惡性코드
의 流布로 3萬 2千餘 臺의 시스템이 感染된 것으로 알려져 있다.
[1]
放送通信委員會
는 事件 當日 브리핑에서 "被害 機關으로부터 採證한 惡性코드를 分析한 結果 特定 業體의 業데이터 管理 安랩 하우리
서버
(PMS)에서 惡性코드가 流布된 것으로 推定된다"고 說明했다.
[2]
다음날인 21日 브리핑에서는 單一 組織에
트로이 木馬
를 통해 事前에 流入된 惡性코드에 공격당한 것으로 推定되며, 一部 企業의 惡性코드 流入 經路 追跡 結果
中國
所在
IP 住所
가 發見되었다고 發表했다.
[3]
하지만 22日 中國이 아니라
農協銀行
의 것으로 訂正했는데 '101.106.25.105'라는 社說 IP 住所가 中國의 國際 公認 IP 住所와 같아 잘못 判斷했다고 한다.
[4]
保安 業體인
잉카인터넷
의 分析 資料에 따르면 ApcRunCmd.exe, Othdown.exe라는 파일名의 惡性코드가 確認되었다. 이 惡性코드는 2013年 3月 20日 14時가 되면 시스템을 破壞하도록 設計되어 있었다.
[5]
하우리
는 惡性코드가 自社와
安랩
의 백신 프로그램의 構成 파일로 僞裝했다며 正常 파일로 僞裝한 惡性코드가 企業 PC에 浸透한 後 實行되어 電算網 痲痹를 일으켰다고 分析했다. 또한 하우리와 安랩 關係者 모두 自社 백신에 保安 脆弱點은 없다고 밝혔다.
[6]
22日 安랩의
김홍선
代表는
CBS 標準FM
《
김현정의 뉴스쇼
》와의 인터뷰에서 안랩이 直接 업데이트하는 서버가 아니라 顧客社 各自가 管理하는 사내의 管理者 서버가 해킹당한 것이라고 說明했다.
[7]
英國의 保安 業體인 '소포스'(Sophos)가 運營하는 '네이키드 시큐리티' 블로그에 올라온 글에 따르면 이미 소포스 製品은 約 1年 前부터 이 惡性코드를 感知해왔으며, 하우리와 安랩의 백신 소프트웨어를 無力化하는 命令이 包含되어 있다고 말했다. 또한 惡性코드에 包含된 多樣한 命令은
難讀火
되지 않았다고 한다.
[8]
美國
保安 業體인 '맥아피'(McAfee)는 이 惡性코드가
PuTTY
의 設定 파일을 取得하여 遠隔에 있는 시스템을 破壞하는 命令도 包含되어 있으며, 다른 파일을 追加로 받거나
윈도우 레지스트리
를 變更하는 일은 없이 오직 시스템을 使用 不可能한 狀態로 破壞하는 目的만 있다고 結論내렸다. 덧붙여 이 惡性코드의 初期 形態가 지난해 發見되었다고 말했다.
[9]
4月 10日 午後
政府果川廳舍
未來創造科學部
브리핑室에서 發表된 中間 調査 結果 發表에서는 北韓 偵察總局의 所行으로 推定된다고 結論내렸으며, 2012年 6月 28日부터 最小限 6代의 北韓 內部에 있는 PC들로부터 避해 機關에 惡性코드를 流布하고 PC에 貯藏되어 있는 資料를 竊取했다고 밝혔다.
[10]
안랩은 같은 달 25日 10時 30分부터 一般 使用者를 對象으로 한 變種을 捕捉했다고 發表했다. 이 變種은 命令을 傳達하는
서버
와 交信하는 機能이 追加되어 해커가 願하는 時間代에 一齊히 攻擊을 할 수 있고, 이미 數百 臺의 PC가 感染되었다고 밝혔다.
[19]
- 政府는 민·관·군 合同 사이버危機對策本部를 構成하였다.
[20]
- 保安 業體 安랩, 하우리 等은 自社 製品이 問題를 일으킨 惡性코드를 檢出할 수 있도록 緊急 업데이트를 實施하거나 專用 백신을 配布하고 있다. 各 業體가 附與한 診斷名은 아래와 같다.
- 安랩 - Win-Trojan/Agent.24576.JPF (JPG, JPH), Dropper/Eraser.427520
[21]
- 잉카인터넷 - ApcRunCmd.exe?: Trojan/W32.Agent.24576.EAN / Othdown.exe?: Trojan/W32.Agent.24576.EAO
[5]
- 하우리 - ApcRunCmd.exe?: Trojan.Win32.U.KillMBR.24576 / Othdown.exe?: Trojan.Win32.U.KillMBR.24576.A
[22]
- 시만텍 - Trojan.Jokra
[23]
- 소포스 - Mal/EncPk-ACE (別稱 "DarkSeoul")
[8]