아, 일반적인 악성코드로 생각하지 않는 이유는

이렇게 특정 회사의 내부 PC들만 타겟팅 하기가 쉽지 않기 때문에. 웹사이트 등에서 배포되어 설치되는 악성 코드라면 다른 일반인이나 가정의 PC도 죽어야 하는데 그건 아닌 것 같고.

악성 코드가 자가 복제해 서브넷을 감염 시켰다면? - 노트북 집에 가져오거나 다른 회사 외근 나가서 붙이면 이 서브넷 안의 pc도 감염되어야 할텐데 것도 아닌 것 같고.

방송사나 금융사만 쓰는 뭔가 앱이 오동작 했을 가능성에 한표...

기사에 의하면 증상은

- PC를 리부팅하라는 메세지 발생

- 리부팅 후 부팅 불가

악성코드 가능성이 높아 지는데요. ㅎㅎㅎ

모 방송사가 x00대의 PC만 이상이 있다고 하는것 같은데, 혹시 모든 PC도 아니고 특정 PC만 그런건가? 흠흠흠...

아 일해야 하는데 흑흑...

어제 밤에 여러가지 일들이 있었군요. 대략 살펴보니,

- 기업용 백신 업데이트 서버(일반인은 웹으로 업데이트 하지만, 기업용은 내부 서버에서 IT관리자에 의해  백신 업데이트)에 대한 해킹

- 백신 소프트웨어는 특정 시간-2시-에 서버를 체크해 업데이트가 존재하면 PC로 가져와 자동 업데이트 진행

- 자동 업데이트 과정에서 MBR을 날리는 초보적인 수준의 바이러스를 PC에 주입

- 사용자 PC에 리붓하라는 메세지 뜨고, 리붓하면 MBR이 깨져 부팅 불가.

요약하자면, IT 부서가 관리하는 백신 소프트웨어 업데이트 제공을 위한 서버 공유폴더나 FTP서비스가 공격 받았나 봅니다.

북한 가능성? 매우 낮다고 봅니다.

공격 대상이 왜 방송사나 은행? 이건 어린 해커의 과시용 공격이고 분명히 자신의 시그니쳐 남겨 놓았을 듯. 그리고 MBR을 날리는 수준의 공격? 진짜 공격이고 PC를 날리려면 HDD에 대한 low level format이나 HDD를 zeroing 시켜버리지 MBR만 날리지는 않음. 아울러, 북한이라면 왜 즉각 공격임을 알수 있는 MBR을 날려? 바로 복구도 가능한데. 정치적이고 훈련된 조직적인 공격이라면 계속 잠복하면서 주요 문서나 정보를 유출하겠지요.

정보 유출 가능성 - 이건 확인해볼 필요가 있다고 생각.

공격 루트도 기업용 백신 업데이트 서버인데 여기에 어떻게 접근을 했는지? 서브넷의 감염된 PC를 통해 공격을 받은건지? 확인할 필요가 있을 듯. 2시에 백신 소프트웨어 업데이트 진행 후 바로 MBR이 나갔다는 기사대로라면 정보가 유출되었을 가능성은 낮을지도.

진짜 북한소행이면 나라안보와 보안담당자들 다 옷벗고 할복해야 하는데 오히려 큰소리치고 있는게 현실입니다.