싸이버테러 小考

[비마변추]

3월 20일 KBS, MBC, YTN 등 국내 주요 방송사와 농협, 신한은행 등 금융기관의 내부전산망이 일제히 마비되는 사태가 발생한 가운데 국가정보원 산하 국가사이버안전센터가 이미 한달여전 사이버테러를 경고하며 경보 단계를 '관심'으로 상향조정했던 것으로 확인됐다. 오후 2시쯤 KBS의 내부 전산망이 마비됐다. 이어 오후 2시 10~20분쯤 MBC와 YTN의 전산망도 멈췄다. YTN은 “오늘 오후 2시 20분쯤부터 갑자기 사내 PC 500여대가 다운돼 부팅도 되지 않는 상황이 발생해 기사 작성등 방송 진행에 차질을 빚었다”고 밝혔다. MBC 측은 “인트라넷 뿐만 아니라 컴퓨터 활용 자체가 불가능한 상황”이라고 밝혔다. 국가사이버안전센터에 따르면 센터는 지난달 12일 북한의 3차 핵실험과 신정부 출범이 맞물린 시기 사회혼란을 야기할 목적으로 국가 전산망에 대한 사이버위협이 발생할 가능성이 높다고 보고 사이버위기 경보 단계를 종전 '정상'에서 '관심'으로 상향 조정했었다. 이렇게 잊을만하면 대형 사이버테러가 발생하지만 수법이 점차 진화하고 피해규모도 만만치 않아 대책이 필요한 상황이다.

이번 해킹 공격은 이른바 '지능형 지속공격'이라 불리는 APT(Advanced Persistent Threat) 수법일 가능성이 높다는 게 전문가들의 의견이다. 기존 해킹 뉴스에서 자주 들을 수 있었던 디도스(DDoS, Distributed Denial of Service)는 다수의 PC를 이용, 특정 사이트에 대량의 트래픽을 전송함으로써 시스템상에 과부하를 유발해 정상적인 서비스를 방해하는 공격이다. APT는 여기서 한 발 더 진화한 공격 방식이다. 즉, APT는 아예 통신망 내부에 악성코드를 심어 놓고 한꺼번에 작동시킨다.

이동훈 고려대 정보보호대학원 교수는 " 디도스의 경우 트래픽이 폭발적으로 증가해 서비스를 못하게 하는 공격"이라면서 "이번 공격은 트래픽을 증가시키는 게 아니라 컴퓨터 자체를 마비시키는 공격이라 좀 다르다"고 설명했다. 보안 서버를 성벽에 비유해 보자면, 기존 디도스 공격은 백만대군을 성문에 동시에 밀어 넣어 누구도 성 안으로 접근할 수 없게 만드는 수법이다. 하지만 APT 공격은 조금 더 지능적으로, 미리 첩자를 성벽 안에 심어 놓은 뒤 약속된 시간에 동시 다발적으로 성벽 안 지휘부를 타격하는 방식이다. 이런 해킹 수법은 지난 2011년 G20 관련 파일을 해킹해 외교관 150명 이상이 피해를 입었던 사건이 대표적이다. 또 같은해 일본 소니사의 플레이스테이션 네트워크를 해킹해 7,700만건의 가입자 개인정보를 빼낸 사건도 APT 수법을 사용한 것으로 분석된다.

이렇게 대형 해킹 사건은 끊임 없이 발생하지만 정부 차원의 컨트롤 타워도, 투자도 없어 방어 능력을 높이는데 한계가 컸다는 지적이 나온다. 공격은 시시각각 진화하고 있지는데 방어는 따라가지 못하고 있다는 것. 한 보안 전문가는 "정부의 정보보안 업무가 한 곳으로 모여 있지 않아 시너지 효과를 기대하기 어렵다"면서 "정부에서 정책적으로 법령 등을 통해 강제하거나 혜택을 주는 등 육성의지를 보여줘야 한다"고 꼬집었다. 여기에 개인 사용자들의 인식도 문제로 지적된다. 그나마 대기업들은 최근 해킹 피해를 거울삼아 최고정보책임자, 이른바 CIO를 두고 정보 보안을 강화하고 있다. 하지만 실제 개인 PC 사용자의 보안 인식이 턱 없이 부족해 이런 대책들이 무색해지는 형국이다. 대부분 악성코드가 시스템에 들어오는 것은 사용자의 실수일 가능성이 크기 때문에 외부 프로그램을 사용할 때는 백신 같은 보안시스템을 적용하는 습관을 들여야 한다.

최근 등장하고 있는 사이버 테러의 주요 수법은
㉠특정 기관의 컴퓨터에 집중적으로 이메일 메시지를 발송하여 수신 측의 전산망을 마비시키는 이메일 폭탄,
㉡컴퓨터 바이러스나 트로이 목마 등 파괴적인 프로그램이 삽입된 파일을 이메일 메시지에 첨부해 발송하는 메일폭탄,
㉢특정 기관의 일반적 컴퓨터 프로그램에 중대한 과오를 발생시키는 루틴이나 부호를 무단으로 삽입하여 데이터를 파괴하거나 변조하여 예상치 못한 파국적 장애를 일으키거나 부정 행위를 실행시키는 논리 폭탄(logic bomb) 등이다.

