2011년 국내 IT 보안 사건 총정리

[16대 이대영]

아 여기에 올리는 건 교정을 안 본 기사입니다. 오타가 있을 수 있으니 유념해 주시길 ^^

2011년 국내 IT 보안 사건 총정리
 
올해 국내 IT분야에서 가장 이슈로 대두된 것은 바로 보안이다. 그것도 좋은 의미가 아니라 나쁜 의미로... 3월부터 연이어 터지기 시작한 대형 정보보안 사고는 뇌리에서 사라지기도 전에 다시금 재각인시키는 데 충분했다. 연쇄 정보보안 대란이 대한민국을 강타했던 2011년, 되짚어 보자.

보안 사고들을 복기하는 관점에서 보면, 미디어들은 다들 '그 사고는 인재(人災)'라고 비판을 일삼는다. 과연 인재일까? 일선 보안 담당자들은 해킹의 대상이 우리였다면, 당할 수 밖에 없다고 털어놓는다. 

어떤 시스템이든, 완벽한 보안을 장담할 수 있는 시스템은 없다. 하드웨어 보안에서부터, 네트워크, 미들웨어, 애플리케이션 그리고 인적 보안에 이르기까지 전체를 완벽하게 막을 수 있다고 장담하는 이가 있다면, 보안을 모르거나, 아니면 거짓말이다. 이는 보안 업체한테도 적용된다.

말 그대로 현존하는 기업 가운데, 어느 곳도 우리 기업의 정보 보안은 100%라고 장담할 수 없다는 것이다. 다만 최선을 다할뿐이라는 원론적인 답변만을 주고받을 수 있을 것이다. 기업에서의 보안 정책은 '투자 대비 최고 효율의 보안 대책'이 가장 최선이었다.

이 설명은 보안사고 관련 보안 담당자에게 면죄부를 주기 위함이 아니라 이제 보안은 말 그대로 '물샐틈 없는' 방어와 철저하고도 세심한 보안 관제가 기본이 됐다는 것을 알리기 위함이다. 

2012년 보안 경고 가운데 가장 선두에 있는 것이 바로 APT다. APT는 특정 목적을 갖고 지정된 타깃을 대상으로 방어벽이 뚫릴 때까지 다양한 해킹 방법을 통해 시도하며, 뚫린 이후에는 몰래 잠입해 원격으로 특정 데이터를 삭제하거나, 혹은 빼낸 뒤에 전체 시스템을 파괴하고 달아난다.

지금까지 드러난 보안 사고, 특히 올해 밝혀진 정보유출 사고를 토대로 파악해 보면, 현재 해커들은 불특정 다수를 상대로 찔러보기 식의 해킹을 하는 게 아니라, 특정 대상이 뚫어질 때까지, 어쩌면 대상군을 선정해 여러가지 공격 방법을 시도해 먼저 뚫리는 곳을 들어가 은밀히 정보를 빼내는 것이 일반적인 방법이 됐다고 봐야 한다.
 
물론 분산 서비스 공격을 위한 좀비 PC를 만들 때나 경로 추적을 뿌리치기 위한 개인 PC 해킹은 논외로 하자.  

정보가 유출됐다고 발표한 곳은 그나마 정보를 빼내고 있는 과정에서 잡아낸 것이다. 그러나 해커가 얼마나 많은 정보를 빼갔는지 모르기 때문에 해당 서버에 있는 모든 데이터를 빼갔다는 전제 하에 피해 규모를 발표한다.

이 관점에서 본다면 보안 사고 가운데 가장 무서운 것은 시스템이 파괴되어 시스템 운영 자체가 마비됐을 때다. 이는 해커들이 자신이 원하는 모든 목적을 달성한 뒤, 자신의 흔적을 없애기 위해 파괴했을 가능성이 높기 때문이다.

보안 전문가들은 농협 전산망 마비 사건의 경우가 최악의 사태라고 봐야할 것이라고 주장했다. 특정 목적 달성이후 유유히 사라진, 해커 입장에서는 완벽한 성공 사례였다.

현대캐피탈, 리딩투자증권, 한국전자금융을 비롯한 다수의 제2 금융권들과 네이트, 넥슨 등의 게임업계의 정보유출 사고는 그 해킹 방법은 다르지만, 제2 금융권을 대상으로 고객 정보를 훔치겠다는 목적과, 지속적인 공격을 감행한 것까지 전형적인 APT 공격이다.  

3.4 분산 서비스 거부(DDoS) 공격
2011년 3월 3일부터 5일까지 청와대, 국방부, 국가정보원 등 국내 주요 정부기관과 국민은행, 네이버 등 국내 주요 40개 사이트를 대상으로 분산 서비스 거부 공격, 즉 디도스(DDoS) 공격이 발생했다.

P2P 사이트를 통해 악성코드가 유포해 만든 총 11만 5,000여 대의 좀비PC가 동원된 이 공격에 대해 경찰은 지난해 2009년 7월 7일 발생한 디도스 공격과 동일범 소행임을 확인했다고 밝혔다.

