안랩(대표 김홍선)은
지난 25일 일부 정부기관에 대한 디도스(DDoS) 공격에 사용된 하드디스크 파괴 기능을
가진 악성코드의 상세분석 결과를 28일 중간 발표했다.
이번 악성코드의 특징은 감염 후 ▲파일 삭제 ▲사용자 PC 재부팅 시 하드디스크 파괴(마스터 부트 레코드(MBR) 삭제 및 데이터 영역 삭제) ▲하드디스크 파괴 기능의 MBR 직접 삽입 등으로 파악됐다.
특히 PC 부팅 시 필요한 정보들이 저장된 영역인 MBR에 하드디스크를 파괴하는 코드가 삽입돼 백신 제품의 치료를 어렵게 한다는 것이 안랩의 설명이다.
또한 파일 삭제나 하드디스크 파괴를 수행하는 과정 중에 시스템 크래쉬(Crash)와 같은 장애로 인해 블루스크린이 나타나는 BSOD(Blue Screen Of Death) 현상이 나타나거나 재부팅하더라도 파괴 기능이 지속되는 것으로 나타났다.
이와 함께 안랩은 이번 공격에 사용된 악성코드는 지난 3.20 사이버 테러와는 차이를 보인다는 분석 결과를 내놨다.
안랩 관계자는 감염 후 ▲파일 삭제을 삭제하고 ▲하드디스크 파괴 기능이 MBR에 삽입돼 있으며 ▲데이터 영역 삭제 시 특정 문자열이 아닌 랜덤 문자열로 덮어쓰기를 시도하고 ▲감염 즉시 데이터 영역을 삭제하지 않고 재부팅 시 삭제하는 점 등은 3.20 사이버 테러에는 없던 증상“이라며 ”이밖에 패스워드 변경 및 바탕화면 변경도 차이점“이라고 전했다.
또 “현재까지 분석 결과 악성코드가 기업, 기관 등 서버 관리자를 타깃으로 한 것으로 보이지만 내부 테스트 결과 개인 PC에서도 작동한다”며 주의를 당부했다.
현재 안랩은 하드디스크 파괴 악성코드 분석 결과를 한국인터넷진흥원(KISA) 등 유관기관과 공유한 상태다.
노동균 기자 yesno@chosunbiz.com