파이낸셜뉴스

3·20 사이버 공격 관련.. 안랩, 농협 중간조사 발표악성코드 백신 위장 침투 "농협 서버만 버그 발견, 다른 회사 서버는 아냐"

지난 20일 금융사와 언론사 전산망을 마비시킨 사이버 공격에서 농협 전산망을 마비시킨 원인이 보안업체인 안랩의 제품 하자 때문이었던 것으로 드러나면서 파장이 예상된다.

안랩은 3·20 사이버 공격 관련 농협에 대한 중간조사 결과 자사의 관리 소홀로 농협에 납품한 통합자산관리서버(APC)의 아이디와 패스워드가 해커에게 탈취된 것이 밝혀졌다고 29일 밝혔다. APC 서버는 기업 내부망에 설치돼 사내 PC용 V3의 자동 설치와 버전 업데이트, 보안 정책 적용, 원격 제어, 상시 모니터링 등을 수행하는 것으로, 관리자 필요에 따라 일반 소프트웨어의 사내 배포에도 활용된다.

■안랩 제품에 구멍

안랩은 이번 공격이 공격자가 내부PC를 악성코드로 감염시킨 후 농협 내부망에 있는 APC서버에 접근해 하드디스크를 파괴하는 악성코드를 배포하는 방식의 지능형지속공격(APT)으로 보고 있다.

일단 악성코드로 기업 PC를 감염시켜 장악한 뒤 내부망을 타고 돌아다니면서 해당 기업의 취약점을 찾아 지속적으로 공격한 것이다. 이 과정에서 농협의 경우 안랩이 미처 발견하지 못한 APC 서버 버그가 악성코드 배포의 원인이 됐다는 것이 안랩의 설명이다. 안랩의 APC 서버의 특정 버전에서만 발견된 이 버그는 아이디와 패스워드 인증 없이 파일이 업로드되는 문제가 있었다. 즉 아직 파악되지 않은 통로로 유입된 악성코드가 내부 PC를 감염하고 APC 서버의 버그로 관리자 계정이 탈취되면서 백신으로 위장된 악성코드가 배포됐다는 것이다. 문제가 된 APC 서버는 농협 외 MBC와 신한은행에도 납품됐다.

그러나 안랩은 "APC 서버의 특정 버전에서만 버그가 발견됐고, 농협 해킹은 APT 공격으로 인한 악성코드 감염으로 시작돼 악성코드 배포에 자사 제품 취약점이 악용된 것이어서 다른 회사에 납품한 APC서버에 동일 문제가 발생했다는 확신은 없다"고 선을 그었다.

안랩은 "APC서버의 '로그인 인증 관련 취약점'으로 인해 악성코드가 내부망으로 배포될 수 있었다"며 "직접 해킹의 원인이 된 것은 아니지만 취약점이 통로로 악용됐다고 볼 수 있다"고 말했다.

■"책임 통감"…전사비상체제

안랩은 문제가 된 부분을 제거하고 2000여개에 달하는 APT 전 고객사를 직접 방문해 고객 보안 정책 점검을 실시하는 등 전사 비상대응체제에 들어갔다. 김홍선 대표가 직접 악성코드·침해대응 조직과 고객 대응 조직을 지휘할 계획이다.

그러나 해킹을 막기 위한 안랩의 제품이 오히려 해킹 통로로 이용되면서 신뢰도 타격은 불가피할 것으로 보인다.

김홍선 대표는"안랩의 관리 소홀 및 제품 기능 상 이슈에 대해서는 책임을 통감한다"며 "'3·20 APT 공격'의 대상이 된 고객사뿐 아니라 모든 기업 고객들이 안심할 수 있도록 끝까지 책임지겠다"고 말했다.yjjoe@fnnews.com 조윤주 기자

※ 저작권자 ⓒ 파이낸셜뉴스. 무단 전재-재배포 금지