각국에서는 사이버 테러에 대비하여 외부의 침입을 막을 수 있는 침입 차단 시스템의 구축과 패스워드 및 암호화 시스템의 사용 등 주요 기관 정보 시스템의 보안 대책이 강조되고 있다. 이렇게 방패가 창을 따라가지 못하기 때문에 향후에 해킹 피해가 발생할 가능성이 크고, 결국 고스란히 경제적 피해로 이어지게 될 수밖에 없다. 이번 해킹도 방송사와 함께 금융권이 뚫리면서 고객 불편은 물론 개인정보 유출로 인한 추가 피해까지 우려된다는 주장도 제기된다. 특히 금융권은 각 은행이 촘촘한 전산망으로 연결돼 있는 만큼 언제든지 사이버 테러의 제물이 될 우려가 크다. 2년 전 농협 전산망 마비 때는 자료 복구에만 한 달이 넘게 걸려 추가적인 피해가 컸다. 여기에 개인 사용자들이 인터넷 뱅킹, 스마트 뱅킹 사용이 늘어 금융계의 전산 의존도가 갈수록 높아져 '사이버 금융대란'이 임박했다는 우려까지 나오는 대목이다.

지구상에 대한민국을 향해 이시점에 이러한 동시다발적 정교한 사이버공격을 행할 집단은 북한뿐이다. 누가 무슨 목적으로 어떠한 실익을 얻기위해 이러한 반문명적 사이버테러를 자행한다는 것인가? 물론 사이버공격의 증거를 파악하는데는 사이버공학 기술상 상당한 시일이 소요될 것이나, 결국은 밝혀질수 밖에 없다. 그러나 아래와 같은 근거로 북한소행임을 확신할수 있다.

1) 현시점에서 도발의도와 목적, 기술역량, 도발의지 감안시 정권차원에서 사이버공격을 자행하는 집단은 북한뿐임
2) 과거 사이버공격(2009년 7.7사이버 대란, 2011년 3.3 디도스공격, 2011년 4월 농협전산망 마비 등)의 배후가 결국 북한으로 확인된 사실
3) 3월 15일 북한이 노동신문, 조선중앙통신 사이트 해킹주장(북한의 자작극)하며 보복공격 의지 천명, 도발명분 확보
4) 핵실험 강행이후 국제사회 제재에 저항하며, 전쟁협박을 노골화
5) 도발원점을 회피하며 우리사회교란을 노린 테러 등등

이런 상황에서 신중한 접근은 좋으나, 북한소행 가능성을 배제할수 없다는 논조는 너무 소극적 대응임. 북한소행에 중점을 두고 대응책을 강구해야 하는데 연이은 제2차 3차 후속 사이버테러가 예상된다. 싸이버 공격의 배후에는 북한이나 종북세력이 있는 것으로 분석된다고 한다. 해킹(hacking)은 컴퓨터 통신망을 통해 남의 컴퓨터에 무단 침입하여 저장된 정보나 프로그램을 불법으로 이용하거나 바꾸고 없애는 것을 말하는 데, 다행히 청와대와 국방부 등 외교안보부처의 업무망은 몇해 전 인터넷과 분리작업이 완료됨에 따라 정부문서유출이나 업무마비는 없었다고 한다. 그러나 정말 우려되는 것은 이번 해킹이 북한의 주도와 종북세력에 의해 저질러졌다면 정말 큰일이 아닐 수 없다. 해킹은 전자 회로나 컴퓨터의 하드웨어, 소프트웨어, 네트워크, 웹사이트 등 각종 정보 체계가 본래의 설계자나 관리자, 운영자가 의도하지 않은 동작을 일으키도록 하거나 체계 내에서 주어진 권한 이상으로 정보를 열람, 복제, 변경 가능하게 하는 행위를 광범위하게 이르는 말이다.

