머니투데이

주요 언론·금융사의 전산망 마비사태에 대해 정부가 잘못된 조사 결과를 발표하는 등 우왕좌왕하는 모습을 보이고 있다. 가뜩이나 북한 도발 가능성으로 안보에 민감한 시기에 정부의 사이버 해킹 대응 능력이 취약한 것 아니냐는 비판이 나온다. 22일 정부 합동대응팀은 "농협 해킹을 유발한 악성코드는 내부자가 사용하는 사설IP로 농협 해킹 경유지로 사용됐다"고 밝혔다. 대응팀은 이에 앞선 21일에는 "농협 시스템 분석결과, 중국IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성한 것으로 확인됐다"고 발표한 바 있다. 하지만 추가 확인 결과 농협 내부 직원이 사용하는 IP가 우연히 중국IP로 쓰이는 형태와 같은 숫자로 이뤄진 사설IP였다는 것. 민관군 합동대응팀 관계자는 "농협시스템에서 발견된 IP가 중국이 소유한 IP 주소로 할당된 대역에 속해 있었기 때문에 조사원이 당초 중국IP로 판단했다"며 "하지만 일반적으로 기업 사내망에서는 기기 각각에 임의의 사내전용IP

지난 20일 KBS, MBC, YTN 등 방송사와 신한은행, 농협 등 금융전산망이 한꺼번에 마비되는 초유의 사이버 테러가 발생했다. 언론, 금융 6개사의 PC, 서버 3만2000여대가 피해를 당해 아직까지 복구 작업이 마무리되지 않았다. 깡통이 된 PC들은 하드디스크에 저장된 정보를 날려야 할 판이다. 이번 사고는 국가 보안 체계에 대한 극약 처방이 없다면 갈수록 지능화된 타깃공격에 속수무책으로 당할 수 밖에 없다는 사실을 입증한 사건으로 기록된다. 그러나 이번 대란 과정에서 이제 막 풀어야할 의문점들도 적지 않다. ◇의문1. 베일에 쌓인 해커 주체는? 이번 3.20 전산망 대란의 주범을 놓고 여전히 혼선이 일고 있다. 20일 오후 6개 언론 및 금융망 마비사고 직후 LG유플러스의 그룹웨어 초기화면이 해킹돼 해골 로고와 함께 'Hacked By Whois Team(후이즈 팀에 의해 해킹됨)'라는 문구로 변조됐다. 이후 6개 피해기관의 표본 악성코드 역시 같은 해킹화면으로 변조하는

20일 KBS, MBC YTN 등 방송사 및 신한은행, 농협 등 금융권 전산망이 마비되는 사이버테러가 발발했던 당시 일부 피해기관 웹사이트가 로마병정과 함께 'Hacked By Hastati(하스타티에 의해 해킹당함)' 문구가 포함된 해킹 화면으로 바뀐 사실이 뒤늦게 밝혀졌다. 22일 보안업계에 따르면, 사이버 테러가 진행됐던 20일 오후 KBS 영문 웹사이트가 이같은 해킹화면으로 잠시 변조됐던 것으로 알려졌다. '하스타티'는 지난 20일 해킹 피해를 당한 기관에서 PC가 꺼질 때 화면과 채증된 악성코드 내부 문자열에 해커가 남겨놨던 단어로, 고대 로마군단의 세열로 이뤄진 전투대형에서 맨 앞줄에 선 중무장 창병을 의미한다. 20일 사고직후 사이버테러가 자신들의 소행임을 자처했던 후이즈 팀도 사고발생 직후 "이것은 우리 행동의 시작이다. 우리는 곧 다시 돌아온다"라는 문구를 남겨 추가 공격 가능성을 예고했다. 때문에 보안 전문가들은 이 단어가 2차 공격을 예고하는 해커의 메시지로 풀

3.20 전산망 대란을 일으킨 일부 악성코드가 중국이 아니라 국내IP(인터넷규약주소)를 경유해 전파된 것으로 확인됐다. 정부는 당초 피해기업 중 하나인 농협의 시스템해킹을 유발한 악성코드가 중국 IP를 경유했다고 발표한 바 있지만, 추가 확인 결과 중국IP가 아닌 농협 내부의 컴퓨터를 통해 전파된 것으로 드러났다. 방송통신위원회는 22일 "농협 해킹에 활용된 것으로 추정됐던 중국IP에 대해 피해서버 접속기록 및 IP 사용현황 등을 정밀 분석했다"며 "조사 결과 내부직원이 사내정책에 따라 사내전용IP로 사용하는 것으로 확인됐다"고 밝혔다. 정부는 사고 뒷날인 21일 오전 "농협 시스템에 대한 분석결과, 중국IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성한 것으로 확인됐다"고 발표한 바 있다. 하지만 추가 확인 결과 농협 내부 직원이 우연히 중국IP로 쓰이는 형태와 같은 숫자로 이뤄진 사설IP를 만들어 사용한 것을 정부가 중국IP로 오인했다는 게 조사팀의

