preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기
닫기
닫기

숨어있던 악성코드 시한폭탄, 오후 2시 일제히 터져

20일 사이버 테러는 방송사와 금융사 등 8곳을 사실상 한날 한시에 노린 동시테러 수법이 동원됐다. 곳곳에 흩어져 있는 주요 기간시설을 한꺼번에 마비시키기 위해 미리 심어 놓은 악성코드가 일제히 서버와 PC를 공격하게 하는 ‘동시다발식 시한폭탄’ 전술도 처음 등장했다. 중동지역 등에서 동시에 자살 폭탄 테러를 감행해 공포감을 극대화하는 것과 비슷한 효과를 노린 새로운 유형의 사이버 테러다. 이전에 볼 수 없던 새로운 유형의 사이버 게릴라전이자 고도의 심리전인 셈이다. 실제로 이날 사이버 공격은 서울시청 주변과 여의도에서 동시에 발생하는 바람에 정부당국도 전에 없이 우왕좌왕했고 엉뚱한 회사가 피해를 입었다는 루머가 퍼지는 등 극심한 혼란이 빚어졌다. 하지만 전산망 사용자의 ‘안전 불감증’을 노렸다는 점에서는 모든 해킹 사건과 마찬가지다.



전문가들이 추정하는 해킹 수법
메일·동영상 내려 받을 때 심어
보안 업데이트 때 서버·PC 마비
자살폭탄 테러처럼 공포 극대화

▷여기를 누르시면 크게 보실 수 있습니다


 KBS·MBC·YTN 등 방송사들은 특히 피해가 컸다. 전산망을 마비시키는 악성코드를 막기 위해 설치한 보안시스템이 오히려 악성코드를 유포하는 통로가 됐기 때문이다. 보안업체 잉카인터넷이 피해를 본 PC를 분석한 결과 이날 오후 2시에 활동하도록 만든 악성코드가 심어져 있는 것을 발견했다. 악성코드는 보안 패치를 통해 PC로 퍼졌다. 보안 패치는 접속하는 모든 PC에 자동으로 깔리기 때문에 순식간에 확산된다. 현재 하우리 바이로봇은 KBS와 YTN이, 안랩 V3 백신은 MBC가 사용 중이다. 잉카인터넷 관계자는 “백신 업데이트 서버가 뚫린 것은 ‘여기에는 문제가 없겠지’하는 방심에서 비롯된 것”이라며 “등잔 밑이 어둡다는 속담이 꼭 맞는 사례”라고 말했다.



 하우리 측은 “백신 자체가 뚫린 것은 아니고 패치로 위장한 파일이 서버로 침투해 퍼져나간 것”이라며 “서버 쪽의 문제라고 해도 보안업체로서 책임을 통감한다”고 밝혔다. 안랩은 트위터를 통해 “문제를 분석 중”이라고 했을 뿐 공식입장을 내놓지 않았다. 보안 패치로 위장한 파일이 언제, 어떻게 서버로 침투했는지는 아직 파악하지 못했다.  해킹 전문가들은 이를 전형적인 ‘지능형 지속공격(APT)’으로 보고 있다. APT는 누군가 목표를 정해 놓고 오랜 기간에 걸쳐 집요하게 침입해 네트워크를 장악한 뒤 동시다발로 공격하는 방식이다. 먼저 특정 업체를 목표로 정한 뒤 소셜네트워크서비스(SNS) 등을 통해 직원의 개인 정보를 수집한다. 그 개인 정보에 맞춰 그 사람이 관심을 가질 만한 내용의 제목으로 e메일이나 메시지를 전송한다. 만약 이런 메일을 열어봤다면 해당 직원의 PC에는 시스템 파괴명령이 담긴 악성코드(웜바이러스 등)가 심어진다. 이를 통해 패치로 위장한 악성코드가 서버로 침투하는 것이다. 서버에서 보안패치를 내려받으면 실제로는 악성코드가 PC로 전송되는 것이다. 시한폭탄이 터지듯 하드디스크를 파괴하라는 악성코드가 한꺼번에 활동을 개시한다.



이번 공격은 7·7 디도스 대란과는 다르지만 2011년 농협, 지난해 중앙일보 해킹과는 같은 방식이다. 서버 관리자의 방심을 틈타 악성파일을 심어 전산망을 파괴한 것이다. 다만 농협이나 중앙일보는 서버만 공격한데 비해 이번에는 서버에 연결된 PC까지 한꺼번에 파괴했다는 점에서 더 악성이다.



 익명을 요청한 한 보안전문가는 “보통 PC파괴는 가장 마지막에 하는 해킹 수법인데 그것까지 실행한 것으로 봐서는 서버의 손상이 상당부분 이뤄졌을 것”이라고 말했다. 실제로 MBC와 YTN은 내부 서버가 손상을 입었다고 밝히기도 했다. 그는 “디도스(DDoS)가 고속도로를 자동차로 꽉 막아서 못 가도록 막는 것이라면 이번은 아예 고속도로 자체를 파괴해버리는 것”이라며 “평소에 네트워크 보안에 전혀 신경을 쓰지 않는 우리 풍토가 이런 사태를 유발했다”고 말했다.



 신한은행·NH농협은행 등 금융회사는 상대적으로 피해가 적었다. PC에 깔린 악성코드가 서버로 침투하는 것을 막았기 때문이다. 몇몇 PC는 먹통이 됐지만 서버가 살아있었던 덕에 2시간 만에 복구할 수 있었다. 방송사·은행과 비슷한 시간에 해킹을 당했던 LG유플러스는 해골 그림과 함께 “우린 해킹에 흥미가 있다. 이건 우리 행동의 시작에 불과하다. 모든 계정과 데이터 정보는 우리 손에 있다. 불행하게도 우리는 그 데이터를 지웠다. 곧 또 오겠다”는 글이 나왔다. 다만 실제 서버 시스템의 작동에는 큰 문제가 없는 것으로 알려졌다. 보안을 뚫은 것을 자랑하는 일반적인 해킹 방식이다.



고란·심서현·이지상 기자



◆보안 업데이트=서버와 PC에는 일반적으로 외부로부터 침입하는 바이러스 등 악성코드를 막기 위한 백신 프로그램이 설치돼 있다. 악성코드는 시간이 흐름에 따라 다양한 변종이 나타나기 때문에 백신 프로그램 역시 이에 대응해 최신 치료법을 담은 보안 패치를 한다. 서버에 이 패치 파일을 올리면 전산망에 연결된 PC에서 자동으로 내려받는다. 이를 보안 업데이트 또는 패치라고 부른다. 문제는 패치 파일에 악성코드가 숨겨져 있을 경우다. 보안 업데이트는 악성코드의 대량 감염 통로가 된다.





[관계기사]



▶ "최악의 공격" 대한민국 국가 기간망 테러당했다

▶ "농협 또 뚫린거냐" 고객들 2시간 동안 발동동

▶ 마감 급한 KBS기자들, PC방 가고 손으로 쓰고

▶ 전산망 마비 KBS·MBC "해커, 2차 공격 암시"

▶ '사이버 공격' 北 남침도발 대비 군사기밀 유출
AD
온라인 구독신청 지면 구독신청

PHOTO & VIDEO

shpping&life

많이 본 기사

댓글 많은 기사