지난 20일 발생한 사상 초유의 방송·금융 전산망 마비 사태는 철저한 사전 계획에 의한 해킹인 것으로 드러나 2차 공격에 대한 긴장감이 고조되고 있다.

이번 사건을 조사중인 정부 사이버위협합동대응팀은 전산마비를 일으킨 악성코드가 '트로이목마' 형태라는 점을 파악했다고 21일 밝혔다.

합동대응팀은 전날 피해기관에서 채증한 악성코드에 대한 밤샘 분석작업을 통해이같은 사실을 확인하고 정확한 사고 원인 및 공격주체 파악에 주력하고 있다.

특히 추정치 20일 오후 2시라는 특정 시각에 자폭하도록 내용을 설정했다는 점이 발견돼 이번 해킹이 오랜 시간에 걸쳐 계획적으로 이뤄졌음을 반증하고 있다.

또한 문제의 악성코드를 분석한 결과, '2차 공격'을 암시하는 문자열이 발견돼 관계기관이 긴장의 끈을 놓지 못하고 있다.

그 이유는 부팅영역(MBR) 손상 부분에 'PRINCPES'와 'HASTATI' 등 문자열이 발견됐는데 이는 두 단어는 라틴어로 각각 '첫 번째'와 '(로마) 군대의 1열' 등의 뜻이다.

이에 따라 이번 공격을 감행한 해커가 2차 공격이나 3차 공격을 예고한 것으로 볼 수 있지 않느냐는 관측이 나오고 있다.

앞서 합동대응팀은 해당 기관의 업데이트관리서버(PMS)에서 악성코드가 유포됐고 이 서버에 연결된 PC, 노트북 등 모든 컴퓨터의 부팅영역(MBR)을 파괴한 것으로 추정했다.

더불어 KBS와 MBC, YTN, 신한은행·농협 등 언론사ㆍ금융업체에 대한 해킹 공격 외에 다른 주요 은행에 대해서도 해킹 공격이 있었다는 주장도 나왔다.

이날 체코 기반의 다국적 보안업체 어베스트에 따르면 최근 한국소프트웨어저작권협회의 공식 홈페이지를 경유해 국내 주요 6개 은행을 해킹 공격한 사례가 발견됐다.

이 공격의 대상 은행에는 이번에 전산망이 마비된 신한은행과 농협 외에 국민은행·기업은행·하나은행·우리은행도 포함됐다.

어베스트는 한국소프트웨어저작권협회 홈페이지의 소스코드 내에 국내 은행을 공격하는 2개의 자바스크립트 코드가 포함됐다고 설명했다.

이와 함께 방송사와 은행의 전산망을 마비시킨 악성코드의 유포 경로가 유명 백신업체의 업데이트 서버일 가능성이 제기된 가운데 해커가 지능형지속공격(APT)으로 해당 서버의 관리자 계정을 탈취한 것으로 보인다는 분석도 나왔다.

이날 보안전문업체인 안랩은 "이번 해킹 사태와 관련한 중간 분석 결과, 공격자가 APT 공격으로 업데이트 서버 관리자의 아이디와 비밀번호를 탈취한 것으로 추정한다"며 "업데이트 서버 자체의 취약점 때문에 이번 사태가 벌어진 것은 아니다"라고 밝혔다.

일단 업데이트 서버 관리자의 계정 정보가 유출되면 해커는 이를 이용해 정상적으로 서버에 드나들 수 있어 서버 취약점이 없더라도 이 같은 공격을 할 수 있다는 설명이다.

그러나 안랩은 "탈취된 관리자 계정은 피해기업 내부망에 위치한 업데이트 서버의 것"이라며 "이는 SK브로드밴드·KT·LG유플러스와 같은 외부망 IDC(인터넷데이터센터)에 위치한 업데이트용 서버와는 별개"라고 덧붙였다.

안랩은 장애를 일으킨 악성코드로 'Win-Trojan/Agent.24576.JPF'라는 코드를 지목했다.

이 악성코드에 감염되면 윈도 비스타와 윈도7 운영체제(OS)에서는 모든 데이터가 손상되며 윈도XP·윈도2003서버 OS에서는 일부가 손상된다.

다른 보안전문업체인 하우리는 "이번에 발견된 악성코드가 자사의 백신 프로그램인 '바이로봇'의 구성모듈 파일인 'othdown.exe'로 위장했다"고 밝혔다.

업체측은 "정상 파일로 위장한 악성코드가 특정 언론사와 금융기관에 침투한 뒤 하위 클라이언트 사용자까지 내려가 실행돼 전산망 마비를 일으켰다"며 "이렇게 위장한 악성코드가 PC의 부팅영역(MBR) 파괴, 드라이브 파디션 정보 파괴를 일으켰다"고 설명했다.

업체측은 파괴된 정보 복구는 불가능할 것으로 진단했다.

현재 MBC는 안랩의 보안 서비스를, KBS와 YTN은 하우리의 서비스를 이용하고 있는 것으로 알려졌다.