지난 20일 발생한 방송 금융기관 해킹사고와 관련해 일부 기업의 해킹에 활용된 것으로 추정됐던 중국 IP는 내부직원이 사내정책에 따라 사용한 사설IP인 것으로 확인됐다. 방송통신위원회는 이번 공격에 활용된 것으로 의심된 중국IP와 관련해 22일 이같은 내용의 추가 분석 결과를 발표했다. 방통위는 "농협 해킹에 활용된 것으로 추정됐던 중국IP에 대해 피해서버 접속기록 및 IP 사용현황 등을 정밀 분석한 결과, 내부직원이 사내정책에 따라 사설IP로 사용하고 있는 것으로 확인됐다"고 밝혔다. 이 사건을 수사 중인 경찰청 사이버테러대응센터 역시 "당초 해킹에 사용된 IP가 중국IP로 알려졌었는데 피해기관에서 사용하는 내부IP로 최종 확인됐다"며 "해당 PC의 하드디스크를 확보해 정밀분석 중"이라고 말했다. 사이버테러대응센터 관계자는 "피해기관의 피해시스템과 접속기록을 확보해 분석 중"이라며 "피해 시스템이 방대해 피해조사에도 상당한 시일이 소요될 것으로 예상돼 현재로서는 수사결과 발표시기를

지난 20일 발생한 방송 금융기관 해킹사고와 관련해 일부 기업의 해킹에 활용된 것으로 추정됐던 중국 IP는 내부직원이 사내정책에 따라 사용한 사설IP인 것으로 확인됐다. 방송통신위원회는 22일 브리핑에서 "당초 중국IP로 판단한 근거는 해당 IP에 대한 정보 기반으로 주소를 확인한 결과 중국에 할당된 주소였기 때문"이라며 "하지만 사내에서 사용하는 IP인 것으로 나타났고 해당 PC가 해킹의 경유지로 악용됐을 가능성이 높다"고 밝혔다.

지난 20일 발생한 방송 금융기관 해킹사고와 관련해 일부 기업의 해킹에 활용된 것으로 추정됐던 중국 IP는 내부직원이 사내정책에 따라 사용한 사설IP인 것으로 확인됐다. 방송통신위원회는 이번 공격에 활용된 것으로 의심된 중국IP와 관련해 22일 이같은 내용의 추가 분석 결과를 발표했다. 방통위는 "농협 해킹에 활용된 것으로 추정됐던 중국IP에 대해 피해서버 접속기록 및 IP 사용현황 등을 정밀 분석한 결과, 내부직원이 사내정책에 따라 사설IP로 사용하고 있는 것으로 확인됐다"고 밝혔다. 경찰청은 관련 PC의 하드디스크를 추가 확보해 정밀 분석 중이다. 한편 3.20 시스템 해킹에 따른 악성코드 감염으로 내부시스템 파괴 등의 사고 발생 이후 이날까지 추가적 피해신고 사례는 없는 것으로 나타났다. 현재 금융기관 중 신한은행과 제주은행은 복구를 완료해 정상화됐고, 농협은 복구작업이 진행 중이다. KBS·MBC·YTN은 약 10% 수준의 복구율을 보이고 있다. 정부는 피해기관의 PC 복구

교통망 마비로 인한 교통사고 속출, 발전소 공격으로 인한 사고, 대규모 정전 등 기간시설 시스템을 장악하기 위한 바이러스 '스턱스넷'(Stuxnet)의 후폭풍은 한 국가를 혼란에 빠트리기 충분하다. 이미 수년 전부터 이 같은 공격은 세계 곳곳에서 진행되고 있다. 한국 역시 이 같은 위협에 노출됐다. 아직까지 스턱스넷 공격을 받은 사례가 없지만 인터넷 회선을 통해 수차례 전국가적인 공격을 받았다. 지난 2003년 전국 대부분의 인터넷망을 불통으로 만들었던 '1.25 인터넷 대란'을 시작으로 2009년 청와대 국회 등 국내외 주요기관 23개 사이트가 DDoS(디도스·분산서비스 거부) 공격을 받은 7.7 디도스 대란, 2011년 4월12일 농협 전산망 공격 등이 대표적 사례다. 특히 지난 20일 공격은 국가의 주요 기간망인 공중파 방송사와 금융기관이 피해를 입었다. 자칫 공영방송이 불방되거나 악성코드의 수위에 따라 방송내용마저 공격자의 의도대로 교체될 수 있는 위험이 있었다. 금융기관 역

