하드디스크 파괴…안전모드 부팅해야

예상보다 당겨져…백신 치료ㆍ안전모드 부팅 필요

분산서비스거부(디도스:DDoS) 공격에 동원됐던 좀비 PC의 하드디스크 파괴가 시작됐다.

6일 정부와 보안업계에 따르면 당초 악성코드 감염 후 4일 혹은 7일이 지나면 해당 PC의 하드디스크를 망가뜨릴 것으로 예상됐던 것과 달리 이날 오전부터 하드디스크 파괴가 시작됐다.

이는 악성코드가 명령서버로부터 2개의 새 명령을 내려받았기 때문이다.

새롭게 추가된 명령은 감염된 좀비 PC가 전용백신을 다운로드하지 못하도록 보호나라(www.boho.or.kr) 등 전용백신 사이트의 접속을 방해하는 기능과 하드디스크를 즉시 파괴하는 기능이다.

좀비 PC의 하드디스크 파괴가 시작되자 이날 오전 행정안전부는 PC 사용을 자제하라는 내용의 공문을 각 부처에 전달했다.

디도스 공격이 예상 외로 큰 장애를 일으키지 못하고 보호나라와 안철수연구소, 네이버 등으로부터 백신을 다운받으면서 좀비 PC 수가 감소하자 해커가 새로운 명령을 내린 것으로 추정된다.

이번 하드디스크 파괴 증상은 명령서버로부터 명령을 받고 일정 기간이 지난 후에 동작했던 2009년 7.7 디도스 때와는 달리 명령을 받는 즉시 동작하도록 설정돼 있다.

하드디스크 파괴 명령이 하달되면 먼저 A¤Z까지 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다.

아울러 A¤Z까지 모든 고정 드라이브를 검색해 시작부터 일정 크기만큼을 0으로 채운 뒤 하드디스크를 손상시켜 아예 컴퓨터 작동이 되지 않게 된다.

안철수연구소 관계자는 "이미 PC를 사용 중인 경우 백신을 다운받아 검사 및 치료해야 하고 최근 며칠 간 PC를 켜지 않은 경우 안전모드에서 부팅해야만 PC 파괴를 방지할 수 있다"고 말했다.

정부는 우선 한국인터넷진흥원(KISA)을 통해 악성코드에 감염된 좀비 PC가 전용백신 사이트에 접속하지 못하게 될 경우를 대비, 우회 접속할 수 있도록 조치했다.

방통위는 하드디스크가 즉시 파괴되는 피해를 최소화하기 위해 이날 새벽 국가사이버안전센터(NCSC)로부터 악성코드 유포 및 명령 사이트로 추정되는 584개 IP를 확보, KISA와 인터넷서비스사업자(ISP)를 통해 긴급 차단했다.

이에 따라 누적 차단 IP 수는 총 729개로 늘어났다.

정부 관계자는 "이제는 악성코드에 감염되면 백신 치료가 쉽지 않고 하드디스크가 즉시 파괴될 수 있다"면서 "악성코드 유포지로 활용되는 정보공유 사이트에는 당분간 접속을 자제하는 것이 좋다"고 말했다.

아울러 정보공유 사이트 관리자도 웹서버해킹 탐지도구인 휘슬(WHISTL)을 KISA에 요청해 악성코드를 탐지한 뒤 삭제해야 한다고 당부했다.

꺼져 있는 PC를 다시 켤 때는 반드시 안전모드로 부팅해 디도스 전용백신을 다운로드한 상태에서 PC를 이용해야 한다.

PC를 재시작한 다음 F8을 눌러 안전모드를 선택해 부팅한 뒤 보호나라(www.bohonara.or.kr) 또는 안철수연구소(www.ahnlab.com)에 접속해 디도스 전용백신을 내려받으면 된다.

디지털뉴스팀