【사람중심】 역사상 유례가 없는 사이버 대란이 일어났습니다. 주요 은행과 방송사 전산망이 한날 한시에 마비되는, 국내는 물론 해외 사례를 통틀어서도 듣도 보도 못한 일입니다. KBS, MBC, YTN, 신한은행, 농협. 피해를 당한 기업의 이름만 들어도 이번 사태가 주는 심각성과 경고의 메시지를 읽을 수 있습니다.
중요한 사실은 정부가 사이버 공간의 경계를 강화한다고 밝힌 지 일주일 만에 주요 방송사와 금융기관의 전산망이 마비되는 사태가 발생했다는 사실입니다. 지난 12일 민·관·군 합동으로 사이버위협합동대응팀을 구성, 사이버 공간의 경계를 강화한다고 밝힌 바 있습니다. 정부기관들은 20일 오후 2시 25분 사고가 발생했다는 신고를 받은 뒤에야 현장대응팀을 출동시켰습니다. 첫 브리핑은 그로부터 2시간이나 지난 4시 20분에 나왔습니다.
APT 위험성, 최대 사이버대란으로 확인돼
이번 사이버대란의 가장 유력한 공격 방식으로는 지난해부터 정보보안 분야의 최대 이슈로 부각된 ‘지능형 지속 공격(APT:Advanced Persistent Threat)’을 지목하는 분위기입니다. 이 방식은 실시간으로 공격을 하는 것이 아니고, 인터넷 연결을 통해 공격 대상의 내부 컴퓨터에 미리 악성코드를 심어놓았다가 일정 기간이 지난 뒤에 공격자의 의도대로 악성코드가 활동하도록 조정하는 방식입니다.
내부에 악성코드가 숨어 있다는 사실을 미처 모르고 있는 사이에 개인정보가 빠져 나가거나 시스템 동작이 마비될 수 있어 지금까지의 그 어떤 사이버공격 유형 보다 무서운 것으로 얘기됩니다. 특히 최근에는 하나의 악성코드가 워낙 빠르게 변형되기 때문에, 업계에 보고된 악성코드 유형·패턴을 인식해 방어를 하는 기존 보안장비들이 악성코드를 차단하기 어렵다는 점이 더 문제입니다. 이른바 ‘변종 악성코드’는 기업이 구축한 보안장비의 악성코드 목록에 등록되어 있지 않은 것이죠.
APT 방식은 지난 2011년 G20 외교관 대상의 공격에서 맹위를 떨쳤습니다. G20 관련 시스템을 해킹해 150명이 넘는 주요국 외교관을 공격 대상으로 삼은 것입니다. 소니가 자랑하는 PSN(플레이스테이션 네트워크)도 APT에 공격을 당해 가입자 7700만건의 가입자 개인정보가 유출되기도 했습니다.
특히 APT는 공공 분야를 주 타겟으로 한다는 점에서 심각성이 높습니다. 금융보안연구원의 2011년 자료에 따르면, APT의 표적을 분석한 결과, 25개 주요 업종 가운데 정부·공공기관이 하루 평균 20.5회로 가장 많았다고 합니다. 금융권도 하루 11.8회 공격 받았다. 전문가들의 예상대로 APT 방식으로 이뤄졌다면 정부와 금융권 등이 제2, 제3의 공격을 받을 가능성이 매우 큰 셈입니다. 외국에서는 전기·정유 등 주요 국가기간시설이 공격받은 사례도 속속 등장하고 있습니다.
치밀한 사전 계획…2·3차 공격 가능성도 적지 않아
이런 가운데, 지난주 유포된 악성코드의 일부 실행파일명에서 'KBS.exe', 'MBC.exe'이 포함돼 있었던 것으로 확인됐습니다. 공격자들이 이번 사이버테러를 사전에 기밀했을 가능성에 무게가 실리는 대목입니다. 지난주에 악성코드가 대량 유포되면서 포착된 것일 뿐, 어쩌면 그 이전부터 유포되기 시작했을 가능성도 크다고 합니다. 우연하게도, 공격을 받은 기업들 중 날짜가 20일로 설정되지 않았던 PC가 피해를 면했다는 점이 이런 추측을 뒷받침합니다.
MBC가 전문가와 함께 해킹당한 컴퓨터들을 분석하는 과정에서는 해커들이 남긴 특정문자가 발견됐습니다. 하드디스크 내부에 컴퓨터 운영의 기본정보를 담고 있는 마스터 부트 레코드가 엉뚱한 숫자들로 채워져 있었던 겁니다. 16진수의 이 숫자들을 문자로 바꿔 보니 HASTATI(하스타티)라는 글자가 나왔는데, 로마군 보병대의 3개 대열 중 맨 앞 부대입니다. 이 하스타티 부대가 무너지면 2열(프린키패스)이, 2열이 무너지면 3열(트라아리)이 싸우는 것이 로마군 보병대의 전술이라고 합니다. 따라서 ‘하스타티’라는 문자를 남긴 것은 2차, 3차 공격이 뒤따를 것임을 암시하는 것이 아닌가 추정됩니다.
