정부와 보안업계는 당초 악성코드 감염 후 4일 혹은 7일이 지나면 해당 PC의 하드디스크를 망가뜨릴 것으로 예상됐던 것과 달리 이날 오전부터 하드디스크 파괴가 시작됐다고 6일 밝혔다.
이는 악성코드가 명령서버로부터 2개의 새 명령을 내려받았기 때문이다.
새롭게 추가된 명령은 감염된 좀비 PC가 전용백신을 다운로드하지 못하도록 보호나라(www.boho.or.kr) 등 전용백신 사이트의 접속을 방해하는 기능과 하드디스크를 즉시 파괴하는 기능이다.
디도스 공격이 예상 외로 큰 장애를 일으키지 못하고 보호나라와 안철수연구소, 네이버 등으로부터 백신을 다운받으면서 좀비 PC 수가 감소하자 해커가 새로운 명령을 내린 것으로 추정된다.
이번 하드디스크 파괴 증상은 명령서버로부터 명령을 받고 일정 기간이 지난 후에 동작했던 2009년 7.7 디도스 때와는 달리 명령을 받는 즉시 동작하도록 설정돼 있다.
하드디스크 파괴 명령이 하달되면 먼저 A∼Z까지 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다.
아울러 A∼Z까지 모든 고정 드라이브를 검색해 시작부터 일정 크기만큼을 0으로 채운 뒤 하드디스크를 손상시켜 아예 컴퓨터 작동이 되지 않게 된다.
이와 함께 안철수 연구소는 디도스 추가 공격에 따른 피해를 막기 위한 긴급대책을 발표했다.
안철수 연구소는 지난 4일 디도스 공격 유발 악성코드 긴급전용백신을 배포한 가운데 2차례 디도스 공격 모두 큰 피해는 없었으나 재발 가능성이 있는 만큼 무료 전용 백신 설치 등으로 좀비PC 수를 줄여야 한다고 6일 밝혔다.
안철수 연구소는 이번 디도스 공격에 대해 “국가정보원, 방송통신위원회, 한국인터넷진흥원(KISA) 등과 공동분석한 결과 디도스 공격을 유발하는 악성코드가 특정 조건 하에서 하드디스크와 파일을 손상시킨다”고 설명했다.
안철수 연구소에 따르면 이런 경우 우선 악성코드가 생성하는 noise03.dat 파일의 시각과 PC 시스템의 시각을 비교해 noise03.dat 파일의 시각보다 PC 시스템의 시각이 과거인 경우에 발생한다.
또 noise03.dat 파일이 생성됐다 삭제된 경우와 noise03.dat 파일에 설정된 감염 날짜+특정일(4일 혹은 7일)이 지났을 경우에도 발생한다.
안철수 연구소 측은 이같은 현상 발생 시 추후 문제가 재발할 수 있으니 무료 전용백신 설치 및 검사를 당부했다.
안철수 연구소의 무료 전용백신은 안철수 연구소 홈페이지(http://ahnlab.com)에서 다운로드받을 수 있다.
안철수연구소 관계자는 “이미 PC를 사용 중인 경우 백신을 다운받아 검사 및 치료해야 하고 최근 며칠 간 PC를 켜지 않은 경우 안전모드에서 부팅해야만 PC 파괴를 방지할 수 있다”고 말했다.
이 관계자는 "현재까지 120만건의 백신을 PC사용자들이 다운받은 것으로 집계됐으며 "악성코드에 감염되면 백신 치료가 쉽지 않고 하드디스크가 즉시 파괴되는 만큼, 악성코드 유포지로 활용되는 정보공유 사이트에는 당분간 접속을 자제해야 한다”고 강조했다.
김지훈 하우리 보안대응센터 보안분석팀장은 “3.3 DDoS 공격의 경우 지난 7.7 DDoS 때와는 달리 사용자가 임의로 시스템 날짜를 변경할 경우 시스템이 파괴되는 특징이 발견됐다”며 주의를 당부했다.
하우리는 현재 홈페이지를 통해 무료 전용백신과 분석보고서를 실시간으로 제공하고 있다. 보다 자세한 정보는 하우리 홈페이지(www.hauri.co.kr)를 통해 확인하면 된다.
정부는 우선 한국인터넷진흥원(KISA)을 통해 악성코드에 감염된 좀비 PC가 전용백신 사이트에 접속하지 못하게 될 경우를 대비, 우회 접속할 수 있도록 조치했다.
방송통신위원회는 하드디스크가 즉시 파괴되는 피해를 최소화하기 위해 이날 새벽 국가사이버안전센터(NCSC)로부터 악성코드 유포 및 명령 사이트로 추정되는 584개 IP를 확보, KISA와 인터넷서비스사업자(ISP)를 통해 긴급 차단했다.
이에 따라 누적 차단 IP 수는 총 729개로 늘어났다.
PC를 재시작한 다음 F8을 눌러 안전모드를 선택해 부팅한 뒤 보호나라(www.bohonara.or.kr) 또는 안철수연구소(www.ahnlab.com)에 접속해 디도스 전용백신을 내려받으면 된다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지