사이버테러는 정보화시대의 산물로, 컴퓨터망을 이용하여 데이터베이스화되어 있는 군사, 행정, 인적 자원 등 국가적인 주요 정보를 파괴하는 것을 말한다. 21세기의 테러는 점점 이러한 컴퓨터망의 파괴로 집중될 것으로 예상되며, 앞으로는 전쟁도 군사시설에 대한 직접적인 타격보다는 군사통신, 금융망에 대한 사이버테러 양상을 띨 가능성이 높다. 그 종류로는 전자우편 폭탄과 논리 폭탄 등이 있다. 전자우편 폭탄은 목표로 하는 컴퓨터에 전자우편을 발송하여 이 우편을 받은 컴퓨터가 제 기능을 하지 못하도록 하는 것이다. 논리 폭탄은 일종의 컴퓨터 바이러스로, 컴퓨터 시스템에 침입하여 기능을 마비시킨다. 즉, 주요 기관의 정보시스템을 파괴하여 국가 기능을 마비시키는 신종 테러를 말하는 데 새로운 국가안보의 위협 요소로 떠오르는 사이버테러에 대응하기 위해 세계 각국은 대응책 마련에 부심하고 있다. 미국에서는 1995년부터 국방부와 관련부처를 중심으로 사이버해킹 전담팀을 구성하여 2002년까지 32억 달러의 예산을 배정하는 등 국가적인 차원에서 사이버테러에 대비하고 있으며, 한국은 1999년 말까지 컴퓨터 해킹 대응팀을 구성해 운영중이다. 해킹의 정의는 시간에 따라 변화되어 왔는데 초기에는 '개인의 호기심이나 지적욕구의 바탕 위에 컴퓨터와 컴퓨터간의 네트워크를 탐험하는행위'를 말했다. 이후 악의적인 행동이 늘어나면서 '다른 컴퓨터 시스템을 침입할 때 파괴적인 계획을 갖고 침입하는 행위'라는 부정적의미를 갖게 되었으며, 일명 크래킹이라 하였다. 현재 사용하고 있는 해킹이란 의미는 대체적으로 '어떠한 의도에 상관없이 다른 컴퓨터에 침입하는 모든 행위'로서 전산망을 통하여 타인의 컴퓨터 시스템에 엑세스 권한 없이 무단 침입하여 부당 행위를 하는 것을 말하며, 여기서 부당 행위란 불법적인 시스템 사용, 불법적인 자료열람, 유출 및 변조등을 뜻한다. 반면 긍정적의미로는 '각종 정보 체계의 보안 취약점을 미리 알아내고 보완하는 데에 필요한 행위'란 뜻을 가지고있다.

3차핵실험과 미사일에 이어 싸이버테러까지..
국가정보원은 우리나라와 미국 25개 주요기관의 인터넷 싸이트에 대한 해킹공격은 개인차원이 아니라 특정조직 또는 국가차원에서 치밀하게 준비해 실행했다는 분석이 나왔다. 북한이 최근들어 각종 무력시위를 일삼더니 이제 싸이버테러까지 감행했다니 정말로 끔찍한 사태가 올수도 있다고 본다. 더욱이 그러한 북한에 동조하는 종북세력이 싸이버테러에 동참했다면 이는 반드시 밝혀내어 가담자들을 반드시 색출해내어야 할 것이다. 정부는 모든 수사력을 동원하여 내부에 암약하고 있는 종북세력을 이번기회에 반드시 척결해주기를 바란다.

한편 정부는 해킹에 의해 악성코드가 유포돼 전산망 마비사태가 온 것으로 보고 민관군 합동 대응팀으로 사이버위기대책본부를 구성, 조사하고 있다. 경찰은 북한에 의한 사이버테러 가능성도 있는 것으로 수사하고 있다. 국방부는 오후 3시10분 부로 정보작전 방어태세인 인포콘을 4단계에서 3단계로 격상했다. 경찰청 사이버테러대응센터는 해당 방송사와 금융회사에 수사관을 급파해 조사중이다. 경찰은 동시다발적으로 전산망 마비가 일어난 점으로 미뤄 사이버테러 등 가능성이 높은 것으로 보고 수사중이다. 금융당국에 따르면 신한은행과 제주은행, 농협 등도 이날 오후 전산망 마비 등이 발생해 영업에 차질이 빚어졌다. 또 농협생명보험과 농협손해보험은 PC의 일부 파일이 삭제되는 현상이 발견됐다. 송현 금융감독원 IT감독국장은 “신한은행은 오후 2시 15분쯤부터 인터넷뱅킹이 중단됐다”면서 “제주·농협은행은 본부의 전산망은 작동하지만 영업점 단말기가 작동하지 않았다”고 설명했다. 우리은행도 이날 오후 디도스(DDoS·분산서비스거부) 공격을 받았으나 내부 시스템으로 방어한 것으로 확인됐다.

방송통신위원회는 “현재로선 디도스(DDosㆍ분산서비스거부)공격이 아니라, 해킹에 의한 악성코드 유포로 보고 있다”고 밝혔다. 방통위는 이에 따라 이날 오후 3시 부로 사이버 위기 ‘주의’ 경보를 발령했다. 방통위 관계자는 “오후 2시 25분에 신고를 받고 현장대응팀이 출동했다”면서 “현재로서는 디도스 공격은 아닌 것으로 파악했고, 해킹에 의한 악성코드 유포 사고”라고 말했다. 또 “현재 정부합동조사팀이 KBS와 MBC, YTN 등 방송사와 LG유플러스를 방문해 현장조사를 진행 중이며, 소스코드를 채증하고 있다”고 말했다. 통신업계는 “이번 전산망 마비는 통신망 문제는 아닌 것으로 파악됐다”며 “외부에서 인터넷주소(URL)를 변조한 흔적이 파악돼 해킹으로 추정하고 있는 상황”이라고 말했다.

