특정 시각에 파괴기능 동작하도록 설정한 내용도 발견

20일 방송사와 금융업체를 공격한 악성코드 내용에 2차 공격을 의심할 만한 문자열이 포함됐다는 분석이 나왔다.

민·관·군 사이버위협합동 대응팀에 소속돼 이번 악성코드를 분석하고 있는 보안업체 잉카인터넷은 부팅영역(MBR) 손상 부분에 ‘PRINCPES’와 ‘HASTATI’ 등 문자열이 포함된 것으로 확인했다고 20일 밝혔다.

잉카인터넷이 공개한 자료에 따르면 MBR에는 이들 문자열이 여러 차례 반복해서 나타난다.

이들 두 낱말은 라틴어로 각각 ‘첫 번째’와 ‘(로마) 군대의 1열’ 등의 뜻이다.

이에 따라 이번 공격을 감행한 해커가 2차 공격이나 3차 공격을 예고한 것으로 볼 수 있지 않느냐는 가능성이 제기된다.

악성파일 내부에 파괴일시도 포함된 것으로 분석됐다. 분석 결과에 따르면 파괴 기능은 2013년 3월 20일 오후 2시부터 동작하도록 만들어졌다.

잉카인터넷은 이 분석자료를 경찰청·방송통신위원회·한국인터넷진흥원(KISA) 등과 공유했다고 설명했다.

한편 잉카인터넷은 이번 전산망 마비와 관련한 전용백신을 홈페이지(www.nprotect.com)를 통해 무료로 배포하고 있다고 덧붙였다.

이 전용 백신은 피해 PC를 치료하고 복원하는 소프트웨어가 아니고 MBR 손상을 막아주는 것이다.

연합뉴스