경찰은 파일공유사이트를 통해 악성코드를 유포하고 여러 단계의 해외공격 명령 서버를 이용, 공격을 시도하는 등 디도스 공격 방식이 동일하다는 점과 이번 공격시 활용된 해외공격 명령서버 일부가 7.7 서버와 동일하다는 점을 근거로 들었다.

그러나 7.7 대란 당시 중국에 위치한 북한 조선체신청 IP를 사용한 인물과 동일한 것으로 확인됐지만 3.4사건에는 조선체신청 IP가 사용되지 않았다. 

3.4 디도스 공격에 대해서는 지난 2009년 7.7 디도스 대란 때의 교훈에 힘입어 대처를 잘 한 것으로 평가된다.

현대캐피탈 정보보안 사고
4월 10일, 현대캐피탈은 약 42만 명에 달하는 고객들의 신용정보와 고객 1만 3,000여 명의 프라임론 패스번호 등이 해킹 당했다고 밝혔다.
 
해커는 지난 3월 6일부터 4월 7일 사이 업무관리자 아이디와 비밀번호를 습득한 후 보조서버인 광고메일발송 서버와 정비내역조회 서버에 침입해 화면복사 또는 해킹프로그램 설치 방식으로 고객정보를 빼냈다.

서울지방경찰청 사이버범죄수사대는 인터폴에 수배됐던 해커 신씨가 필리핀 현지에서 검거됐다고 밝혔다.

경찰에 따르면 신씨는 지난 4월 필리핀과 코리아 간의 이른바 '필·코 프로젝트'를 기획했던 정모(36) 씨와 허모(40) 씨의 제안으로 현대캐피탈 서버를 공격, 해킹한 혐의를 받고 있다. 신 씨는 지난 2007년 국내 한 포털사이트를 해킹해 4만여 명의 회원 정보를 빼내고 필리핀으로 도주한 바 있다.

현대캐피탈은 이번 사건과 관련해 신 씨 등이 빼내간 175만 명의 개인정보 가운데 현재 현대캐피탈과 거래가 있는 실질적인 고객은 67만 명 정도라고 밝혔다.

과거 고객이었다가 거래가 종료된 경우가 81만 명, 단순히 홈페이지 회원 가입자나 현대캐피탈 직원이 27만 명이었다. 비밀번호가 유출된 프라임론패스 고객도 사건 초기 1만 3,000명에서 9,900명으로 줄었다. 이 가운데서도 사용 기간이 만료된 고객 3,500명 포함돼 유효고객은 6,400명 정도로 집계됐다.

현대캐피탈 측은 해킹 사고로 유출된 175만 명의 고객 정보 가운데 133만 명분을 회수했으며, 아직 2차 피해 신고는 없었다고 밝혔다. 해킹의 목적이 취득한 개인 정보가 아니라 이를 현대캐피탈 측에 협박 용도였기 때문에 2차 피해가 없었던 것으로 보인다.

이번 사건에 대해 금감원은 가장 큰 원인이 서버에 접근할 수 있는 계정과 비밀번호 관리에 허점을 드러냈기 때문이라고 지적했다.

농협 전산망 마비 사태
농협 측에 따르면, 4월 12일 오후 5시부터 전국 영업점, 자동화기기, 온라인뱅킹 등 모든 금융 거래가 마비가 됐다고 밝혔다. 이후 농협 금융 업무가 정상화가 되기까지는 10일 이상, 시스템이 완전 복구되기까지는 한달이 걸렸다.

검찰에 따르면 이번 농협 해킹사태는 북한 정찰총국이 주도한 사이버 테러로 규정했다. 사건의 핵심이었던 한국 IBM 직원의 노트북에서 81개 악성코드를 발견해 분석한 결과 농협 서버 공격에 사용된 악성코드의 암호화방식 등 제작기법이 앞선 2차례의 디도스 공격때와 유사했다고 발표했다.

또한 해커들은 해킹 프로그램으로 실시간 감시를 해오며 공격대상을 확인하는 동시에 최고관리자의 비밀번호까지 입수했다고 설명했다. 해커들은 이후 공격을 감행한 뒤 공격이 이뤄진 것으로 확인된 후 공격사실과 파괴된 서버 수까지 모두 확인하고 관련증거를 모두 삭제한 것으로 알려졌다.

그러나 APT 공격 관점에서 본다면 해커가 농협 EAI 시스템을 파괴하면서 빠져나갈 시점에는 이미 원하는 모든 목적을 다 달성했을 가능성이 있다.

농협과 고객들은 서비스 중단이라는 피해를 입었지만, 해킹 목적이 고객 정보든, 거래정보든, 그 이상의 무엇인지 모른다는 점이 더 큰 문제지만 고객 정보나 거래 내역 정보 유출에 대해서는 별도로 거론되지 않고 있다. 

결론은 농협 전산망 마비 사태는 해킹 주체가 누구든, 해킹 목적을 달성해 시스템마저 파괴한 뒤 종적마저 감춘 최악의 보안 사건이었다. 이 사태로만으로도 최악이었지만, 더욱 최악인 것은 농협이 소잃고도 외양간마저 고치지 않았다는 점이다.