박근혜 대통령은 방송·금융사의 동시다발 전산망 마비 사태와 관련, “우선 조속히 복구부터 하고 원인은 철저히 파악해 대책을 강구하라”고 지시했다. 박 대통령은 상황 발생 10분 뒤인 오후 2시50분쯤 청와대 김장수 국가안보실장 내정자로부터 상황을 보고받고 이같이 당부했다고 김행 청와대 대변인이 전했다. 청와대 관계자는 “북한의 의도적인 해킹 가능성도 있는 것으로 보고 상황을 파악하고 있다”고 밝혔다. 북한은 현재 지속적으로 한국을 상대로 사이버테러를 시도하고 있다. 여기에 따른 의도는 몇가지로 생각해볼수 있다. 북한은 지금 다방면으로 압박을 받고 있다. 핵 개발을 빌미로 북한 주변 국뿐만 아니라 여러나라를 상대로 핵개발을 진행할 것이라고 하고 있고 전쟁을 선포한다는 말로 불안감을 조성하고 있다. 하지만 전쟁을 섣불리 할 수는 없다. 전쟁을 하고 자 함도 자신의 이득을 위해 이길수 있는지 판단뒤에 전쟁이 되어야 된다.

국가간의 전쟁은 애들 장난이 아니다. 그럼 여기서 북한의 입장에서 현재 상황을 해쳐나갈 방안을 찾는데 이점에서 가장 중요시 해야될 점은 사이버테러다. 사이버테러를 함으로써 북한이 얻을려는 이득은 몇가지로 추정해볼수 있는데 달마가 생각하는 첫번째로는 자금인거 같다. 각 국가가 북한을 자금으로 압박하면서 북한은 무기를 만들 자금력도 없어져서 힘들어지고 있는 것같다. 그래서 여러차레 우리나라의 금융권의 해킹을 시도 하고 있는것 같다. 문제는 이런 해킹에 보안이 제대로 되지 못하고 일단 뚤렸다는 점이다. 아이티 발전이 빨랐던 우리나라는 그만큼 보안을 하기에 쉽지 않은 나라다. 나라 전체에 통신망이 깔렸는데 발전이 빨랐지만 해킹에 대해서는 보안업체가 모든걸을 맡아 하기에는 그 발전속도가 너무 빨랐다.

북한의 해킹은 단계적으로 진행되는거 같다. 개인정보유출을 시작으로 그정보를 이용 해서 Ddos 공격을 하고 좀비pc가 생기면 그곳에 악성코드를 심어 놓는 단계까지 온거 같다. 그래서 네이트나 옥션 등등 사이트 대규모 유출이 일어나고 금융권 농협부터 은행이나 보험, 증권사 등을 공격하고 악성코드를 심은뒤 한꺼번에 전산마비를 일으키는 오늘까지 온것이다. 이 정도 까지 오면 이 악성코드를 이용해서 한곳에서 조정이 가능할수도 있다는 생각이 든다. 그리고 보이스피싱이나 파밍수법등 여러 해킹수법을 일으켜서 자금을 빼낼려는 사전작업일수 있다. 아직은 걍 추측이지만 자금때문이라면 모든 금융사를 어느 시점에 다운시키고 그동안 대규모로 해킹을 해서 돈을 빼내갈 수도 있다. 그렇기 때문에 이 문제는 아무 생각없이 정부에서 넘어간다면 만일의 사태에 대처도 못할꺼라는 생각이 든다. 이게 겨우 첫번째 추정일 뿐이다. 북한군 사이버테러는 다시 온다.

KBS와 MBC를 공격한 악성코드 분석결과 추가적인 공격이 예상되고 있다. 이들 방송사는 20일 저녁 각각 '9시 뉴스'와 '뉴스데스크'를 통해 악성코드에 감염된 자사 PC의 하드디스크를 분석한 결과 해커들이 '하스타티(HASTATI)'라는 특정 문자를 남겼다고 보도했다. '하스타티'는 고대 로마군의 경보병으로 전쟁의 선봉대 역할을 맞는다. 이후 '프린키페스'(PRINCIPES)라는 중보병이 뒤를 잇는다. 그 외에도 '트리아리(TRIARI)'라는 중창병과 '에퀴티'란 기병이 존재한다. 특히 이날 보안기업 잉카인터넷에 따르면 파괴된 MBR(Master Boot Record)에'HASTATI' 외에도 'PRINCIPES'라는 문자열이 포함된 것으로 확인됐다. 이미 경보병과 중보병의 공격이 진행된 만큼 향후 더욱 강력한 중창병(트리아리)과 기병(에퀴티) 공격이 진행될 가능성이 높다. 현재 이번 공격에 대응할 백신은 없는 것으로 알려졌다. 이번 공격으로 전산망이 마비된 방송사들은 이르면 21일 업데이트된 백신이 나와야 정상 복구가 가능하다. 하지만 추가적인 공격이 진행되면 장시간 전산망 마비가 이어질 우려가 있다. 즉, 이번 공격에 이어 더 높은 강도의 트리아리 공격과 에퀴티 공격이 벌어질 것이란 암시다. 이 때문에 일부 네티즌들은 “‘하스타티’라고 쓴 것을 보면 프린키페스와 트리아리 등 2열과 3열을 차례로 내보내는 식으로 ‘2차 3차 공격’을 암시한 것이 아니냐”며 “추가 공격이 염려된다”는 우려를 표시하고 있다. 특히 이번 공격이 다른 전산망으로 확산되될 가능성도 배제할 수 없다. 한국이 대대적인 사이버 공격을 당한 것에 관해 뉴욕타임즈 등 미국 언론들은 일제히 "최근 정전협정을 백지화한 북한이 이 일을 벌였을 가능성도 있다"고 보도했다.

