미국 테러와 관련된 해킹사고가 국내에서 처음으로 발생했다. 한국정보보호진흥원(KISA·원장 조휘갑 http://www.kisa.or.kr)은 국내 모기업 사이트가 해킹당해 테러사태의 용의자인 오사마 빈 라덴을 사랑하고, 미국을 비방하는 내용으로 홈페이지가 변조된 사고를 접수하고 즉시 보안조치를 취했다고 18일 밝혔다.
KISA는 또 이번 사고가 ‘코드레드Ⅱ’에 감염된 시스템에 대한 공격인 것으로 드러나 아직까지 코드레드Ⅱ에 대한 보안조치를 취하지 않은 기관이 있다면 즉시 이에 대한 보안조치를 취해줄 것을 당부했다.
피해시스템은 윈도2000 환경에서 ‘인터넷인포메이션서버(IIS) 5.0’을 구동중인 서버로 코드레드Ⅱ에 이미 감염돼 있는 상태인 것으로 밝혀졌다. 이 시스템은 또 지난 14일 코드레드Ⅱ에 의해 생성된 백도어를 통해 침입을 당해 업로드가 가능한 파일(upload.asp)이 생성되면서 홈페이지가 변조된 것으로 드러났다.
피해시스템 로그분석에 따르면 공격자 주소는 이탈리아와 터키쪽인 것으로 밝혀졌다.
코드레드Ⅱ는 코드레드 윔의 변종으로 백도어와 트로이목마 기능을 새롭게 포함하고 있으며, 17일 현재 국내 200여개 기관과 2만여개의 시스템이 감염됐다.
한편 변조된 홈페이지에는 ‘펠트온스프레이(Feltonspray)’가 해킹을 했다며 홈페이지주소(http://www.feltonspray.org)를 남겨 놓았다. 이탈리아인에 의해 운영되는 것으로 추정되는 이 사이트에는 각종 해킹 관련자료들이 등재돼 있다.
이에 따라 KISA는 피해시스템에 설치된 백도어 프로그램을 제거하고, 공격에 이용된 보안취약점을 패치할 수 있도록 지원했다. 또한 KISA의 해킹바이러스상담지원센터는 다시 한번 국내 윈도NT·2000 IIS 웹서버가 설치된 시스템의 경우 철저한 보안관리 조치를 취할 것을 권고했다.
<유병수기자 bjorn@etnews.co.kr>