[쿠키 사회] 지난 20일 방송사와 금융기관 등 6개사 전산망에 해킹 사고를 일으킨 것과 유사한 변종 악성코드들이 추가로 발견되면서 2차 피해 발생 우려도 커지고 있다.

민·관·군 사이버위협 합동대응팀에 참여하고 있는 한 보안업체는 22일 피해 PC·서버에 대한 추가 분석 결과 이번 동시다발 전산망 장애를 야기한 악성코드 외에 유사·변종 악성코드 23종을 새로 발견했다고 밝혔다.

보안업체 관계자는 “보안업체들과 한국인터넷진흥원(KISA) 등 정부가 추가로 발견한 유사·변종 악성코드 수는 다소 차이가 있지만 20종 이상이라는 점에서 일치를 봤다”고 말했다.

추가로 발견된 유사·변종 악성코드들은 역할 분담을 통해 이번에 해킹된 하드디스크의 맨 앞에 기록되는 시스템 기동 영역인 ‘MBR(Master Boot Record)’을 파괴시키려는 목적으로 설계된 것으로 분석됐다.

이 관계자는 “(악성코드의) 분담된 역할 중 하나는 백신 프로그램의 파일을 덮어써 무력화하는 것”이라고 덧붙였다.

보안업체들은 이번 전산망 해킹 사고가 변종 악성코드의 역할 분담을 통해 해킹하려 했다는 점에서 2011년 가입자 3500만명의 정보를 빼낸 네이트·싸이월드 개인정보 유출 사고와 성격이 유사하다고 진단했다. 당시에도 악성코드들은 침투용 통로를 만드는 역할, 정보수집 역할, 수집된 정보를 미리 지정한 인터넷 프로토콜(IP) 주소로 전송하는 역할 등을 분담한 바 있다.

따라서 이번 해킹 사건 역시 변종 유형을 많이 심어놓은 점으로 보아 일반적인 단순 해킹이 아니라 특정 집단이 상당 기간 계획한 것으로 판단하고 있다.

특히 보안업체 관계자들은 “사고가 발생한 날이 공무원들의 급여일인 20일이었다는 점에서 기업체 급여이체일인 25일에 악성코드에 의한 2차 피해도 우려된다”고 지적했다. 변종 악성코드에 대한 백신 대응이 ‘발견된 뒤 사후 조치’이기 때문에 미처 발견하지 못한 변종 악성코드에 의한 추가 피해 가능성을 배제할 수 없다는 것이다.

한편 전산망 동시 마비 사태가 발생한지 이틀만인 22일 조선일보 전산망도 해킹 공격을 받았으나 피해는 입지 않은 것으로 알려졌다.

국민일보 쿠키뉴스 홍해인 기자 hihong@kmib.co.kr