"보안 백신이 위험하다" … 업데이트 변조로 악성코드 삽입 가능

 신뢰할 수 있는 보안 백신 업데이트를 가장한 사이버 공격이 시작됐다. 안티 바이러스 솔루션은 자동 업데이트와 자동 배포기능, 원격제어 등을 기본으로 제공하므로 해커가 이를 중간에서 변조해 공격도구로 악용하면 치명적인 공격무기로 돌변할 수 있다.

 이미 네이트온·싸이월드 개인정보 탈취 공격에 이스트소프트의 무료 백신 알약 업데이트 서버를 가장한 ‘update.alyac.org’ 도메인이 사용된 것으로 드러났다. 업계는 백신을 위장한 타깃 공격이 이미 시작됐음을 의미한다며 대비책 마련이 시급하다고 지적했다.

 웹하드 자동업데이트 프로그램에 악성코드를 변조, 삽입해 지난 7·7 DDoS 공격이 개시되었던 것과 유사한 형태로 백신 업데이트 프로그램에 악성코드가 삽입될 수 있음이 이번 네이트온 해킹사고로 입증됐다. 이 경우 사용자가 아무런 의심 없이 받아들이기 때문에 웹하드보다 치명적인 피해를 일으킬 수 있다.

 권석철 큐브피아 사장은 “최근 웹하드에서 민간에 악성코드가 배포되는 것처럼 백신에도 자동업데이트 및 자동배포, 원격제어 기능 등이 있어 이를 해킹하면 엄청난 파급효과를 거둘 수 있다”며 “백신의 순기능이 악용될 수 있음을 인지하고 적합한 대응 방안을 내놓아야 한다”고 말했다.

 물론 이스트소프트 서버 자체가 해킹된 것이 아니라 알툴즈의 취약점을 이용해 악성코드가 심어졌고 이것이 SK커뮤니케이션즈 내부 사용자 서버를 공격한 것으로 현재까지 분석됐다. 보안회사 자체 서버가 해킹되거나 백신 자체가 해킹될 가능성은 현재로서 희박하지만 자동업데이트와 배포, 원격제어 등이 가능한 백신 특성을 감안하면 향후 백신을 위장한 공격이 얼마든지 가능할 수 있다는 지적이다.

 또 분명한 것은 중국 해커든 북한 해커든 공격자에게 이미 국내 소프트웨어 취약성이 분석되고 있다는 점이다. 취약성을 이용해 도메인을 변조, 백신 등 신뢰할 수 있는 소프트웨어로 위장해 공격자를 식별할 수 없게 만드는 치밀한 공격의 전조가 나타났다.

 김현철 한국군사협력 박사는 “민간이 사용하는 바이러스 백신은 이미 북한군에게 분석됐을 것”이라며 “북한군이 이미 개발했거나 개발할 가능성이 있는 바이러스 및 악성 프로그램 침투 가능성을 고려해 고수준의 한국군 전용 백신을 운용해야 한다”고 설명한 바 있다. 본지 7월 26일자 8면 참조

 임종인 고려대학교 교수는 “백신도 이제 안전하지 않다”며 “백신을 포함한 국내 SW 전반이 이상 없는지 긴급점검하고 우리의 사이버 영토가 침범당하지 않도록 만반의 준비를 갖춰야한다”고 지적했다.

장윤정기자 linda@etnews.com