21일 한수원 및 보안업계에 따르면 지난 9일 한수원 일부 임직원들이 알 수 없는 발신자로부터 받은 이메일에는 ‘제어 프로그램’이라는 이름의 한글(hwp) 파일이 첨부돼 있었다. 이 파일에는 기존 악성코드에 일반적으로 심어진 ‘백도어’(정보 유출) 기능 외에 주요 확장자 파일들에 대한 파괴 및 마스터부트레코드(MBR) 파괴기능의 파일도 함께 들어 있었다. 수신자가 이메일 첨부파일을 열어보면 악성코드가 깔리면서 모니터에 ‘Who am I?’라는 영문 메시지가 뜨며, 하드디스크에 있는 자료가 외부로 빠져나가는 방식이다.
한수원은 이를 인지하자 사이버관제센터에 신고했고, 안랩에도 알려 이번 악성코드에 관한 백신을 만들어줄 것을 요청했다. 이후 안랩은 지난 10일 자사 블로그를 통해 컴퓨터 부트영역을 덮어씌우는 바이러스를 주의하라고 당부했다. 바이러스 치료업체 하우리도 12일자 자료를 통해 관련 내용을 전했다.
안랩은 특히 “12월10일 오전 11시 이후에 MBR 파괴기능이 작동하도록 설계됐고 MBR 감염 후 재부팅 시 ‘Who Am I?’라는 글씨가 뜬다”고 그림 등을 통해 상세히 전하며 그 위험성을 강조했다.
보안업계는 14일부터 원자력발전과 국방·안보 기관을 대상으로 한글문서 취약점을 이용한 지능형지속위협(APT) 공격이 감지됐다며 비상대응에 들어갔다.
보안업계는 이번 자료 공개를 누가 어떤 목적에서 한 것인지 알 수 없지만 한수원이 뚫릴 정도면 아마추어 수준은 넘어선 것으로 파악하고 있다. 특히 1급 국가보안시설인 한수원을 쉽게 해킹할 수 있을 만큼 고도화한 해킹툴이 사용된 것으로 추정한다.
안용성 기자 ysahn@segye.com
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]