특집

‘3.20 사이버테러’ 일단락…남은 궁금증, 오해와 논란

이유지 기자
[디지털데일리 이유지기자] 3.20 방송사·금융사 전산망 마비 사고가 사실상 일단락됐다.  

정부가 이번 사고를 ‘북한에 의한 사이버테러’로 결론지으면서 ‘민·관·군 합동대응팀’ 조사가 마무리 단계에 들어갔다. 

10일 정부는 이같은 조사결과를 공식 밝힌 데 이어, 11일에는 국가사이버안전전략회의를 개최하고 사이버안보 강화를 위한 후속대책을 내놨다.

경찰 수사가 남아 있긴 하지만, 합동대응팀 조사 결과 공격 주범과 대략적인 공격 경로가 밝혀진 상태다. 그럼에도 여전히 많은 궁금증과 논란이 남아있다.

주범이 북한이라는 점에서 누구에게도 책임을 물을 수 없는 상황이지만, 이번 공격으로 전자금융거래 서비스에 차질을 빚은 금융사와 허점을 노출한 보안업체 간에 책임 소재를 둘러싼 공방도 예상된다.


◆6개사 악성코드 최초 침입·전파경로 여전히 불분명=
정부 조사에 따르면, 이번 사건은 북한이 최소 8개월 이상 치밀하게 벌여온 APT(지능형지속위협)이다.

여전한 궁금증과 논란의 핵심은 공격 표적이 된 기업 내부로의 최초 침투경로가 명확히 밝혀지지 않은 것에 있다.

합동대응팀과 보안전문가들은 내부망을 장악하기 위해 최초로 들어온 악성코드 감염 경로는 웹과 이메일을 통해 이뤄진 것으로 추정하고 있다.

표적이 된 6개 기관 내부 사용자가 웹 서핑 등을 통해 웹사이트에 방문하거나 이메일을 열어 ‘드라이브바이다운로드’ 악성코드나 트로이목마 등에 감염된 것으로 보고 있다.

빛스캔 분석에 따르면, 공격자는 웹사이트에 악성링크를 생성해 악성코드를 감염시켜 내부망에 침입한 뒤 시스템 내 정보 등을 수집하고 취약점을 찾아 악성코드 감염을 확산시키고 최종적으로 감염 시스템을 파괴했다.

이 회사가 분석한 결과, 3월 15일에 최초 악성코드 유포지로 이용한 악성링크의 도메인 등록이 홍콩에서 이뤄졌다. 이후 즉시 공격을 실행해 감염을 유발했다. 악성코드는 C&C(명령·제어) 서버를 통해 원격 조정받고 추가로 악성코드를 다운로드했다.

합동대응팀은
이번 사건을 북한이 최소 8개월 이상 치밀하게 벌여온 APT(지능형지속위협)으로 봤다. 이처럼 오랜 기간 동안 준비된 공격으로 보는 근거는 2012년 6월 말부터 북한 내부 PC 6대가 공격 경유지에 1590회 접속한 흔적을 확인했기 때문이다.

2월에도 북한 내부 인터넷주소(175.45.178.xx)에서 감염PC 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속한 흔적을 발견했다.

내부 시스템이 악성코드에 최초로 감염된 경로는 추정될 뿐이다. 시스템 파괴 악성코드를 내부 전체로 확산시키는데 이용된 경로만 확인된 상태다.

피해 기관인 농협을 비롯해 여러 기관들에서 나타난 상당한 공통점은 안랩과 하우리의 백신 업데이트 및 프로그램 중앙배포 서버(PMS)가 악성코드 확산에 악용됐다는 점이다.

이 때문에 사고 직후에 이들 보안업체의 서버가 초기 감염통로로 지목되기도 했다.

더욱이 안랩이 농협에 설치된 자사의 업데이트 관리 및 배포 서버에서 안랩의 로그인 인증 관련 취약점 악용 등 과실을 인정하면서 책임 소재가 불거졌다.

◆곤혹스러운 보안업체, 신뢰성 타격=공격용 악성코드를 잡아내지 못했다는 이유로 ‘백신 무용론’과 함께 백신 업데이트 및 자산관리 서버가 이번 공격에 악용되면서 보안업체들의 신뢰성에 큰 타격을 입은 것이 사실이다.

