침해사고/위협동향

“시스템 붕괴됐다” 성공적인 평창올림픽 무대 뒤 긴박했던 12시간

최민지
[디지털데일리 최민지기자] 1218대의 드론이 하늘을 수놓으며 ‘정보통신기술(ICT) 올림픽’ 면모를 드러내면서 전세계의 함성을 자아냈던 지난 2월9일 평창동계올림픽 개막식 당일, 무대 뒤는 긴박함이 맴돌았다.

2월9일 20시, 개막식 시작을 기다렸다는 듯 사이버공격이 시작됐고 시스템이 붕괴됐다. 50대 서버가 파괴됐고 300여대 서버가 직·간접적 영향을 받았다. 4개 영역의 52종의 서비스가 중단됐다. 이번 공격은 오로지 파괴만을 향했다.

약 4년간 안전한 올림픽 개최를 위해 만반의 준비를 해왔는데, 고도화된 위협으로 한 순간에 속수무책 서비스들이 무너져갔다. 과거 올림픽 사례에서도 찾아볼 수 없는 유례 없는 악의적 공격이었다.

그럼에도 평창동계올림픽 기간 국민들은 사이버공격으로 인한 혼란을 알아채지 못했다. 경기운영과 방송은 정상적으로 진행됐고, 올림픽도 성공적으로 마무리됐다.

어떻게 된 일일까? 전투를 방불케 한 12시간 내 긴박했던 현장에 답이 있었다. 공격부터 복구까지 시간별 상황을 살펴봤다.

◆2월9일 20시 사이버공격 시작=개막식이 울리는 순간 수많은 서비스들이 중단됐다. 올림픽조직위원회 인증서버(AD), 데이터베이스(DB) 서버, 터미널 서버 등 33식과 파트너사의 인증서버, 소프트웨어 배포서버 등 17식이 파괴되면서 총 300여대가 공격자의 영향권에 들어갔다.

입·출국을 비롯해 수송, 숙박, 선수촌 관리, 장비 관리, 의전, 문화행사, 식료 등 31종의 서비스를 관할하는 대회관리 시스템이 멈췄다. 등록, 인력관리, 경기일정 관리, 유니폼 관리, 경기정보 분배 등 경기관리 시스템 영역의 13종 서비스도 중단됐다. IPTV와 와이파이, 전자태그(RFID), 웹, 앱, 메일 등을 사용할 수 없게 됐다.

오상진 평창동계올림픽 조직위원회 정보통신국장은 “조직위와 국내외 파트너사를 대상으로 계정정보를 탈취하는 등 해커들은 지난해 12월경부터 공격을 준비해온 것으로 보인다”며 “탈취한 계정으로 콘텐츠전송네트워크(CDN) 관리시스템에 침입해 개막식 당일 서비스를 교란했다”고 말했다.

이어 “사실상 거의 모든 서비스가 차단됐고 치밀하게 준비된 지능형지속위협(APT)으로 무작위 파괴공격을 개시한 것”이라며 “41종 악성코드 중 20여종은 실질적 파괴행위를, 나머지는 사전준비를 위한 것으로 조사됐다”고 덧붙였다.

공격자들은 준비과정을 통해 조직위와 파트너사 시스템 구조를 사전에 상당한 수준으로 파악한 것으로 판단된다. 개인정보 유출이나 정보 탈취보다는 오로지 올림픽을 방해하기 위한 서비스 장애를 목적으로 시스템 파괴적 공격을 이행한 것이다.

◆1단계 복구 돌입 “필요 서비스부터 정상화해라”=조직위는 평창올림픽 사이버침해대응팀(CERT)과 협력해 개막식 사이버공격으로 받은 서비스 피해를 복구화하고, 추가적인 사이버공격에 대한 방어체계 강화를 병행해 추진키로 했다.

자칫 잘못하면 국가적인 행사를 사이버공격이라는 오명으로 뒤집어 쓸 수 있는 급박했던 상황이라, 시급성을 감안해 우선순위를 정하고 3단계에 걸친 대응을 실시했다.

1단계에서는 올림픽 개막식 이후 필요 서비스를 우선적으로 복구하기로 했다. 이에 개막식장, 메인 프레스센터, 선수촌, 미디어촌 등의 와이파이와 IPTV를 정상화시켰다. 개막식 이후 선수단 및 미디어 관계자, 관객들이 각자 위치로 돌아갔을 때 문제가 없도록 긴급 조치했다. 1단계 복구는 2월9일 22시 완료됐다.