사이버 공격은 해커가 악성코드를 만들어 해킹을 통해 유포해 일반 PC가 감염되는 것으로부터 시작된다. PC에 숨어든 악성코드가 어떤 역할을 하느냐에 따라 사이버 공격의 양상은 달라진다. 이번에 발생한 사이버 공격 사태는 악성코드에 감염된 PC가 다운된 후 부팅이 되지 않게 만들어 업무 자체를 마비시키는 결과를 초래했다. 이외에도 악성코드에 감염된 PC가 일정 웹사이트에 접속하게 만들어 해당 웹사이트를 과부하에 이르도록 만드는 디도스, PC 사용자가 키보드에 입력하는 내용을 빼내가는 키로그, PC에 저장되는 정보를 빼내가는 등의 공격방법들이 있다. 최근에는 악성코드에 감염된 PC에 잠복해 있다가 집중적으로 공격하는 APT 공격이 주목을 받고 있는데, 이번 사태의 경우에도 APT 공격 가능성이 점쳐지고 있다. 그렇다면, 악성코드는 어떤 경로로 유포될까. 널리 알려진 것처럼 이메일 첨부파일이나 메신저를 통해 유포되는 경우가 많다. 그림파일, 한글파일, pdf파일, 동영상 등 어떤 파일이든 악성코드에 감염돼 있다면 해당 파일을 다운로드 하는 순간 PC에 악성코드가 심어지게 된다. 이미 해커에게 해킹당한 웹사이트에 악성코드가 숨겨져 있어 그 웹사이트에 접속한 PC가 악성코드에 감염되는 경우도 있다. 최근에는 백신프로그램으로 위장해 PC에 숨어들기도 하며 업데이트서버에 침투해 프로그램을 업데이트 하는 순간 PC를 감염시키기도 한다. 이번 사태에서는 악성코드가 어떻게 유포돼 어떻게 작동을 한 것일까. 방송통신위원회는 이날 오후 7시 브리핑에서 “피해 기관으로부터 채증한 악성코드를 분석한 결과 피해기관의 업데이트 관리서버(PMS)에서 악성코드가 유포된 것으로 추정된다”면서 “유포된 악성코드는 PC내 부팅영역(MBR)을 파괴시킨 것으로 분석하고 있다”고 밝혔다. 쉽게 말해, 피해를 당한 기관들에 있는 PC를 관리하는 중앙관리 시스템에 악성코드가 침입했다. 이 시스템에 내부통신망으로 물려있는 개별 PC에 악성코드가 전염됐고, 이 악성코드가 개별 PC들이 부팅되지 않도록 만들어버렸다는 것이다. KBS 관계자는 언론 인터뷰에서 “영화처럼 모든 PC 윈도우가 동시에 종료되더니 부팅이 안 됐다”고 당시 상황을 전했다.

보안전문업체인 안랩은 “중간 분석 결과, 공격자가 APT 공격으로 업데이트 서버 관리자의 아이디와 비밀번호를 탈취한 것으로 추정한다”고 밝혔다. 또다른 보안전문업체 하우리는 “이번에 발견된 악성코드가 자사의 백신 프로그램인 '바이로봇'의 구성모듈 파일인 ‘othdown.exe’로 위장했다”면서 “정상 파일로 위장한 악성코드가 특정 언론사와 금융기관에 침투한 뒤 하위 클라이언트 사용자까지 내려가 실행돼 전산망 마비를 일으켰다”고 설명했다. 즉 언젠가 정상파일로 위장한 악성코드가 피해기관의 중앙관리 시스템 서버에 심어졌고 이 악성코드로 서버 관리자의 아이디와 비밀번호를 빼내간 후 서버를 드나들 수 있게 했다는 추론이 나오게 된다. 그렇다면 피해 기관들의 중앙관리 시스템에는 어떻게 악성코드가 침입했을까. 이를 두고 논란이 벌어지고 있다. 피해기관들은 공통적으로 LG유플러스의 망을 쓰고 있었다. 때문에 LG유플러스 망을 통해 해킹이 벌어진 게 아니냐는 추정이 나왔다. 또한 이날 피해를 입은 회사는 방송사와 은행 외에도 있었는데 바로 LG유플러스의 그룹웨어 온넷21을 쓰는 회사들이었다. 사태가 발생하자 SNS와 블로그에는 해골그림과 함께 자신이 다니는 회사도 피해를 입었다는 글들이 올라오기 시작했다. 해골그림에는 ‘후이즈’라는 해커그룹이 해킹했다는 글이 담겨 있었다.

