 검사를 마친 뒤 SW가 실행되면, 해당 파일은 읽거나, 삭제할 수 없기 때문에 변조될 가능성은 낮은 편이다.
그러나 업데이트 파일은 상황이 다르다. 업데이트가 있을 경우에만 실행되기 때문에 악성코드에 감염될 가능성이 있다. 이를 탐지하기 위해서는 보안업체가 직접 운영하는 업데이트 서버를 통해 파일 무결성 검사를 실시해야 한다.
물론 이번 사고는 관리자 계정이 탈취돼 발생한 것으로 파일 무결성 검사를 실시했더라도 문제가 발생할 가능성이 존재해 단언하기는 쉽지 않을 것으로 보인다.
이와 관련 하우리 관계자는 “업데이트 파일을 배포할 수 있는 권한이 해커 손에 들어갔기 때문에 파일 무결성 검사 여부로 사고의 원인을 판단하기는 힘들다”며 “이전부터 수많은 악성파일들이 PMS를 통해 클라이언트로 내려갔다. 계정 탈취를 인지하지 못한 시점에서 사고는 예견됐다고 볼 수 있다”고 말했다.
댓글 쓰기