잉카인터넷 “첫 공격 실패시 추가 공격하도록 치밀하게 설정했을 수도”

지난 20일 오후 2시 주요 방송사·은행 6곳의 전산망을 마비시킨 악성코드와 다른 변종 악성코드가 발견됐다.

민·관·군 사이버위협 합동대응팀에 참여한 보안업체 잉카인터넷은 ‘3·20 사이버테러’에 활동한 악성코드와 달리 ‘20일 오후 3시 이후’에 활동하도록 설정된 변종 악성코드를 이번 피해 기관 PC에서 찾았다고 23일 밝혔다.

이 악성코드는 시스템 경로폴더에 ‘schsvcec.exe’와 ‘schsvcec.dll’ 파일을 생성하고 ‘Isass.exe’라는 정상 프로세스에 투입(인젝션)돼 작동한다.

이 악성코드는 기존에 발견됐던 악성코드와 마찬가지로 윈도 컴퓨터의 부팅영역(MBR)에 대한 파괴 기능을 수행해 PC가 부팅되지 않도록 한다.

변종 악성코드에 대한 피해사례가 없는 것은 이미 PC의 MBR이 기존 악성코드 때문에 파괴됐기 때문이다.

잉카인터넷 관계자는 “작동 시각이 다른 악성코드가 섞여 있는 것은 해커의 단순 실수일 수 있다”면서도 “2시 공격이 실패했을 경우 보험 차원에서 3시에 추가 공격하도록 해커가 미리 치밀하게 설정해뒀을 가능성도 있다”고 설명했다.

연합뉴스