종합해보면 후이즈가 LG유플러스 그룹웨어를 해킹했고 이를 사용하는 회사들이나 이와 연결된 망을 통해 방송사와 은행의 업데이트 관리 시스템으로 악성코드가 심어졌으며, 업데이트 관리서버에 물려있던 PC에 최종적으로 악성코드가 감염됐다는 추측이 나왔다. LG유플러스 망을 통해 해킹이 벌어졌다는 추측에 대해 LG유플러스 측은 “인터넷이 안 되는 것이 아니라 갑자기 PC를 부팅하라는 이야기가 나오고 재부팅하면 재부팅이 안되는 상황”이라면서 “당사에서는 네트워크 장애문제가 아니고 악성 코드에 감염된 것으로 추정”된다고 밝혔다. 하지만 그룹웨어가 해킹을 당한 사실은 인정했다. LG유플러스는 “중소기업을 대상으로 하는 그룹웨어가 일부 해킹된 사실이 발견되어 바로 차단”했다며 “그룹웨어 관련 이슈는 방송사 및 금융권에 대한 해킹과 전혀 상관이 없다”고 주장했다.

20일 해킹 사태는 약 2시간동안 은행을 마비시켰고, 방송사들의 업무를 비정상적으로 만들었다. 은행들은 일단 시스템을 복구해 업무를 정상화 시켰지만 모든 PC가 꺼진 상태로 작동을 못시키고 있는 방송사들의 경우 백신이 배포돼야 업무가 정상화 될 전망이다. 현재 민관군 합동대응팀은 가능한 빠른 시간 내에 백신을 배포할 계획이다. 문제는 손상된 하드디스크의 데이터가 삭제됐는지 여부다. 이는 백신 배포 이후 PC를 정상화해야 알 수 있는 문제다. 2011년 농협 전산망 마비사태 당시 데이터가 파괴돼 상당한 피해를 입기도 했다. 20일 피해를 입은 은행들은 현재까지 데이터 삭제에 대해서는 언급하지 않고 있다. 더 큰 문제는 방송사와 은행들의 정보가 유출됐을 경우다. 만약 해킹 범인들이 방송사와 은행의 데이터를 입수해 이를 악용한다면 금융대란, 정보대란이 발생할 가능성도 배제할 수 없는 상황이다. 그렇다면, 이번 해킹 사태는 끝난 것일까. 자신들이 해킹을 벌였다고 주장하고 있는 후이즈는 “우리는 해킹에 흥미가 있다. 이것은 우리 행동의 시작이다. 모든 계정과 데이터 정보는 우리 손에 있다. 불행하게도 우리는 그 데이터를 삭제했다. 곧 다시 돌아오겠다”며 추가 공격을 예고했다.

보안전문업체 빛스캔에서는 “지난 11일부터 15일까지 원격 조정이 가능한 악성코드가 대량으로 유포됐다”면서 “일부 설치파일명이 ‘KBS.exe’, ‘MBC.exe’ ‘SBS.exe’로 돼 있었다. 파일명으로 모든 정황을 파악하기 어렵지만 전산대란과의 연관성을 배제할 수 없다”고 전했다. 그러면서 “당시 보안업계에 일부 포착되긴 했지만 훨씬 그 전부터 유포되기 시작했을 가능성이 크다. 전산망 마비사태가 특정 조직에 의해 일찌감치 기획됐을 가능성이 크다는 것을 입증하는 셈”이라고 밝힌 것으로 전해졌다. 또한 피해 기관의 컴퓨터 하드디스크에 고대 로마 군사 제도와 관련된 암호가 남아있어 관계자들을 긴장시키고 있다. 보안전문업체 잉카인터넷에 따르면 악성코드 감염 컴퓨터 하드디스크를 분석한 결과 MBR 영역에 남아 있는 흔적에 ‘하스타티(HASTATI)’ ‘프린키페스(PRINCPES)’라는 글자가 숨어있었다. 하스타티, 프린키페스는 로마군 보병대의 부대명을 뜻하는 단어로 하스타티(경보병)는 3대 대열 중 맨 앞에 서는 선봉부대이며 하스타티가 무너지면 2열의 프린키페스(중보병)가, 프린키페스가 무너지면 3열의 트리아리(중창병)가 싸우게 된다. 그 뒤에는 ‘에퀴티(기병대)’가 싸우게 된다.

