문서의 임의 삭제는 제재 대상으로, 문서를 삭제하려면 삭제 토론을 진행해야 합니다. 문서 보기문서 삭제토론 3.20 전산망 마비사태 (문단 편집) === 책임 공방 === [[파일:external/image.ahnlab.com/0911273056133166.jpg|width=600]] 서로의 책임을 묻기 위해 '''자산관리 서버가 보안업체의 기술적 문제로 털렸다 VS 기업이 관리하는 '서버 계정' 관리를 허술하게 했다'''는 의견이 팽팽히 대립하고 있었으나 4월 9일 mbc의 보도에 의하면 소프트 포럼(Softforum)[* 보안 프로그램 제조회사이다. Xecureweb이라는 프로그램을 한 번쯤은 들어보았을 것이다.]이라는 제 3자가 튀어나왔다. [[유령(드라마)|드라마 유령에서의 사건]]이 [[그런데 그것이 실제로 일어났습니다|실제로 일어났습니다]]. 사건 발생 하루가 지난 상황에선, [[방송통신위원회]]에서는 업데이트 서버를 통한 악성코드 유포를 원인으로 지목했다. [[http://www.etoday.co.kr/news/section/newsview.php?idxno=706406|#]] 이로 인해 공격당한 회사가 보안을 맡긴 업체 [[하우리]], [[안랩]]의 업데이트 서버가 통로가 되었다는 보도가 이루어졌다. [[http://www.boannews.com/media/view.asp?idx=35313&page=1&kind=1&search=title&find=|#]] 하지만 해당 업체들에서는 업데이트 서버 해킹이 아닌 해당 악성코드가 백신 프로그램의 구성모듈로 위장해서 들어갔다고 밝혔다. [[http://www.boannews.com/media/view.asp?idx=35315&page=1&kind=1&search=title&find=|#]][* MBC와 신한은행, 농협이 안랩의 보안 솔루션인 V3를 이용하고 있으며, KBS와 YTN은 하우리의 바이로봇을 이용중인 것으로 확인되었다.] 그러나 기사내용이 심히 부실하다. 당장 어떤 업데이트 서버가 털렸는지 명확히 밝히지 않았다. 만일 기업뿐만 아니라 인터넷 상에 연결된 모든 클라이언트의 업데이트를 담당하는 안랩이나 하우리 마스터 서버가 털렸다면 V3나 바이로봇 제품군을 이용하는 모든 시스템[* 국내 상당수의 공공기관과 기업들이 안랩과 하우리의 솔루션을 이용하는데, 이는 국내 업체라는 점이 크다.]이 피해를 입는 '''범국가적 재앙'''이 일어났을 터이므로[* 사실은 업데이트에 인증서 확인 과정이 있으므로 바이러스는 설치되지 않는다. 이를 무력화시킬 방법이 있다면 또 몰라도.] 마스터 서버가 털렸을 가능성은 굉장히 희박하다. 그리고 방송통신위원회, 경찰청, 한국인터넷진흥원 등으로 구성된 민·관·군 합동대응팀은 21일 브리핑에서 농협시스템을 분석한 결과 내부에서 사용중인 IP(101.106.25.105)가 백신 소프트웨어(SW)배포 관리 서버 (자산관리 서버, Policy Server)에 접속, 악성파일을 배포했음을 확인했다. 라고 발표했다. 기업같이 인터넷과 단절된 대규모 폐쇄 네트워크가 있는 경우, 자산관리 서버를 지정해서 해당 서버가 특정 포트를 이용해 메인 업데이트 서버와 연결되어 업데이트 파일을 받아온 뒤, 각 클라이언트 PC로 배포한다.[* 인터넷 말고도 악성코드가 유포되는 경로는 매우 많기 때문에 폐쇄 네트워크에 물려있는 시스템이라도 백신은 필요하다.] 이번 사건은 해당 서버를 해킹해서 관리자 권한을 탈취했거나 농협 전산 사고 처럼 서버를 조작하는 컴퓨터에서 관리자 계정을 탈취한 뒤, 업데이트 할 파일을 자신들이 만들어놓은 악성코드를 업데이트 파일명과 동일하게 이름을 만들어 바꿔치기 해 뿌리도록 한 것이다. 공격 수법은 사건 발생일 이전까지 정상파일로 위장한 악성코드가 백신의 구성모듈으로 위장해서 방송사와 금융회사로 침투해서 대기타고 있다가, 사건 발생일에 명령을 받아 전산망 마비를 일으키고 마스터 부트 영역(MBR) 파괴, 드라이브 파티션 정보 파괴의 증상을 발생시킨 지능형지속공격(APT)으로 보인다. 확실한 공격을 위해 각 기업마다 다른 악성 코드를 유포하여 사용한것도 확인되었다. [[http://media.daum.net/economic/industry/newsview?newsid=20130323023912860|#]] 무결점 검사를 하지 않아서 이런 사태가 벌어졌다는 의견이 있으나, 무결점 검사는 클라이언트에서 위변조가 발생하면 서버의 자료를 가지고 하는 것이다. 일단 자산관리서버의 관리자 권한이 탈취되어 패치관리시스템이 위조되어 버리면, 안랩 마스터 서버와 직접 연결할 수 없는 기업 내의 시스템은 무결점 검사로는 답이 없다. 보안업체의 해명으로는 "해당 기업에서 관리하는 자산관리 서버(혹은 업데이트관리서버 - PMS) 관리자 계정이 탈취당했고, 자산관리 서버는 보안솔루션 서비스를 받는 기업 내에 있으니 우리 책임이 아니다" 라고 하는 상황. 이와 별개로 합동조사팀은 해당 서버가 보안 업체에서 구축한 시스템 상의 허점 때문에 뚫린 것이 아닌지 조사하였다. MBR을 삭제시도하려는 의심행위 동작을 감지할 수만 있었다면 이 사태까지 이어지진 않았을 것이라는 점에서 아쉽긴 하다. 로 끝날 줄 알았으나... 4월 9일 [[http://imnews.imbc.com/replay/nwdesk/article/3263862_5780.html|mbc 보도]]에 의하면 소프트포럼의 업데이트 서버의 관리자 계정이 탈취당해 악성코드가 삽입되었다. 이 말은 인터넷뱅킹, 전자상거래, 민원업무를 한번이라도 했다면 백도어가 설치되어 있다는것.[* 'xecureweb (제큐어웹)' 엑티브X 보안프로그램은 현재 금융권 절반 이상이 쓰고 있고 2천만대 가량의 일반 PC에 깔려있다. 인터넷에서 결제를 하려할때 시계 옆에서 회색 자물쇠 아이콘으로 나타나는 그 프로그램.] --그리고 안랩은 괜히 까였다...-- 국가정보원 주재로 민관 긴급대책회의를 열고 제큐어웹 대처 방안 등을 논의할 예정일 정도로 사태는 심각하다. 2013년 6월 [[KISA]]에서는 제큐어웹의 보안취약점으로 인해 원격실행, 좀비pc에 악용될수 있다고 경고했다. 게다가 "해당 취약점을 악용한 침해사고가 발생하고 있어, 적극적인 대처 필요" 라고 한다. [[http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=2311|KISA 제큐어웹 취약점 공지]]저장 버튼을 클릭하면 당신이 기여한 내용을 CC-BY-NC-SA 2.0 KR으로 배포하고,기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다.이 동의는 철회할 수 없습니다.캡챠저장미리보기