지난 20일 국내 주요 방송사와 금융기관 6곳이 동일한 보안 공격에 속수무책으로 무너지면서 국내 기간시스템 보호체계에 대한 근본적인 개선이 필요하다는 의견이 나오고 있다. 보안전문가들은 현재의 보안체계로는 사회공학기법을 이용해 장기간 특정 타깃에 지속적으로 행해지는 APT(지능형 지속공격)를 방어할 수 없다는 설명이다. 또한 보안인력 양성에 정부가 적극적으로 나서지 않는 이상 자주 정보보안은 소원하다는 설명이다. 임종인 고려대 정보보호대학원 사이버국방연구센터 센터장(교수)은 "국내에 보안관련 학부와 석사과정을 운영하는 대학이 극히 적기 때문에 보안기업 및 금융 등 각 기업에서 보안전문가를 확충하려 해도 인재풀이 부족하다"고 설명했다. 또한 "과거 보안사고가 터진 후 '사이버안보 마스터플랜' 등 보완계획을 세우지만 예산 부족 등으로 계획이 원안대로 꾸준히 진행되지 못해 '소 잃고도 외양간을 고치다 마는' 문제가 발생한다"고 설명했다. 올해 정부의 정보보호 예산은 지난해부터 오히려 줄었

# 시내 한복판의 모든 신호등이 꺼지면서 자동차들이 멈춰선다. 금융 전산망과 통신망도 마비된다. 이후 수도·원자력 등 공공 시설물 통제 권한이 누군가의 수중에 들어간다. 영화 '다이하드' 시리즈에 소개됐던 '파이어 세일' 공격 장면이다. 사이버 공격으로 국가 기간망을 순식간에 통제불능 사태에 빠트리는 장면이다. 지난 20일 터진 6개 방송사, 금융기관의 전산망 교란사태는 이같은 사이버 공격이 얼마든지 현실에서 가능하다는 점을 보여준다. 이번 공격으로 금융기관의 인터넷 뱅킹이 마비됐다. 주요 비롯한 방송사들의 내부시스템과 사내 PC들을 일시에 다운됐다. 임종인 고려대학교 사이버국방연구센터 센터장은 "이번 공격범위를 넓히고 더욱 치명적인 악성코드를 심었다면 큰 사회혼란이 일어났을 것"이라며 ""사이버 테러의 위험성에 대한 각성이 필요하다"고 설명했다. ◇전세계 사이버 공방전, 미사일공격보다 치명적인 사이버전쟁 주요 국가의 사이버 전쟁은 이미 곳곳에서 진행 중이다. 2010년 9월에는

지난 20일 발생한 사상초유의 언론·금융사 내부 전산망 마비로 KISA(한국인터넷진흥원)과 보안업체들은 초긴장 상태에서 뜬 눈으로 밤을 지새야 했다. KISA는 사건이 발생한 지난 20일 오후 2시경부터 비상경계체제에 돌입했다. 평소 인터넷침해대응센터 종합상황실은 신속한 사고대응을 위해 24시간 3교대 근무체제를 마련하고 있지만 이날은 30여 명의 전 직원들이 한꺼번에 동원됐다. 근무 직원들의 수는 평소보다 2~3배 늘어났다. 국내 주요 홈페이지를 모니터링하면서 이상여부를 파악하는 관제인력은 5명에서 7명으로, 평소 10명이던 악성코드분석 인력도 20명으로 증가했다. 특히 악성코드 분석인력들은 밤을 꼬박 새다시피 하며 자리를 지켜야 했다. 전용백신을 개발하기 위해서는 상당한 시간이 걸리기 때문이다. KISA 한 관계자는 "교대근무라는 개념 없이 다들 돌아가면서 각자 맡은 근무를 하고 있으며, 오늘 이 자리에 나오지 않은 직원들도 전부 비상대기상태"라고 했다. 또 다른 연구원도 "집에

안랩, 하우리 등 보안업체들이 가슴을 쓸어내렸다. 사상 초유 사태가 된 방송 및 금융권 전산망 다운 사건의 핵심 원인으로 백신업체들이 지목됐으나 사실이 아닌 것으로 밝혀졌다. 백신업체들의 업데이트 서버가 아닌 해당 기업의 PMS(자산관리서버)가 해킹된 것으로 확인됐다. KISA(한국인터넷진흥원)이 지난 20일 국내 주요 방송사 및 금융기관 6개 기업의 악성코드 피해결과를 분석한 결과 백신업체들의 잘못이 없는 것으로 추정했다. 신화수 KISA 침해대응센터 단장은 21일 오전 방송통신위원회 긴급 현황보고를 마친 후 기자들과 만나 "이번 악성코드 공격과 백신업체들의 업데이트 서버가 연관있다는 일부 보도에 국민들 우려가 크다"며 "한 가지 확실한 것은 이번 악성코드는 보안기업의 업데이트 서버를 통해 유포된 것이 아니며 일반 국민들이 이용하는 백신과 관련이 없다"고 말했다. 신 단장은 또 "이번 악성코드는 PMS 등 업데이트 관리 서버를 통해 이뤄졌다"며 "일반적으로 해당 서버는 피해기업의