6일 방송통신위원회와 안철수연구소에 따르면 지난 4일부터 7일까지 디도스 공격을 위해 동원된 좀비PC의 악성코드에 새로운 명령이 하달, 하드디스크 파괴를 시작했다.
보안업계 관계자는 "악성코드에는 언제든지 하드파괴를 위한 준비가 돼 있다"며 "보안업계의 대응이 잘되고 있는 상황이어서 해커가 시기를 앞당겨 새로운 명령을 내린것으로 보인다"고 밝혔다.
지난 4일 오후 방통위가 밝힌 좀비PC 숫자는 2만1000대 가량이며, 이후 치료와 분석이 이뤄지는 과정이어서 정확한 숫자가 파악되지 않고 있다.
방통위에 따르면 악성코드는 명령서버로부터 두가지 새로운 명령을 다운로드 받도록 돼있다.
이번에 새롭게 추가된 것은 감염된 좀비PC가 전용백신을 다운로드 받지 못하도록 보호나라 등 전용백신 사이트의 접속을 방해하는 기능과 하드디스크를 즉시 파괴하는 기능이다.
정부는 우선 KISA를 통해 악성코드에 감염된 좀비PC가 전용백신 사이트에 접속하지 못하게 될 경우에는 우회해서 접속할 수 있도록 조치했다.
또 하드디스크가 즉시 파괴되는 피해를 최소화하기 위해 이날 오전 국가사이버안전센터(NCSC)로부터 악성코드를 유포하고 명령을 내리는 것으로 추정되는 사이트의 IP 584개를 확보해 KISA와 ISP를 통해 긴급 차단했다.
악성코드에 감염되면 백신치료도 쉽지 않고 하드디스크가 즉시 파괴될 수 있기 때문에 PC이용자는 우선 악성코드에 감염되지 않도록 주의해야 한다고 방통위는 설명했다.
따라서 악성코드 유포지로 활용되는 정보공유사이트에는 당분간 접속을 자제하는 것이 좋으며 정보공유사이트 관리자도 웹서버해킹 탐지도구인 휘슬(WHISTL - KISA에 요청)을 사용하여 악성코드를 탐지하고 삭제하는 것이 필요하다고 방통위는 설명했다.
하드디스크 파괴 명령이 하달되면 먼저 A~Z까지 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다. 또 A~Z까지 모든 고정 드라이브를 검색하여 시작부터 일정 크기만큼을 0으로 채워 하드디스크를 손상시켜 아예 컴퓨터 작동이 되지 않게 된다.
이에 따라 이용자들은 꺼져있는 PC를 다시 켤 때는 반드시 안전모드로 부팅해 디도스 전용백신을 다운로드받아 안전한 상태에서 PC를 사용할 것을 당부했다.
강세훈 기자 kangse@newsis.com
저작권자 © 일요서울i 무단전재 및 재배포 금지
