뉴스 트렌드 생활정보 International edition 매체

[은행-방송 전산망 사이버 테러]20일 이어 25일… 월급날이 위험하다

입력 | 2013-03-22 03:00:00

■ 금융-사회 혼란 커 2차공격 가능성




전산망 서버 복구 21일 오전 KBS 직원들이 해킹당한 전산망 서버를 복구하고 있다. KBS는 이날 보도와 편성 업무 관련 주요 서버를 비롯해 사내 주요 기간 전산망을 복구했다고 밝혔다. KBS제공

대형 정보보안사고가 터지면 정부와 함께 사고를 수습해 왔던 안랩, 하우리 등 보안업체들이 이번 전산망 마비사태에선 해명하느라 진땀을 흘렸다. 이 보안업체의 백신으로 위장한 악성코드가 방송사와 금융회사의 서버와 PC를 감염시켜 하드디스크를 손상시켰기 때문이다.

해당 보안업체들은 자신들이 해킹당한 게 아니고 방송사와 금융회사가 개별적으로 관리하는 업데이트 관리 서버의 문제라고 주장했다. 하지만 수많은 악성코드가 백신을 흉내 내 유포된다는 점에서 애초에 보안업체가 백신으로 위장한 악성코드를 잡아내지 못한 것이 문제라는 지적도 나온다.

○ 보안업체 책임론

안랩은 20일 인터넷 커뮤니티를 통해 자신들에게 책임이 있다는 지적이 나오자 언론의 취재를 거부한 채 대책회의에 들어갔다. 이 회사는 21일 오전 2시 35분에야 보도자료를 내 “안랩의 업데이트 서버가 해킹당한 게 아니라 기업 내부망에 설치된 자산관리 서버의 관리자 계정이 탈취당한 것으로 추정된다”고 밝혔다.

하지만 관리자 계정이 탈취당했다 해도 피해 기업 내부의 업데이트 관리 서버가 백신으로 위장한 악성코드를 배포하기 전에 진짜 백신인지 확인했어야 하는 과정이 부족했던 것은 사실이다. 이에 대해 안랩 측은 “‘무결성 검사’라고 불리는 과정을 통해 백신프로그램이 진짜인지 파악하게 마련인데 이번에는 이런 장치가 작동되지 않았다”며 “관리자 계정 탈취 또는 다른 문제가 있을 가능성 등을 면밀히 조사하고 있다”고 설명했다.

하우리 측도 정확한 사고 원인을 파악하기 위해 악성코드를 분석하고 보안시스템 전반을 점검하고 있다.

한편 영국 보안업체 소포스랩은 이날 자사의 블로그를 통해 “한국의 전산망 마비사태를 불러온 악성코드는 소포스의 백신프로그램을 통해 1년 전부터 검진되던 단순한 악성코드”라고 밝혔다. 또 이 악성코드는 안랩과 하우리의 백신 프로그램을 무력화하는 게 목적이었다고도 지적했다. 해외 업체의 백신이 1년 전부터 검진하던 악성코드를 국내 1, 2위의 백신업체 프로그램이 잡아내지 못한 셈이다.

이에 대해 안랩 측은 “과거 SK커뮤니케이션즈 해킹 사고 때에도 시만텍 보안솔루션이 잡지 못한 악성코드를 안랩의 ‘V3’가 잡아냈는데 이는 기술수준의 차이가 아니라 해커가 특정 보안시스템을 일부러 피하기 때문”이라며 “안랩과 하우리가 표적이 된 것이지 기술력이 부족한 것은 아니다”라고 설명했다.

○ 추가 피해 가능성은

이처럼 이번 사고의 배후에 있는 세력이 치밀한 준비를 해온 정황이 속속 드러나면서 앞으로 추가 피해가 우려된다. 무엇보다 당장 피해를 본 PC와 서버의 복구가 문제다. 외부 공격과 각종 장애에 대비해 특수하게 설계된 서버는 복구가 되겠지만 시간이 많이 걸린다. 정부 합동대응팀은 완전 복구에 4, 5일이 걸릴 것으로 보고 있다.

서버보다 훨씬 구조가 단순한 PC에서는 어쩔 수 없이 하드디스크를 포맷해야 하는 경우가 많을 것으로 보인다. 이번에 문제를 일으킨 악성코드가 단순히 하드디스크의 부트 영역만 지우는 게 아니라 운영체제(OS)에 따라 PC에 연결된 모든 하드디스크의 데이터를 지우기 때문이다. 그것도 복원이 어렵도록 단순 삭제가 아닌 의미 없는 데이터를 덮어씌우는 방식으로 하드디스크를 파괴해 복구가 어렵다는 게 보안업체의 설명이다.

또 다른 기업들이 피해를 볼 상황도 우려된다. 해커 출신인 한 인터넷업체 관계자는 “공무원 월급날인 20일, 그것도 오후 2시에 공격이 이뤄진 것은 그때가 은행 업무를 가장 많이 보는 시간이기 때문”이라며 “돈의 흐름을 지체시키면 사회적 파장이 큰데, 해커라면 대기업 월급날인 25일 오후를 2차 공격 시점으로 잡을 것”이라고 말했다.

○ 어떻게 대응하나

이런 추가 피해를 막으려면 기업의 전산관리자들이 보안수준을 높이는 게 급선무다. 정부 합동대응팀은 주요 기업과 기관에 “백신 업데이트 서버를 인터넷과 분리해 달라”고 부탁했다.

합동대응팀은 개인 사용자의 경우 지나치게 걱정할 필요는 없다고 설명했다. 이번 사고는 백신 업데이트를 하는 백신업체의 서버가 해킹당한 게 아니라 백신업체의 솔루션을 제공받아 관리하는 개별 기업의 관리 문제이기 때문이다.

그러나 만에 하나 관련 악성코드가 일반인에게 확산될 가능성에 대비해 전용 백신도 배포하기 시작했다. 이 백신은 한국인터넷진흥원(KISA)의 보호나라 홈페이지(www.boho.or.kr)에서 내려받을 수 있다. 또 백신을 실행하기 전 PC를 부팅할 때에는 PC의 시간정보 등을 저장하고 있는 CMOS에서 시계를 20일 오후 2시 이전으로 돌려 악성코드가 발동되는 걸 차단하라고 권했다. CMOS의 시간 설정을 바꾸려면 PC를 부팅할 때 제조사에 따라 키보드의 ‘DEL’ 또는 ‘F2’ 키를 누르고 있으면 된다.

김상훈·정호재 기자 sanhkim@donga.com

관련뉴스