오 국장은 “조직위 서비스 인증체계가 손상돼 서비스 인증을 우회해 서비스를 가능하도록 시스템을 빨리 전환했다”며 “경기망, 업무망, 시설망, 방송망, 기타망 등 서비스별로 망분리를 했었고, 실제 사이버공격은 경기·업무망에서 발생했기 때문에 국민들은 이러한 상황 속에서도 폐쇄된 방송망을 통해 개막식을 정상적으로 볼 수 있었다”고 설명했다.

◆철야 속 서비스 재개, 본격적 복구 나서=데이터센터가 사실상 파괴된 상태에서 다음 날부터 본격적 경기가 시작돼야 했다. 서비스 재개를 위한 철야 작업이 이뤄졌다.

물론, 쉽지만은 않았다. 최초 장애가 발생한 인증서버를 복구했으나 또 다시 공격을 받고 2월9일 23시10분 실패를 겪었다. 일부 살아있는 서비스가 있어 인터넷을 연결한 상태로 시스템을 살리기 위해 노력했다. 이를 폐쇄하면 모든 서비스를 100% 차단해야 한다. 하지만 인터넷을 열고 있는 상황에서는 공격에 계속 노출될 수밖에 없었다.

결국 23시56분 데이터센터를 완전히 폐쇄하고 모든 서비스와 인터넷을 차단키로 결정했다. 순차적으로 시스템을 복구 완료한 시각이 10일 오전 4시10분이다. 이 사이 조직위 계정 탈취와 관련한 사실들이 발견됐다. 상당한 수의 관리자의 아이디와 패스워드를 공격자들이 확보했다는 것을 알게 됐고 6시30분 모든 패스워드를 변경하고 시스템을 다시 맞춰야만 했다.

새벽 5시9분에는 안랩에서 치명적인 2개의 악성코드에 대한 백신을 만들었다. 급한 불은 이제 다 껐으며, 10일 오전7시50분 시스템을 다시 오픈하고 서비스를 정상화했다

◆긴장감 유지하며 추가공격 대비=공격을 막고 대회 운영을 위한 시스템을 복구하며 긴박했던 12시간이 지나면서 한숨을 돌렸으나, 올림픽이 끝나지 않은 만큼 긴장의 끈을 늦출 수 없었다.

2월13일 오전 4시 대회 운영을 위한 안전성을 보장하고 추가 공격에 대비하기 위한 백업시스템까지 복구 완료했다. 공격이 또 들어와도 백업으로 대응할 수 있도록 말이다.

국정원과 과기정통부, 한국인터넷진흥원, 경찰청, 조직위 CERT팀은 협력해 공격유형을 분석하고 경유지 차단, 백신 적용, 패스워드 변경 등 추가적 시스템 보안조치를 적용했다.

10일 오전 1시17분 악성코드 명령제어서버(C&C)를 파악 후 차단했으며, 2시12분 서버 접속용 모든 가상사설명(VPN) 사용자 계정을 예방차원에서 초기화했다. 5시18분에는 백신업데이트 실시를, 6시30분 악성코드 분석 후 시스템 계정 비밀번호를 변경했다.

◆“공격자, 북한은 아니다”=이번 평창동계올림픽 공격 배후로 북한으로 위장한 러시아 측 해커 소행으로 보는 시각이 많다. 동계올림픽 출전 금지 처분에 따른 보복행위라는 주장이다.

이와 관련 오 국장은 “수사가 부분적으로 진행되고 있어 자세히 말할 수 없으나, 결과적으로 말하자면 북한은 아니다”라며 “과거 여러 올림픽에서도 디도스(DDoS) 공격이나 개인정보 탈취를 위한 공격은 있었지만, 이처럼 극악한 상황은 이전에도 없었다”고 전했다.

오 국장은 이번 사건을 통해 행위분석 기반 사이버공격 탐지 및 방어역량 강화와 최악의 시나리오를 가정한 재해복구 체계를 마련해야 한다고 강조했다.

정상적인 행위를 가장한 위협 징후를 포착할 수 있는 정교한 행위분석 기반 공격방어체계가 필요하다는 것이다. 또한, 소프트웨어, 데이터센터, 네트워크, 정보보안 등 모든 담당자가 상호 이해를 기반으로 재해복구 작업을 이행할 수 있어야 한다. 실제 조직위는 사전에 시스템 관계자가 모두 참석한 가운데 2회가량 재해복구 훈련을 실시했고, 이 경험이 복구에 도움이 됐다고 설명했다.

한편, 이번 평창동계올림픽 정보보호체계를 위해 KT, 이글루시큐리티, 아토스(Atos), 쌍용정보통신, 안랩, 아카마이, 한국통신인터넷기술이 참가했다. 국정원, 문체부, 과학기술정보통신부, 한국인터넷진흥원, 행안부, 사이버경찰청과 청와대 사이버안보비서관실도 공조체제를 꾸렸다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널