[2신 : 20일 오후 8시]

KBS, MBC, YTN, 신한은행 등 언론사와 금융사 전산망을 마비시킨 악성코드가 업데이트 관리 서버를 통해 유포된 것으로 추정됐다. 

방송통신위원회는 20일 오후 7시 이날 전산망 마비 사고 관련 추가 브리핑에서 악성코드 분석 결과를 발표했다.

정부 사이버위협 합동대응팀이 피해 기관에서 채증한 악성코드를 초동 분석한 결과 업데이트 관리 서버(Patch Management System)를 통해 유포가 이뤄져 부팅 영역(Master Boot Record)을 파괴시킨 것으로 분석됐다. 

이승원 방통위 네트워크정보보호팀장은 "각 기관 업데이트 서버에 악성코드가 입력돼 있어 서버와 연결된 PC를 감염시켰고 각 PC 부팅 영역이 파괴돼 부팅이 안 되고 있다"면서 "통신망에는 문제가 없다"고 밝혔다.

현재 신한은행만 복구를 마쳤을 뿐 농협은 일부 창구 단말기가 가동되지 않고 있고 방송사에선 모든 PC를 끈 상태에서 백신 업데이트만 기다리고 있다.

이승원 팀장은 "백신 업데이트가 급선무고 공격 배후를 찾는 데는 시간이 더 걸릴 것"이라면서 "현재 합동조사팀이 악성코드를 조사해 백신을 업데이트할 예정이고 보통 백신은 사고 다음 날까지 나올 수 있다"고 밝혔다.

이번 사고는 국내에서만 발생한 것으로 파악하고 있으며 아직까지 국가공공기관 피해는 확인되지 않고 있다. 현재 경찰청, 국정원, 방통위, 한국인터넷진흥원(KISA) 등으로 구성된 '민관군 사이버위협 협동대응팀'은 평소보다 모니터링 인력을 3배 이상 늘려 추가 공격 발생에 대비하고 있다.

한편 이번 사고에 국제 해킹그룹인 '후이즈'와 연관됐다는 루머에 대해 이 팀장은 "현재 모든 가능성 열어놓고 실태조사를 하고 있다"고 밝혔다. 다만 문제의 후이즈 해킹과 관련된 것으로 알려진 LG유플러스는 중소기업 대상 일부 그룹웨어가 해킹된 사실은 인정하면서도 이번 방송사 금융사 전산망 마비와는 무관하다고 주장했다.

[1신 : 20일 오후 4시 38분]
방통위 "외부 해킹 가능성"... 사이버위기 '주의' 발령

20일 오후 2시쯤 KBS, MBC, YTN, 신한은행, 농협 등 일부 언론사와 금융사에서 발생한 전산망 마비와 관련 사이버위기 경보 단계가 '주의'로 상향된 가운데 정부가 사태 파악에 나섰다.

방송통신위원회는 이날 오후 4시쯤 긴급 브리핑에서 "언론 금융사 전산망 마비와 관련해 외부로부터 해킹 가능성을 염두에 두고 오후 3시부터 사이버 위기 '주의' 경보를 발령한다"고 밝혔다. 사이버위기 경보 단계는 '정상-관심-주의-경계-심각'으로 구분된다.

현재 정부합동조사팀이 방송사와 신한은행, LG유플러스 등을 방문해 현장조사를 벌이고 있으며 정부통합전산센터 등 국가 공공기관은 피해가 없는 것으로 확인됐다.

이승원 방통위 네트워크정보보호팀장은 "디도스(DDos)분산서비스 거부) 공격은 아니다"라면서 "해킹에 의한 악성코드 유포 사고로 파악하고 소스코드 채증 중"이라고 밝혔다. 

이에 앞서 한국인터넷진흥원(KISA)는 오후 2시 29분경 NCSC, 경찰청 사이버테러대응센터 등 관계기관과 협의 중이며 오후 3시경 ISP, 백신사, 이통사 등 이상징후 파악 및 상황 전파하고 오후 3시 10분경 KBS, YTN, 농협, 신한은행에 대해 경찰청, KISA 직원 현장 출동 및 원인 조사 중이라고 밝혔다.

큰사진보기
▲  2013년 3월 20일 오후 3시 현재 은행권 전산 시스템 장애 현황(자료: 금융감독원)
ⓒ 김시연	관련사진보기

금융위 "농협-제주, 직원PC 감염... 신한 인터넷뱅킹 서버 다운"

금융업계도 비상이 걸렸다. 금융위원회는 오후 2시경부터 농협, 신한은행뿐 아니라 제주은행과 우리은행 등에서 사고가 발생했다고 밝혔다.

금융위는 "농협·제주은행 지점에선 영업창구 직원PC 여러 대가 바이러스에 감염되어 PC내 파일이 삭제되고 오프라인 창구 마비됐고 신한은행은 인터넷뱅킹 서버가 다운되어 인터넷뱅킹 거래 장애가 있었으나 현재 복구 완료 상태"라고 밝혔다.

우리은행에도 사고 발생 시간 디도스로 추정되는 공격이 있었으나 내부 시스템으로 방어한 것으로 알려졌다.

금융위는 금융위원회 사무처장을 의장으로 하고 금감원, 한국은행, 한국거래소 등 담당부서장이 참석하는 금융전산위기관리협의회를 즉시 구성해 사고 원인 규명과 대응 조치에 나섰다. 이와 함께 실무반인 금융전산위기상황대응반도 가동중이다.

송현 금감원 IT감독국장은 이날 긴급 브리핑에서 "금융결제원과 코스콤 등에 확인한 결과 (신한은행과 농협 외) 다른 기관은 별다른 이상이 없었다"며 "전산망 마비가 확산되는지 등을 관계 기관과 공조해 면밀히 파악할 것"이라고 밝혔다.