최근 국내 주요 원전시설을 운영하는 한국수력원자력(이하 한수원)이 ‘마스터 부트 레코드(이하 MBR)’를 삭제하도록 설계된 악성코드에 감염돼 사회적 이슈가 되고 있다.

테렌드마이크로 분석에 따르면 악성코드는 한글 워드 프로세서(HWP) 취약점을 통해 감염됐으며 한수원 임직원들이 악성 첨부파일을 실행하도록 하기 위한 다양한 사회공학적 공격 기법이 사용됐다. 공격은 임직원들에게 전송된 스피어피싱 이메일에서부터 시작됐으며 첨부파일 실행시 2가지 악성코드를 설치하는 방식으로 진행됐다.

트렌드마이크로는 이 악성코드의 진단명이 ‘TROJ_WHAIM.A’이며 감염된 시스템의 MBR을 파괴한다고 설명했다.

또 MBR 파괴 이외에도 감염된 시스템에서 특정 파일을 덮어쓰기 하는 기능과 감염된 시스템에서 악성코드를 서비스로 등록해 시스템이 재시작될 때마다 자동으로 실행되도록 하는 기능을 가지고 있으며 일반 윈도 서비스에서 사용하는 파일명, 서비스명과 설명을 사용해 시스템의 서비스 목록을 봐도 특이사항을 쉽게 발견할 수 없도록 위장하고 있다고 밝혔다.