• [재태크/금융] 업데이트 서버 통해 악성코드 유포… “최소 2~3년 준비된 공격”

    이 게시글을 알리기 tweet

  • 글쓴이 : 자료제공 : 경향신문 [http://www.khan.co.kr]
  • 13.03.21 14:02:28
  • 조회: 544

 

ㆍ[방송·금융 전산망 동시 마비]어떤 방식 동원됐나

 

20일 방송·금융사의 전산망 마비는 외부 해커에 의해 장기간 준비된 사이버 테러일 가능성이 높다. 정부 1차 조사결과와 전문가 분석 등을 종합하면 최소 2~3년 전부터 통신사인 LG유플러스를 바이러스 감염 ‘숙주’로 삼아 방송사 등으로 공격 대상을 넓힌 것으로 파악됐다.

정부합동조사에 참여한 한 인사는 이날 경향신문과의 통화에서 “LG유플러스가 먼저 해킹당했고, 이 회사가 네트워크 망을 제공한 방송사들과 은행이 악성코드에 감염된 것으로 분석됐다”며 “방송·금융기관이 직원들에게 자동으로 배포하는 각종 업데이트 프로그램 등을 통해 전체 PC 감염으로 이어졌다”고 밝혔다.

해커들은 왜 통신사부터 해킹했으며, 어떻게 삼엄한 보안을 뚫을 수 있었을까. 전문가들은 이 같은 경로와 보안회피 기술은 해킹의 기본 중 하나라고 설명한다.


통신사 네트워크 감염시켜
기관 공격 위한 숙주로 삼아
“언론사 공격은 선전포고”

 

한국정보기술연구원에서 차세대 보안리더(BOB) 교육을 맡은 해킹·보안 전문가 심준보 멘토는 “2~3년 전부터 주요 기관에 대한 해킹 공격을 준비해온 것으로 보인다”며 “주요 기관들의 네트워크를 장악한 뒤 기다리다 이날을 공격 개시일로 삼았을 가능성이 높다”고 말했다.

방송사 3곳과 은행 2곳 등을 동시에 공격하려면 회사별 특성 등을 파악하기가 쉽지 않다. 회사 한 곳의 네트워크 보안 특징 등을 파악하는 데만 6개월 이상 걸리기 때문이다. 전문가들은 통상 이 정도의 사이버 테러를 계획한다면 인터넷망을 제공하는 업체를 노리는 게 기본이라고 설명했다. 인터넷망 제공 업체일 경우 이곳만 장악해도 서비스 사용기관 등도 손쉽게 공격할 수 있다는 것이다.

그러나 통신사도 외부에 노출되지 않는 내부 전산 네트워크에 핵심 서버를 둔다. 또 백신 프로그램 등도 갖추고 있다.

심 멘토는 “내부 네트워크에 침투하기 위해서는 우선 LG유플러스 고객센터 등을 접촉하는 수법을 썼을 가능성이 높다”고 했다. 서비스에 불만을 제기하며 “고장현황 등을 e메일로 보낼 테니 열어보라”는 식으로 접근한다는 것이다. 고객상담을 가장해 내부 직원이 사내 인트라넷 e메일함 등을 사용하도록 하는 방식이다.

e메일을 열면 즉각 악성코드가 깔리고 이 통신사의 e메일 관련 네트워크는 해커에게 장악된다. 이 네트워크를 사용하는 고객센터 전 직원들의 사이버 업무가 해커의 손 안에 들어오고, 결국 추후 전산실 컴퓨터에 접속하는 직원 등을 통해 차츰차츰 통신사 내부를 한 손에 넣을 수 있다는 설명인 셈이다. 물론 백신 프로그램 등의 보안검색은 피할 수 있는 신종 악성코드를 심어야 하지만 이는 고난도 해킹기술은 아니라는 게 전문가들의 설명이다.

이렇게 되면 LG유플러스의 네트워크 서비스를 사용하는 KBS와 YTN, 신한은행, 농협까지 해커의 손 안에 들어온다. 중앙서버가 악성코드에 감염되는 것이다. 이 악성코드는 회사가 전 직원에게 내려보내는 업그레이드 패치 등을 통해 기관 전체에 전파된다. MBC도 방송용 네트워크로 LG유플러스 망을 사용하고 있다.

심 멘토는 “해커가 작심하고 덤벼들면 보안팀이 있어도 막기 어렵다”며 “공격자가 100% 승리하는 게임”이라고 했다.

박희준 이글루 시큐리티 마케팅팀장은 2차 공격 가능성을 우려했다. 박 팀장은 “이런 공격은 대개 한 번에 끝나지 않는다”며 “장기간에 걸쳐 악성코드를 심어놓은 기관들이 또 있을 수 있다”고 말했다. 그는 “언론사를 공격한 것도 전시효과를 높이기 위한 것으로 보이며, 이는 일종의 선전포고인 셈”이라고 덧붙였다.

 

  • 이글은 실명인증이 완료된 회원이 작성한 글입니다.
  • 목록으로
  • tweet tweet
  • 등록된 댓글이 없습니다.
글쓴이
로그인