사이버 테러 [cyber terror]는 인터넷을 이용해 시스템에 침입하여 데이터를 파괴하는 등 해당 국가의 네트워크 기능을 마비시키는 신종 테러행위인데 정보화시대가 가져온 폐해의 하나로, 해킹을 비롯한 사이버 테러는 수법이 날로 교묘해지고 파괴력 또한 갈수록 커지고 있다. 정보통신산업 기술의 발달을 이용하여 군사·행정·금융 등 한 국가의 주요 정보를 파괴하는 사이버 테러는 21세기로 들어서면서 갈수록 심각해질 것으로 예상되고 있다. 사이버 테러 수법에는 강한 전자기를 내뿜어 국가통신 시스템, 전력, 물류, 에너지 등의 사회 기반 시설을 일순간에 무력화시키는 전자기 폭탄, 데이터량이 큰 메일 수백만 통을 동시에 보내 대형 컴퓨터 시스템을 다운시키는 온라인 폭탄, 세계 유명 금융기관이나 증권거래소에 침입, 보안망을 뚫고 거액을 훔쳐내는 사이버 갱 등이 있다. 이러한 사이버 테러의 특징은 시간이나 공간을 초월하여 세계 곳곳에서 동시다발적으로 진행될 수 있다는 점에서 그 규모가 가공할 만하게 커질 수 있고, 우회적인 경로를 사용하기 때문에 범죄자를 적발하기 어렵다는 것이다. 세계 각국은 새로운 국가 위협 요소로 떠오르고 있는 사이버 테러에 대한 대응책 마련에 부심하고 있다. 미국에서는 많은 예산을 들여 1995년부터 사이버 해킹 전담반을 구성해 사이버 테러에 대비하고 있고, 우리나라에서도 컴퓨터 해킹 대응팀을 구성하여 운영하고 있는 데 분석하자면 다음과 같다.

1. 사이버테러의 공격유형
사이버 범죄에서는 크게 ‘사이버테러형 범죄’와 ‘일반 사이버범죄’로 구분하고 있으며, ‘사이버테러 유형’에는 ‘기반시설(SCADA)의 파괴’와 최근 이슈가 되고 있는 ‘사회 혼란 조장’으로 구분할 수 있다

2. 사이버테러의 공격단계
사이버 테러의 공격은 공격의 계획 수립, 정보수집, 공격수행, 목표달성, 흔적의 제거 단계로 이루어지며 공격의 목적에 따라 공격 수단과 기법은 기술적, 사회공학적 등 다양한 기법으로 발전하고 있다.

3. 사이버테러의 대비
사이버테러에 대한 영향력을 원천적으로 차단하거나 감소시키기 위해 정책 및 체계의 수립, 자산 식별 및 취약점 진단을 통하여 위험 요소를 식별하는 등의 위험관리기반 방법론으로 관리가 필요하다.

4. 사이버테러의 대응 체계 – 관리적 관점
정보보호의 최종목표인 정책과 체계부문 수립 시 각종 법률 및 제도, 관련 지침, 규정, 가이드라인을 충족하고 민간 정보보호 인증체계와의 융합을 통해 살아있는 유기체적 정보보호 체계의 수립이 필요하다.

5. 사이버테러의 대응 체계 – 기술적 관점
기술적 대응능력 향상을 위해 System, Netwrok, DB, Application, User Activity를 통합한 Security Convergence 환경 구축이 필요하며, 제도와 조직 사람이 융합된 환경에서 사이버테러 대응이 가능하다.

* 생소한 용어풀이

해킹(Hacking) : 다른 사람의 컴퓨터에 무단으로 침입해 컴퓨터의 데이터나 프로그램을 삭제하거나 유해하게 만드는 행위를 말한다. 해당 컴퓨터의 최고 권한을 획득해 깔려있는 프로그램을 망치는 것은 물론 하드디스크를 고장내는 등 하드웨어를 망치는 경우도 있다. 해커가 네트워크를 통해 다른 사람의 컴퓨터에 직접 들어가는 경우도 많지만, 최근에는 악성코드를 통해 많은 컴퓨터에 침입하거나 원격 조종하는 방식으로 발전했다.

악성코드 : 악의적인 목적을 위해 만들어진 실행 가능한 코드를 통칭해서 악성코드라 부른다. 쉽게 얘기하면 일종의 실행 파일 같은 것으로, 외부의 명령이나 일정 시간, 조건 등에 따라 컴퓨터나 시스템에 악영향을 주는 행동을 한다. 악성코드는 PC의 데이터를 지워버리기도 하고 해커의 공격 명령을 받아 웹사이트를 공격하기도 하며 심지어 PC의 하드디스크를 고장내 버리기도 한다. 자기 복제능력과 감염 대상 유무에 따라 바이러스, 웜, 트로이목마 등으로 분류된다. 악성코드는 다양한 경로로 유포된다. 그림파일, 한글파일, pdf, 동영상 등 이메일 첨부파일은 물론 웹사이트를 보는 것 만으로도 위험하다.