농협은 최악의 금융 보안 사태를 당한 이후, 최고 수준의 보안 시스템을 구축하겠다고 밝혔다. 하지만 그것은 말뿐이었다.

5월 19일에는 일부 인터넷뱅킹과 창구 업무, 카드 조회 등에 3시간 가량 장애가 발생했으며, 6월 16일에는 농협계열사인 NH투자증권의 홈트레이딩시스템에 투자자 10여 명의 거래 내역이 실시간으로 노출됐다. 이에는 투자자 이름과 계좌번호, 체결 종목, 가격 등이 포함됐다.

12월 2일에도 농협 전산망에 다시 문제가 생겨 인터넷뱅킹과 현금자동입출금기(ATM) 이용, 체크카드 결제 등 서비스가 오전 0시42분부터 3시54분까지 3시간가량 중단됐으며, 오전 8시 30분부터 또다시 1시간가량 농협 창구 거래가 멈췄다.

같은 날, 농협 계열 유통업체인 하나로마트에서도 오전 4시47부터 오후 1시까지 농협채움카드의 포인트 거래가 이뤄지지 않았다.

네이트 정보보안 사고
7월 28일, SK컴즈는 자사가 운영하는 네이트가 해킹당해 사용자 3500만 명의 개인정보가 유출됐다고 밝혔다.

네이트의 개인정보 유출 사건과 관련해 경찰청은 해커가 7월 18∼19일 이스트소프트의 공개용 알집 업데이트 서버를 해킹해 감염시킬 대상을 지정했으며, 정상 업데이트 파일을 악성 파일로 바꿔치기하는 수법으로 SK컴즈의 사내망 PC 62대를 감염시켰다고 발표했다.

해커는 SK컴즈 사내 좀비 PC를 원격으로 조정해 관리자 권한으로 DB 서버에 접속, 네이트와 싸이월드의 3500만 회원정보를 빼냈다고. 경찰은 유출된 개인정보가 외부 경유지 서버를 통해 중국에 할당된 IP로 넘어갔다고 밝혔다. 유출된 개인정보 항목은 ID와 암호화 된 비밀번호ㆍ주민등록번호, 성명, 생년월일, 성별, 이메일주소, 전화번호, 주소, 닉네임 등이다.

이로 인해 네이트 사용자들은 집단 소송을 준비해 소송절차를 밟았지만, 법원에서는 이 사건과 연관이 없는, 네이트 사용자가 아닌 법관을 찾는데 어려움을 겪는 에피소드가 있었다.

선거관리위원회 디도스 공격 사건
10·26 서울 시장 재보궐 선거날 아침 중앙선거관리위원회 홈페이지와 박원순 시장의 홈페이지가 디도스 공격을 받았다.  

경찰에 따르면, 선관위 홈페이지는 이날 오전 6시부터 오전 8시32분까지 접속불능 상태가 됐다. 경찰은 11월 30일 선관위 홈페이지 사이버 테러를 지시한 강 모씨와 공격을 수행한 김 모씨, 공격 과정을 점검한 황모 씨의 소재를 파악했다. 그리고 11월 30일 강 씨의 집에서 이들 3명을 한꺼번에 검거했다.

그러나 일각에서는 선관위의 홈페이지는 디도스 공격을 받았지만, 디도스 공격 방어시스템은 정상적으로 작동했으며, 홈페이지 접속 자체는 가능했다고 주장했다. 보안 전문가들은 "당시 트래픽 관련 차트에서는 트래픽이 2GB 수준으로, 그 정도는 대학생들이 수강신청을 할 때도 나오는 수치"라고 밝혔다. 

선관위 디도스 공격 사건은 단순한 IT 문제가 아니라 정치권의 뜨거운 이슈로 부각되는 사안이 됐다.

메이플 스토리의 넥슨 정보보안 사고
넥슨은 지난 11월 25일 온라인게임 메이플스토리의 백업 서버가 해킹돼 전체 회원 1,800만 명 가운데 1,320만 명의 개인정보가 유출됐다고 밝혔다.

한달이 지난 현재까지 경찰은 해킹 방법과 유출 경로를 파악하지 못한 것으로 보인다. 넥슨 해킹 사건을 맡고 있는 경찰은 "SK컴즈 때보다 해커들이 더욱 교묘해져 침입 경로 등 증거를 찾는데 시간이 더 걸리고 있다"고 전했다.

[11th 장기열]

흐미... 대영아~ 분명 좋은 정보이긴 하나, 넘 길당...쩝.. 쬐끔만 줄여서 또 쉽게 요약해 주먼 안될까~ㅋ

[16대 이대영]

흑 기열이 형,,, 이거 한해를 요약한 겁니다. ㅜㅜ
더 쉽게 요약하면요..
APT 공격 방법이란게 이제는 일반적인 해킹 방법이 됐다. 그간 많은 정보유출 사고가 있었지만, 이 가운데 농협 전산 대란이 가장 최악이었다. 끝 ㅜㅜ

[11th 장기열]

그렇지, 바로 그거야...ㅋ 앞으로도 맨 앞줄에 요약글 부탁요~~^^ 쌩유~~