[방송-은행 전산망 마비]해킹 막는 보안업체 백신을 해킹 경로로 활용

동아일보
입력 2013년 3월 21일 03시 00분

코멘트: 개

좋아요: 개

코멘트: 개

■ 악성코드, 백신프로그램으로 위장 전산망 침투

현금인출기 작동 중단 20일 오후 서울 중구 태평로 신한은행 본점 영업부에서 현금자동입출금기(ATM)를
이용하려던 고객이 작동이 중단된 것을 보고 다른 ATM을 살펴보고 있다. 이날 오후 신한은행과 NH농협은행 등 금융회사와
KBS, MBC, YTN 등 방송국의 전산망이 일제히 마비됐다. 김재명 기자 base@donga.com — **현금인출기 작동 중단** 20일 오후 서울 중구 태평로 신한은행 본점 영업부에서 현금자동입출금기(ATM)를 이용하려던 고객이 작동이 중단된 것을 보고 다른 ATM을 살펴보고 있다. 이날 오후 신한은행과 NH농협은행 등 금융회사와 KBS, MBC, YTN 등 방송국의 전산망이 일제히 마비됐다. 김재명 기자 base@donga.com

20일 방송사와 금융회사 전산망 마비 사태를 불러온 악성코드가 국내 정상급 정보보안 업체인 안랩과 하우리의 업데이트 서버를 활용한 것으로 확인돼 충격을 주고 있다. 고객의 정보보안을 책임져야 할 보안업체가 오히려 악성코드를 퍼뜨린 주요 경로가 된 사건이어서 후폭풍이 만만치 않을 것으로 전망된다.

정부 합동조사반 관계자는 “피해 기업에서 수집한 악성코드를 분석한 결과 안랩과 하우리의 서버에서 피해 기업의 업데이트 관리 서버를 거쳐 직원들의 PC로 악성코드가 유포된 것으로 확인됐다”고 밝혔다. 해커가 보안업체의 백신 업데이트 파일로 위장해 심은 악성코드가 피해 방송사와 금융회사에 유포됐다는 것이다.

하우리는 이날 오후 9시 “해커가 우리 시스템의 취약점을 이용해 악성코드를 유포한 것은 사실이다”고 인정했다. 안랩은 공식적으로 해킹을 당했는지 확인해주지 않았지만 이 회사 관계자는 “피해 업체에 납품한 백신 업데이트 관리 툴(tool)이 뚫렸다는 사실을 확인하고 오류를 수정했다”고 말했다.

그러나 보안업체들은 자사의 업데이트 패치를 통해 악성코드가 유통된 사실을 확인한 뒤에도 고객회사들에 이를 즉시 공지하지 않은 것으로 드러났다.

보안 전문가들에 따르면 악성코드는 정상적인 백신 프로그램의 파일명과 동일한 이름의 파일로 제작됐다. 이렇게 백신 프로그램으로 위장한 파일이 설치된 뒤 이날 오후 2시경 동시 실행되면서 전산망 마비 사태가 발생했다.

전문가들은 이번 해킹 공격이 전형적인 ‘지능형 지속 해킹(APT·Advanced Persistent Threat)’이라고 말한다. 이는 개인 해커가 아닌 범죄그룹이 특정 대상을 정해 그 취약점을 지속적으로 공격하는 해킹이다. APT 공격을 ‘사이버상의 간첩 혹은 첩보 활동’으로 규정하는 전문가도 있을 정도로 조직적이고 치밀한 작전이 선행돼야 가능하다.

이번 해킹이 국내 보안 전문업체와 기업들의 보안 행태까지 면밀하게 분석한 뒤 행동에 들어간 것으로 확인되면서 국내 보안시스템 전체의 재점검이 필요하다는 지적이 나온다. 이경호 고려대 정보보호대학원 교수는 “최고의 보안 수준을 갖춰야 할 보안업체의 백신 파일이 해커의 타깃이 됐다는 점에서 충격적인 사건”이라며 “형사 책임은 모르겠지만 민사 책임을 져야 할 수도 있다”고 말했다.

사건 초기에는 전산망 마비 피해를 입은 방송사들이 LG유플러스의 통신망을 공통으로 사용하고 있다는 점에서 이 통신사가 악성코드 유통 경로로 지목받기도 했다. 그러나 백신회사들이 악성코드의 유포 경유지라는 점이 밝혀져 LG유플러스도 피해자라는 사실이 확인됐다. LG유플러스가 중소기업들에 제공하는 업무용 소프트웨어 서비스 ‘온넷 21’은 이날 같은 시각 해커의 공격으로 마비됐다. LG유플러스는 피해 확산을 막기 위해 곧바로 서비스를 중단해 이 서비스를 이용하는 수백 개 중소기업도 업무에 차질을 빚었다.

악성코드의 유통경로는 확인됐지만 이번 사건을 주도한 세력의 실체는 여전히 베일에 가려 있다. 일각에서는 이번 해킹 공격의 대상이 방송사와 금융회사라는 점에 주목하며 2011년 4월 농협 전산망 장애, 지난해 6월 중앙일보 전산망 해킹 때와 마찬가지로 북한의 사이버 테러일 가능성이 높은 것으로 보고 있다.

손동식 윈스테크넷 침해사고대응센터장은 “해당 회사의 피해 컴퓨터에서 악성코드를 추출해 분석한 결과 코드를 작성한 스타일과 작동 방법으로 미뤄 볼 때 과거 북한의 공격방식과 흡사한 부분을 일부 찾았다”고 말했다. 이어 “이번 공격의 주체를 특정 세력으로 규정하려면 상당한 시일이 걸릴 수 있다”고 덧붙였다.

한편 이날 인터넷상에서는 해킹의 주모자를 자처하는 ‘후이즈(Whois) 팀’도 관심을 모았다. 해킹된 PC 화면이라며 인터넷에 떠돈 영상에는 해골 그림과 함께 ‘후이즈 팀이 해킹했다(Hacked by Whois team)’는 문구가 떠 있어 합동조사반은 실제로 이 팀이 악성코드를 심은 해커인지 파악에 나섰다.

악성코드 속에서 해커들의 추가 공격이 이어질 것을 시사하는 메시지도 발견됐다. 보안업체들이 PC를 손상시킨 악성코드를 분석한 결과 ‘PRINCEPS’와 ‘HASTATI’라는 문자열이 포함된 것으로 확인됐다. 두 낱말은 라틴어로 각각 ‘첫 번째’와 ‘군대의 선봉대’라는 의미다. 이에 따라 2, 3차 공격을 예고한 것 아니냐는 분석이 나왔다.

정호재·김용석·박창규 기자 demian@donga.com

#해킹경로 #악성코드