좀비PC 하드디스크 즉시 파괴..하드 파괴 막으려면?

안전모드로 부팅 요망

[아시아경제 김철현 기자]지난 3일부터 국내 주요 사이트를 대상으로 한 분산서비스거부(DDoS) 공격을 유발한 악성코드에서 새로운 기능이 발견됐다. 특히 하드디스크를 즉시 파괴하는 기능도 발견돼 정부는 긴급 안전수칙을 발표했다.

방송통신위원회는 6일 이번 DDoS 공격을 유발한 악성코드가 명령서버로부터 2개의 새로운 명령을 다운로드 받도록 돼 있는 것이 발견했다고 밝혔다.

새롭게 추가된 것은 감염된 좀비PC가 전용백신을 다운로드 받지 못하도록 보호나라(www.boho.or.kr) 등 전용백신 사이트의 접속을 방해하는 기능과 하드디스크를 즉시 파괴하는 기능이다. 이는 한국인터넷진흥원(KISA)과 안철수연구소가 악성코드 샘플을 야간 작업을 통해 분석한 결과다.

정부는 우선 KISA를 통해 악성코드에 감염된 좀비PC가 전용백신 사이트에 접속하지 못하게 될 경우에는 우회해서 접속할 수 있도록 조치했다.

또한 방통위는 악성코드에 감염돼 하드디스크가 즉시 파괴되는 피해를 최소화하기 위해 6일 새벽 국가사이버안전센터(NCSC)로부터 악성코드 유포 및 명령 사이트로 추정되는 584개 IP를 확보해 긴급 차단했다. 이번 DDoS 공격으로 차단된 누적 IP수는 총729개다.

방통위 관계자는 "이제 악성코드에 감염되면 백신치료도 쉽지 않고 하드디스크가 즉시 파괴될 수 있기 때문에 PC이용자는 우선 악성코드에 감염되지 않도록 주의해야 한다"고 당부했다.

이에 따라 악성코드 유포지로 활용되는 정보공유사이트에는 당분간 접속을 자제해야 한다. 정보공유사이트 관리자도 웹서버해킹 탐지도구인 '휘슬(WHISTL, KISA에 요청)'을 사용해 악성코드를 탐지하고 삭제하는 작업이 필요하다.

KISA에 따르면 이번 하드디스크 파괴 증상은 명령서버로부터 명령을 받고 일정 기간이 지난 후 동작했던 2009년 7.7 DDoS 때와는 달리, 명령을 받는 즉시 동작하도록 설정돼 있다.

하드디스크 파괴 명령이 하달되면 악성코드는 먼저 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다. 이어 저장 공간의 시작부터 일정 크기만큼을 0으로 채워 아예 컴퓨터 작동이 되지 않게 하는 것으로 분석됐다.

방통위와 KISA는 사용자들이 꺼져있는 PC를 다시 켤 때는 반드시 안전모드로 부팅해 DDoS 전용백신을 다운로드받아 안전한 상태에서 PC를 사용해야 한다고 당부했다.

PC 이용자는 우선 네트워크 연결선(LAN선)을 뽑은 상태에서 PC를 재시작한 후 F8을 눌러 '네트워크 가능한 안전모드'를 선택해 부팅하면 된다. 이어 네트워크를 재연결한 후 보호나라 또는 안철수연구소(www.ahnlab.com)에 접속해 DDoS 전용백신을 다운로드해 악성코드를 치료하고 재부팅 하면 안전하게 PC를 사용할 수 있다. 만약 지금 PC가 이미 켜져 있는 경우에는 전용백신을 바로 다운로드해 치료해야 한다.

방통위는 긴급 전용백신으로 치료가 완료됐어도 변종 악성코드에 의한 공격으로 재감염될 수 있으므로 각별한 주의가 필요하다고 밝혔다. 특히 PC 사용시 백신 제품을 최신 엔진으로 업데이트하고 실시간 감시 기능을 동작시켜 재차 감염되는 것을 방지해야 한다.

방송통신위원회는 현재 국가정보원, 행정안전부, KISA, 안철수연구소 등이 참여하는 민관 합동 공동대책반이 구성돼 이번 DDoS 공격에 대응하고 있다고 설명했다.

김철현 기자 kch@