IT 보안업체들이 상당수 약국에서 악성코드에 의해 공인인증서 탈취를 확인했다며 보안 강화를 당부했다.

이에 대한약사회와 약학정보원도 PM2000과는 상관 없는 바이러스 유포라며 언론사들의 문제로 몰고 갔다.

그러나 PM2000을 사용하지 않는 컴퓨터에서 의약 전문지 사이트를 클릭하면 바이러스에 감염됐다는 제보는 접수되지 않았다.

여기서 정보보안 전문 업체의 이야기를 들어보자. 웹보안 전문회사인 빛스캔은 30일 공지를 통해 "의료뉴스 사이트를 통해 악성코드가 유포됐다며"며 "해당 사이트의 컨텐츠를 특정 프로그램을 통해 뉴스를 전송, 웹서핑 없이도 추가 감염이 된 상황을 직접 보여줬다"고 말했다.

회사는 해당 악성링크의 발생시점부터 추적한 결과 상당수의 약국, 개인, 법인인증서 탈취를 직접 확인했다고 언급했다.

회사는 감염에 이용된 악성코드는 공인인증서 탈취와 원격제어를 기본으로 하고 있고 현재 국내 주요 백신에서는 탐지가 되지 않는 상황이라고 설명했다.

회사는 탈취가 확인된 상당수 약국, 개인, 법인인증서는 모두 폐기를 위해 전달될 예정이라며 감염에 이용된 악성코드와 원격제어에 이용되는 IP들도 모두 한국인터넷진흥원(KISA)에 전달돼 처리될 예정이라고 밝혔다.

회사는 이미 약국 바이러스 감염이 발생한 29일 오후 2시경 보도자료를 내어 악성코드 감염에 대해 경고한 바 있다.

빛스캔에 따르면 해당 사이트에 삽입돼 연결되는 악성링크는 총 2번에 걸쳐 공격도구가 교체됐다. 첫 번째는 현재 국내에서 활발히 활동중인 카이홍이 사용됐고, 두 번째는 지난 9월 국내에 처음 유입된 스윗 오렌지 킷으로 확인됐다.

이 둘이 이용하는 취약점과 연결방식은 다르지만 공통점은 모두 금융정보 탈취 악성코드를 최종으로 다운로드하고, 공격자 서버에서 감염된 사용자를 프로그램을 통해 직접 관리하고 감시한다는 점이다.

이에 부산시약사회 김성일 정보통신이사는 "은행공인인증서 비밀번호 변경해야 한다"면서 "이번에 유포된 바이러스가 공인인증서 파일을 복제해서 가져갔을 가능성이 크다"고 주장했다.

◆약사회·약정원 "PM2000 문제 아니야"

한편 대한약사회도 30일 보도자료를 내어 최초 접수된 29일 오후 악성코드 유포가 의심되는 PM2000 메인화면 의약전문지 웹사이트 링크서비스를 긴급 중단하고 시도지부 정보통신위원장과의 소통공간인 밴드를 통해 소속회원들에게 우선 긴급 공지토록 했다고 설명했다.

약사회는 아울러 PM2000은 컴파일 언어로 만들어진 프로그램으로 소스코드의 변경으로 인한 악성코드의 감염은 불가능하다고 해명했다.

약학정보원도 약국에 전국적으로 확산되고 있는 파밍(Pharming) 바이러스는 PM2000과 아무런 상관이 없다고 언급했다.

약정원은 29일 PM2000에 링크되는 전문지 기사를 클릭했을 때 파밍이 된다는 정보를 접수, 미연에 파밍 문제를 방지하고자 오전에 PM2000 서버 점검과 오후에 PM2000의 화면에 뉴스서비스를 중단한다는 내용으로 공지를 했다고 전했다.

약정원은 29일 오후에 서울과 부산지부에서 파밍과 관련 된 대처방안을 약국가에 전파했으나 임시적인 조치일 뿐 정확한 대처방법이 될 수 없다고 지적했다.

약정원은 현재 파밍 바이러스라 의심되는 약국의 문제에 대해 '지능적 지속 위협 APT(Advance Persistent Threats) 공격'으로 파악하고 있다며 APT공격은 그 형태가 다양하여 파밍의 상황이나 또 다른 해킹 상황이 발생할 수도 있다고 언급했다.

약정원은 "정확하게 파악되지 않은 대처방안을 공지할 수는 없는 상황이기 때문에 충분한 근거자료를 수집 후 알리겠다"며 "정확한 상황 판단이 돼야 약국의 혼란을 방지할 수 있기에 정확한 정보를 전달하고 피해를 방지하기 위한 대처방안을 마련하기 위해서 이미 인지했지만 공지가 지체 된 상황이었다"고 설명했다.

약정원은 "향후 문제 발생 시 초기 주의단계에서부터 PM2000 공지를 통해 기민하게 대응하겠다"며 "순차적으로 해결방안을 공지해 회원의 피해를 최소화 하겠다"고 약속했다.