[전산망 대란]'정밀 타격형 사이버 테러'에 무게…'하드 파괴' 사전 기획까지
20일 KBS, MBC 등 방송사와 금융 전산망 마비사고는 미리 사전에 기획된 APT(지능형 타깃 지속공격)일 가능성이 높다는 게 보안 전문가들의 분석이다.
이날 오후 동시 다발적으로 KBS, MBC, YTN 등 방송사와 신한은행 등 금융 전산망이 동시다발적으로 마비됐을 뿐 아니라 KBS 등 방송사 내부의 개인 PC들도 일시에 다운됐기 때문이다.
APT 공격이란 이메일 악성코드 등을 통해 특정 기업의 내부시스템에 잠복해있다가 때를 맞춰 필요한 정보를 탈취하는 공격을 말한다.
웹사이트를 해킹한 뒤 방문자 PC에 악성코드를 설치하거나 내부 조직원을 상대로 악성코드를 숨긴 이메일을 발송한 뒤 누군가 해당 악성코드에 감염되면, 자동으로 내부 전체 조직원의 PC로 악성코드를 확산시키는 수법이다.
APT에 사용되는 악성코드는 주로 PC권한 자체를 획득하는 백도어 프로그램이 사용된다. 이들 악성코드는 PC에 숙주한 뒤 특정 날짜에 맞춰 주요 시스템 파일을 삭제해 PC를 아예 먹통으로 만들 수 있다. 또 시스템 관리자 권한을 획득당했을 경우, 내부 전산망 자체를 다운시킬 수도 있다.
보안업계의 한 전문가는 "전산망이 다운된 당시 KBS 등 내부 PC들이 일시에 먹통PC가 됐다는 점에서 특정 날짜 특정 일시에 특정 파일을 삭제하거나 변조하도록 외부에서 명령을 받았을 가능성이 높다"며 "이를 감안할 경우, 특정 기관들을 상대로 APT 공격을 실행하기 위해 사전에 이미 치밀하게 준비됐을 것"이라고 밝혔다.
실제 이같은 사이버 테러 징후는 지난주부터 예고된 바 있다. 악성코드 모니터링업체인 빛스캔에 따르면, 지난주부터 웹사이트를 통해 백도어 프로그램들이 유포하는 공격이 대량으로 발생했다. 보통 웹사이트가 관리가 소홀한 주말이 아닌 주중에 대량으로 공격이 이뤄지는 등 과감했다. 이렇게 유포된 악성코드 중에는 실행파일명이 'kbs.exe','mbc.exe' 등 방송사명을 딴 실행파일도 발견됐다.
특히 이번 전산망 마비사태에 이용한 악성코드에서 2009년 7.7 디도스 대란 당시 발견됐던 하드디스크 파괴기능이 포함된 것으로 알려져 이같은 사이버 테러 가능성에 더욱 무게가 실리고 있다.
독자들의 PICK!
백신 업체인 잉카인터넷에 따르면, 해당 피해기관에서 수집한 악성코드 샘플을 분석한 결과, PC 부팅 관련 영역(MBR; Master Boot Record)을 파괴시켜 아예 하드디스크 부팅을 못하도록 하는 기능도 탑재된 것으로 확인됐다. 이는 아예 악성코드에 감염시킨 PC 자체를 파괴시킴으로써 보다 위협적인 공격을 수행할 뿐 아니라 증거 자체를 삭제하려는 의도도 있었다는 점에서 특정 해커조직에 의한 기획된 소행 아니냐는 지적이 나오고 있다.
언더그라운드 해커그룹의 한 관계자는 "이메일에 첨부된 한글파일(HWP)로 위장한 백도어 악성코드가 지난해부터 급증했다는 점에서 이메일 해킹을 통해 이들 피해기관들에 침투했을 가능성도 상당하다"며 "한번 이메일로 특정 PC의 권한을 획득하면 수일~수개월에 걸쳐 잠복해있다가 특정일 특정시각에 일시에 공격하는 것이 전형적인 수법"이라고 밝혔다.
일각에선 제로데이 공격 가능성도 거론되고 있다. 제로데이 공격이란 자바나 윈도 OS 등 시스템의 신규 보안 취약점을 이용해 악성코드를 유포하는 공격으로, 보안 패치 프로그램이 나오기 전까지 기존 백신 등 보안 프로그램으로는 방어에 한계가 있어 훨씬 수월하게 PC를 감염시킬 수 있다.
전상훈 빛스캔 이사는 "APT 공격은 아무리 보안시스템이 잘 갖춰져 있더라도 조직원 중 누군가의 허점이 발견되는 순간, 순식간에 전체 시스템을 마비시키거나 정보가 유출될 수 있다는 점에서 위협적"이라고 밝혔다.
이번 공격이 북한의 소행인지 여부는 당장 확인할 수 없다. 다만 '키 리졸브' 훈련으로 남북 관계가 극도의 긴장관계인 상황에서 이같은 전산망 마비사고가 벌어졌다는 점에서 북한의 사이버 공격력을 과시하기 위한 시도 아녔겠느냐는 분석이 조심스럽게 제기되고 있다.