더욱이 백신 등 일부 해외 보안업체들이 자사 제품은 이번에 사용된 MBR(마스터부트레코드) 파괴 악성코드를 이전부터 탐지하고 있었다거나 자사의 제품을 사용하면 이번 사고를 막을 수 있었다는 식의 발표를 쏟아냈다.

이에 더해 공인인증서 관련 보안 제품인 소프트포럼의 ‘제큐어웹’이 최초 감염 통로로 악용됐다는 얘기까지 확산되면서, 점유율이 높은 국산 보안 솔루션 업체들을 곤혹스럽게 만들고 있다.

합동대응팀은 ‘제큐어웹’이 3.20 전산 마비 사고와 관련성은 없는 것으로 파악됐다고 밝혔다. 소프트포럼도 “지난해 6월 발견해 7월 패치했다”며 3.20 전산 마비 사고와는 무관하다는 입장을 내놨다.

하지만 지난 25일 전국민을 대상으로 했던 ‘제큐어웹’ 취약점을 악용한 악성코드가 배포됐던 것은 사실이기 때문에 소프트포럼측이 할 말은 없다. 여전히 여러 감염경로 가운데 하나로 ‘제큐어웹’이 이용됐다는 주장과 함께 소프트포럼과 금융당국이 취약점 존재를 숨겨 사고가 발생한 시점까지도 패치가 이뤄지지 않게 만들었다는 의혹까지 제기다.    

이에 따라 백신의 탐지 수준과 무결성 체크 등 업데이트 체계를 비롯해 제품 자체의 보안성 강화 등이 보안업계의 중요 과제로 부각됐다. 안랩, 하우리를 비롯해 SGA 등도 즉각 보안 강화 대책을 내놨다.

◆3.20 전산 마비는 안랩 책임?=이번에 공격 대상이 된 6개 방송사·금융사 악성코드 감염 경로는 각기 다른 방식으로 이뤄진 것으로 알려져 있다. 보안 전문가들 사이에서는 경찰이 명확한 수사결과를 내놓지 못하는 이유가 여기에 있다는 분석이 나오고 있다. 복잡성이 큰만큼 이로 인한 혼란도 사고 발생 이후 계속되고 있다.   

일부 과실을 인정한 보안 대표기업인 안랩의 경우엔 상황이 심각하다.

안랩이 백신 프로그램과 업데이트 관리 및 자산관리 서버인 APC가 직접 악성코드 침투 통로로 이용돼 이번 사고의 모든 책임이 있는 것처럼 오해가 생겨났기 때문이다.

농협에서 현재 안랩에 손해배상 청구소송을 검토하고 있다는 얘기도 흘러나온다. 이 경우, APC 관리 책임에서 농협도 자유롭지 않다는 점에서 향후 법적 공방이 예상된다.

더욱이 농협은 안랩 APC가 백신뿐만 아니라 여러 소프트웨어를 배포하는 서버로 사용해 온 것으로 알려졌다. 이에 관해 정부 관계자는 “농협에서 사용중인 안랩 APC 서버에서 백신 무결성 체크는 정상적으로 이뤄지고 있었으나 다른 소프트웨어 배포에서는 적용돼 있지 않았다”고 말했다.

신한은행의 경우에도 악성코드 확산에 백신 업데이트 관리서버가 이용되지 않은 사실도 확인된 상태다.

안랩측도 12일 “방송·금융 등 6개사에 대한 사이버 테러는 각기 다른 경로로 이뤄졌음에도 모두 안랩의 책임인 것으로 보도되어 많은 오해를 낳고 있다”고 호소하며, “APC 서버의 취약점이 이용된 것은 농협의 경우에만 해당된다”고 밝혔다.   

◆APT 표적공격 막을 방법 없나=이번 사고는 국가 사이버안보체계를 다시금 재점검할 계기로 작용할 것으로 보인다.
더욱이 APT 표적 공격이 얼마나 지능적이고 치밀하고 위협적인지를 새삼 인식하게 다.

이에 따라 일부에서는 일단 APT 표적 공격이 발생하면 막을 방법은 없지 않냐는 회의적인 시각도 대두되고 있다.

합동대응팀 조사에서 이번 공격과 관련해 사전 침투·감시, 시스템 파괴를 위해 사용한 악성코드로 발견된 것만 76종에 달한다. 국내외 공격 경유지도 수십개를 사용했다. 자신을 숨기기 위해 IP주소를 세탁했고 공격경유지와 시스템을 파괴해 흔적을 없애려는 시도도 벌였다.