디도스((DDoS, Distributed Denial of Service 분산서비스거부) : 한꺼번에 수많은 컴퓨터가 특정 웹사이트에 접속함으로써 비정상적으로 트래픽을 늘려 해당 웹사이트의 서버를 마비시키는 해킹 방법이다. 디도스를 하기 위해서는 공격자의 조종을 받는 상당히 많은 컴퓨터가 필요하게 되는데, 이들 컴퓨터를 ‘좀비PC’라 부른다. 좀비PC는 여러 경로를 통해 유포된 악성코드에 감염돼 있으며, 이 악성코드가 일정한 시간이나 공격자의 명령에 의해 타깃이 되는 웹사이트에 일시에 접속하게 된다. 2009년 디도스 사태는 주요공공기관과 언론사, 포털사이트 등 유명 사이트 대다수를 무력화 시키는 위력을 발휘하기도 했다. 당시 우스갯소리로 ‘한국의 거의 모든 PC가 한국의 주요 기관을 공격하는 꼴’이라는 푸념이 돌아다니기도 했다.

APT(Advanced Persistent Threat) 공격 : 통신망을 통해 여러 PC에 악성코드를 심어 놓고 시간이 흐른 뒤 한꺼번에 작동시켜 시스템이나 웹사이트를 공격하는 해킹 수법을 말한다. APT는 악성코드가 백신에 감지되지 않는 것을 전제로 하기 때문에 같은 망을 쓰는 사람 중 한 명의 PC라도 감염됐을 경우 순식간에 주변 PC를 감염시켜 전체 시스템을 망가뜨릴 수도 있다. 게다가 숨어있는 상황 자체를 백신프로그램이 인지하지 못하기 때문에 숨어있는 동안 정보를 유출시킬 수도 있다. 숨어있던 악성코드에 공격자가 디도스 공격 명령을 내리면 디도스 공격이 실행되며 이번 사태처럼 부팅되지 않도록 명령하면 PC를 마비시킬 수도 있다.

PMS(Patch Management System) : 한 회사의 모든 사용자 PC의 운영체제나 어플리케이션에 대한 패치, 업데이트를 관리자가 전사적으로, 일괄적으로 관리 통제할 수 있도록 해주는 소프트웨어다. 예를들어 어떤 회사에 1만대의 PC가 있는데, 이들 PC가 윈도우7을 사용하고 있으며 공통적으로 쓰는 프로그램이 있다면, 각각 PC를 중앙관리자가 최신 패치를 적용하거나 프로그램의 최신 버전으로 업그레이드 하는 시스템이다. 대다수 대기업들은 물론 일정 규모의 중소기업들도 PMS를 운용하고 있다.

MBR(Master Boot Record) : 하드디스크의 맨 앞에 기록돼 있는 시스템 기동용 영역이다. PC를 켰을 때 가장 먼저 읽히는 부분이다. 이 부분이 읽혀야 부팅 단계로 넘어갈 수 있으며 부팅 단계로 넘어가면 OS가 시작된다. 한국 PC는 압도적으로 많은 숫자가 OS로 윈도우를 쓴다. 쉽게 설명하면 MBR이 읽혀야 윈도우가 시작된다는 것이다. 그런데 MBR의 정보가 파괴되면 부팅이 되지 않는다. 즉, 윈도우가 시작되지 않고 검정색 화면에 부트섹터(Boot Sector)가 없다는 설명과 함께 멈춰 있게 된다.

그룹웨어(groupware) : 회사의 구성원들이 PC를 통해 서로 협력해 업무를 수행할 수 있도록 작업을 지원해주는 소프트웨어와 시스템을 말한다. 개인용 소프트웨어와 반대되는 개념이다. 상당수 기업들은 그룹웨어를 쓰고 있는데 결재시스템, 내부메신저, 이메일, 게시판, 전자회의, 파일공유, 오피스 프로그램 등을 구축하고 있다.

주옥같은 팝 모음

01. You're Only Lonely - J.D.Souther
02. I.O.U - Carry & Ron
03. Help Me Make It Through The Night - Sammi Smith
04. For The Good Times - Kris Kristofferson
05. Almaz - Randy Crawford
06. Dust in The Wind - Kansas
07. The Saddest Thing - Melanie Safka
08. The Rose - Bette Midler
09. Rain And Tears - Aphrodite's Child
10. Hard To Say I'm Sorry - Chicago
11. Have You Ever Seen The Rain - CCR
12. I Just Fall In Love Again - Anne Murray
13. 500 Miles - Peter, Paul & Mary
14. The River In The Pine - Joan Baez
15. Still Loving You - Scorpions
16. Wonderful Tonight - Eric Clapton
17. Rhythm of The Rain - Dan Fogelberg
18. Green Green Grass of Home - Tom Jones
19. The House of The Rising Sun - Animals
20. Seasons In The Sun - Westlife

 

 

[카페지기]

유익한 정보에 좋은 음악까지
늘 감사드립니다.