이번 사이버공격을 자신들이 감행했다고 자처하는 단체도 주목을 받고 있습니다. ‘후이즈(Whois)’라는 곳입니다. 이들은 해킹 화면에 해골 그림과 함께 “후이즈 팀에 해킹당했다(Hacked By Whois Team)”, “누가 '후이즈'인가?(Who is 'Whois'?)”라는 문구를 적시했습니다. 이 밖에도 “We'll be back soon”, “See You Again” 같은 문구도 있어 다시 공격해 올 가능성을 배제할 수 없을 것 같습니다. 서유럽 해커의 과시용 공격일 가능성도 있고, 서유럽 해커인 척 위장하기 위한 로고일 수도 있다는군요.
정보보안, 정보유출의 심각성 공유되는 사회란?
방송통신위원회가 “디도스 공격과 북한의 소행은 아니고, 해킹에 의한 악성코드 유포에 따른 전산망 장애로 보고 있다”고 밝혔음에도 몇몇 언론들은 여전히 북한을 대상으로 지목하는 전가의 보도를 휘두르기도 합니다. 아예 “북 사이버부대에 방송·은행 전산망 뚫리다”는 제목으로 기사를 낸 곳도 있고, “북한은 이런 정도의 공격을 할 수 있는 충분한 실력을 갖추고 있다”고 에둘러 표현한 경우도 있습니다. 이렇게 해서는 제대로 된 원인 규명과 미래의 대응책 마련은 또 다시 뒷전이 될지도 모릅니다.
2~3년 전부터 주요 기업과 통신사, 인터넷 회사들에서 많게는 수천만건씩 고객정보가 유출되면서 우리 사회는 보안에 몹시 민감해졌습니다. 정부는 법을 만들어 기업들이 정보보안에 만전을 기할 것을 주문하고 있습니다. 하지만, 개인정보 유출 사건이나 악성코드 유포 사건을 끊이질 않습니다. 왜일까요?
일각에서는 “보안사고 이후 정부의 조치가 기업들의 불감증을 부추긴다”는 비판이 있습니다. 사실 공격자가 작심하고 사이버공격을 준비·감행하면 사실상 방어가 불가능하다는 의견을 가진 전문가가 적지 않습니다. ‘지키는 열 사람이 도둑 하나를 못 당한다’는 속담도 있죠. 하지만 그렇다고 해서 지키는 것을 포기할 수는 없는 노릇입니다.
하지만, 국내에서 최근 2~3년 새 일어난 대규모 고객정보 유출 사고 등에서 해당 대기업에 법적 책임이 내려진 경우는 전무합니다. 이런 환경에서 기업이 정보보안과 관련해 제대로 된 인식을 가질 수 있을까요? 보안사고의 심각성을 뼛속깊이 느낄 수 있을까요? 언론과 정부는 국민 개개인이 PC나 스마트폰 보안에 주의할 것을 지적하지만, 정치인이나 지도층은 큰 법을 어기면서 경범죄를 저지르는 국민이 법치주의를 위협하는 양 호도하는 것이나 다를 바 없습니다.
시행착오는 겪을 수 있지만, 다시 시행착오를 겪는 것만큼 어리석은 일은 없습니다. 이 정도는 초등학생도 아는 얘기지요. 우리 정부, 우리 기업들이 초등 수준의 학습능력은 있기를 기대해 봅니다.
관련기사 - 지능형 지속 공격(APT)에 정부·금융권 무방비 (연합뉴스)
'전산망 마비' 조직적·장기간 준비 정황 드러나 (SBS)
<김재철 기자>mykoreaone@bitnews.co.kr
'네트워크&통신 > 보안' 카테고리의 다른 글
| CCTV의 진화, 어둠속 동영상도 HD로 전달한다 (0) | 2014.08.04 |
|---|---|
| “보안 완벽하다”던 대기업 시스템에서 500개의 악성코드가! (0) | 2013.02.21 |
| 사이버 저항군의 시대...정보해킹 연간 4천배 늘었다 (0) | 2012.03.26 |
| 방통위의 ‘국산 우수 백신 목록’, 이용자 신뢰도는 반영됐나? (0) | 2012.01.16 |
| 펜타시큐리티, SAP DB보안 시장 공략 나선다 (0) | 2011.08.31 |