또한 미리 파악한 정보를 토대로 공격 대상 기업이 사용하는 보안 제품을 우회했다. 가장 손쉽고도 빠르게 확산시킬 수 있는 악성코드 전파수법으로 백신 등 업데이트관리 및 자산관리 서버를 이용했다.  

최종 배포된 시스템 파괴용 악성코드는 특정 시점에 실행하도록 만들어 미처 대처할 사이도 없이 수만대 넘는 시스템이 피해를 입었다. 

사실 정교하고 치밀하며 은밀한 수법을 이용하는 APT 공격의 위험성은 몇년 전부터 대두돼 왔다. 
또한 유명 기업이나 사용자 기반이 넓은 서비스와 제품은 언제나 공격 타깃이 될 수 있다는 점은 보안 전문가가 아니라도 쉽게 생각할 수 있는 일이다. 공격에 성공하기 위해서는 공격 대상이 된 조직의 보안체계 등 IT환경을 사전에 파악한다는 것 역시 보안업체들과 전문가들이 늘 강조하고 있는 부분이다. 

그럼에도 실제 공격이 발생하면 대부분 피해 가지 못한다. 그만큼의 경각심을 갖고 적절한 보안체계를 마련하지 않았기 때문이다. 


해외에서는 ‘스턱스넷’에 의한 이란 원전 사고, 국내에서는 SK커뮤니케이션즈의 대규모 개인정보 유출 사고를 계기로 국내외 보안업체들은 지능적인 공격을 막을 방법을 꾸준히 개발해 왔다. 그러나 대부분의 조직은 여전히 방화벽, 침입지시스템(IPS), 백신 등 초창기부터 적용해온 몇몇 보안 기술이나 솔루션에 상당 부분을 의지하고 있는 실정이라고 전문가들은 지적한다.

이에 따라 보안 전문가들은 기업 조직에서는 몇몇 특정 보안 기술에 의존할 것이 아니라 다계층의 입체적인 보안체계를 구축해야 한다고 강조한다. 위협정보 공유 및 조기경보 체계에 대한 중요성도 지적하고 있다. 현재의 수준을 점검하고 필요한 보안 활동을 우선순위별로 이행해나가야 한다는 현실적인 조언도 나온다. 

전상훈 빛스캔 이사는 “3월 20일 직전에 주말뿐만 아니라 주중까지 iMBC.exe, KBS.exe, V3.exe와 같이 특정기업·제품 이름이 붙여진 악성코드를 포함해 수백개 웹사이트에서 동시에 집중적으로 뿌려지는 특이한 상황이 있어 지속적으로 경고를 해왔다”며, “최소한 이상 징후나 위협 경보에 귀기울이려고 노력하는 것이 필요하다”고 말했다. 

윤광택 시만텍코리아 이사는 “좀도둑을 막는 수준이 아니라 지능적인 표적 공격을 막기 위해서는 다양한 노력이 필요하다”며 “기존에 사용하고 있는 제품을 최신 버전으로 업그레이드 하는 것부터 시작하는 것도 좋은 방법이다. 새로운 기능을 추가 적용한 이유가 있는데, 편리성을 위해 안쓰고 있다면 이것부터 바꿀 필요가 있다”고 지적했다.  

다른 보안 전문가는 “이번 공격은 기술 수준보다는 전략면에서 뛰어났다”며 “APT 표적 공격 대상이 되면 막을 수 없다는 회의적인 시각보다는, 공격자들이 이용할만한 시나리오에 중점을 두고 방어 전략을 수립하는 접근방식이 필요하다. 현재 기업 환경에 침투할만한 허점과 손쉬운 악성코드 전파 통로는 없는지 점검해보는 것에서 시작했으면 한다”고 강조했다.

안랩은 국가, 기업에서 나아가 사용자 보안 의식의 중요성을 강조했다. 회사측은 “APT 공격은 국가기관의 철저한 감독과 해당 기업의 다층적인 보안 구축에도 불구하고 완벽하게 막아내기엔 부족한 점이 있다. 사용자가 관심을 가질 만한 갖가지 수단을 이용해 현혹하기 때문”이라며 “사용자의 보안 의식이 무엇보다 중요하다는 점에서, 자신과 직장의 정보와 재산을 보호하기 위한 보안지식 공유 캠페인을 전개하겠다”고 밝혔다. 

<이유지 기자> yjlee@ddaily.co.kr
 

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널