21일 주요 언론사들은 긴급 전산망을 점검하는 가운데 이번 사이버테러에 사용된 악성코드가 기자용 PC에서 발견되기도 해 대응책 마련에 분주하다.
한 언론사는 백신 프로그램을 실행시켜 PC검사(정밀검사)를 신속히 시행하라는 공지를 전 직원에게 전달했다.
한 사용자가 회사 전산망 공지를 보고 V3 백신을 돌려본 결과 이번 사이버테러에 사용된 악성코드는 Win-Trojan/Agent.가 PC에 있는 것을 발견해 즉각 삭제 했다.
보안업계는 이번 사이버테러의 공격범위나 명확한 원인이 아직 밝혀지지 않아 PC 등 사용자들은 백신 프로그램을 가동해야 한다고 밝혔다.
안랩측은 "공격자가 APT(Advanced Persistent Threat)에 의해 APC서버의 관리자 계정(ID,PW)을 탈취한 것으로 추정하고 있다"며 "만약 관리자 계정이 탈취됐다면 정상적인 권한에 의한 접근이어서 취약점이 없는 대부분의 SW가 악용될 수밖에 없다. 안랩은 추가 적인 정밀 조사를 통해 조속한 시일 안에 명확한 원인을 발표할 예정"이라고 밝혔다.
또 "이번에 장애를 일으킨 것은 Win-Trojan/Agent.24576.JPF악성코드이며, PC를 감염시킨 후 PC가 부팅되는 데 필요한 영역인 MBR(Master Boot Record)를 손상시켜 감염된 PC는 부팅이 되지 않는다"면서 "논리 드라이브를 손상시켜 PC 내 문서 등의 데이터를 손상 또는 삭제한다. 윈도우 VISTA, 윈도우 7의 경우 모든 데이터가 손상되며 윈도우 XP, 윈도우 2003 서버의 경우는 일부가 손상된다"고 밝혔다.
한국인터넷진흥원(KISA)도 이번 사태의 악성코드를 탐지 및 치료할 수 있는 전용백신을 개발하여 보급한다고 21일 밝혔다.
이 악성코드는 컴퓨터 부팅 불가 및 디스크 파괴 등을 일으키며, 2013년 3월 20일 14시에 동작하도록 예약된 코드가 존재하는 것으로 확인됐다고 밝혔다.
KISA 보호나라(www.boho.or.kr) 사이트에서 "다운로드-맞춤형 전용백신" 메뉴에서, 152번 Trojan.Win32.KillMBR.B 치료용 전용백신 다운로드 아이콘을 클릭 및 실행하면 된다고 덧붙였다.
lkbms@fnnews.com 임광복 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지