안랩은 21일 “공격자가 지능형 지속공격(APT)에 의해 서버 관리자 계정을 탈취한 것으로 추정하고 있으며 서버의 취약점은 아니”라고 밝혔다. 만약 관리자 계정이 탈취됐다면 공격자가 정상적인 권한으로 서버에 접근할 수 있기 때문에 취약점이 없는 대부분의 소프트웨어(SW)가 악용될 수 밖에 없다.
이번 악성코드가 유포된 서버는 외부망 인터넷데이터센터(IDC)에 있는 ‘업데이트 서버’가 아닌 방송사나 금융사 등 기업 내부망에 있는 ‘자산관리서버(업데이트 관리 서버)’가 이용된 것으로 확인됐다. 자산관리서버는 기업의 내부망에서 최신 소프트웨어(SW)로 유지되는지를 중앙에서 관리하는 서버를 의미한다.
안랩은 “일부 언론에서 와전된 것처럼 업데이트 서버가 해킹당했다는 것은 사실이 아니”라며 “업데이트 서버라는 명칭은 통상적으로 SK브로드밴드나 KT, LG U+와 같은 외부 망의 IDC에 있는 업데이트 서버를 통칭하는 것”이라고 말했다.
이번에 장애를 일으킨 악성코드는 안랩의 통합자산관리 서버와 연결된 PC를 이용한 것으로 확인됐다. 이번 악성코드는 PC를 감염시킨 후 PC가 부팅되는데 필요한 영역을 손상시켰다.
현재 안랩은 이번 악성코드의 진단·치료용 전용 백신과 기존 V3 제품군의 최신 업데이트 엔진을 제공하고 있다. 특히 안랩은 이번 공격이 특정 타겟을 노린 APT 공격을 파악되나 현재 추가적으로 변종이 발견되고 있어 기업체 외 일반 사용자들도 최신 버전으로 백신을 업데이트 할 것을 권고했다.
안랩은 추가적인 정밀조사를 통해 조속한 시일 안에 명확한 원인을 발표할 예정이다.
▶ 관련기사 ◀
☞안랩 "악성코드는 트로이목마의 일종"
☞안랩 공식 발표..백신 관리서버 어찌 뚫렸나
☞국민은 불안에 떨고 있는데..굳게 입닫은 안랩