LG사이언스랜드

전체메뉴보기 검색 과학상자

3만2000대 PC 해킹, 어떻게 한거지? 목록

조회 : 783 | 2013-04-02

 

20일 오후 서울 중구 태평로 신한은행 본점 영업부에서 현금자동입출금기(ATM)를 이용하려던 고객이 작동이 중단된 것을 보고 다른 ATM을 살펴보고 있다. 이날 오후 신한은행과 농협 등 금융회사와 KBS, MBC, YTN 등 방송국의 전산망이 일제히 마비됐다. 동아일보 자료사진.

 

20일 오후 국내 방송사와 은행 등 주요기관에서 모두 3만 2000대에 달하는 컴퓨터가 무더기 해킹을 당하는 사태가 벌어졌다. 방송국에선 전산시스템이 마비돼 손으로 기사를 썼고, 은행에선 현금 거래가 중지됐다. 지금껏 유례가 없던 대규모 해킹사건이었다.

정부는 이번 ‘해킹’사건의 배후를 수사 중이다. 현재는 범인도, 범행 목적도 알 수 없는 상태다. 해커는 어떤 방법으로 이런 범죄를 저지른 것일까. 현재까지 밝혀진 사실을 통해 이번 해킹사건의 전말을 알아보자.

●의문 1. 대규모 해킹, 어떻게 가능했나

 
해커들은 ‘악성코드 심기’라는 기법을 자주 쓴다. 사용자의 컴퓨터에 컴퓨터 바이러스, 또는 그와 유사한 기능을 하는 조그만 프로그램을 몰래 깔아 두는 방법이다. 이런 프로그램을 이용해 컴퓨터 내부의 정보를 빼 내가거나 지우고, 오동작을 일으키게 만든다. 원격으로 원하는 일을 시키기도 한다.

이번 해킹사건도 악성코드 기법이 동원됐다. 해커들은 대담하게도 이런 악성코드를 막아주는 ‘백신 프로그램’을 노렸다. 국내 백신제작 기업 ‘안 랩’이 만든 ‘V3’, ‘하우리’가 만든 ‘바이로봇’ 등에 악성코드를 실어 공격하려던 기관에 있는 컴퓨터들을 무더기로 감염시켰다.

그렇다면 이런 악성코드를 어떻게 백신 프로그램을 실어 보냈을까. 해커는 ‘PMS(Patch Management System) 서버’를 노렸다. PMS 서버란 기업이나 공공기관에 설치하는 중대형 컴퓨터다. 항상 켜져 있으면서 업데이트가 필요한 프로그램이 발견되면 즉시 최신버전으로 바꿔주는 일을 한다.

직원들이 백신 프로그램을 자주 업데이트 하지 않아 악성코드에 노출되는 것을 예방하려고 만들어 둔 업데이트용 전용 서버다. 모든 직원이 회사에 가서 컴퓨터를 켜기만 하면 자동으로 백신을 업데이트 해 주는 편리한 기능을 제공한다. 해커는 이런 PMS 서버를 먼저 해킹한 다음, 백신 프로그램이 자동 업그레이드 될 때 회사 내의 모든 컴퓨터를 자동으로 감염시켰다.

●의문 2. 디도스 공격과는 어떻게 다를까

일부에선 이번 해킹 공격과 과거에 화제가 됐던 ‘디도스 공격’을 혼돈하는 경우가 있다. 과거 북한은 청와대와 국정원, 농협 등을 디도스 공격으로 마비시킨 적이 있으니 이번도 같은 공격이 아니냐는 우려다.

두 가지 방법은 전혀 접근방법이 다르다. 디도스 공격은 일반인들이 쓰고 있는 수많은 컴퓨터를 e메일 첨부파일, 인터넷 게시판 무료 등록 프로그램 등으로 먼저 감염시킨다. 이런 많은 컴퓨터를 이용해 하나의 홈페이지를 동시에 공격한다.

컴퓨터 사용자는 감염사실을 모르고 컴퓨터를 사용하게 되고, 이 때 컴퓨터는 해커의 명령에 따라 마치 좀비처럼 특정 홈페이지를 초당 수 백∼수 천 번씩 방문한다. 사용자는 컴퓨터가 느려지는 것 이외엔 별다른 증상을 느끼지 못하지만 이런 컴퓨터가 수천, 수만 대 이상 한꺼번에 달려들면 홈페이지는 계속되는 접속 요청을 견디지 못하고 마비되는 것이다.

이에 비해 이번 해킹은 악성코드를 이용해 기관 내부에 있는 컴퓨터를 직접 감염시켰다. 홈페이지 하나만 다운 시키는게 아니라 기업 내에 있는 컴퓨터를 대부분 고장내 큰 피해를 입혔다.

●의문 3. 피해 입은 컴퓨터 복구는 가능한가


전산망 서버 복구 21일 오전 KBS 직원들이 해킹당한 전산망 서버를 복구하고 있다. KBS 제공
 
컴퓨터는 처음에 시작할 때 하드디스크 맨 안쪽에 있는 ‘MBR(master boot record)’이라는 영역에서 초기 정보를 읽어 온다. 흔히 ‘부팅한다’고 할 때 컴퓨터 시동에 꼭 필요한 정보를 여기서 뽑아 오는 것이다. 하지만 해커가 악성코드를 이용해 이 부분을 삭제해 버리면 이 컴퓨터는 다시 켜지지 않는다. 전원은 들어오지만 윈도우 같은 운영체제가 시작을 하질 못하니 컴퓨터를 쓸 수 없게 된다.

MBR이 손상됐다 해도 경우에 따라 업무파일 등은 살려낼 수 있다. CD 등으로 컴퓨터를 일단 시동시키거나, 하드디스크를 떼어 다른 컴퓨터에 보조 하드디스크로 연결하면 저장해둔 업무파일 등을 그대로 복사해 낼 수 있는 경우도 있다.

하지만 이번 해킹은 하드디스크(내부 저장장치)까지 파괴하는 강력한 악성코드를 동원했기 때문에 복구가 어려워 보인다. 물론 전문적으로 데이터를 살려내는 전문업체에 맡기면 복구할 가능성은 남아 있다. 이런 곳에선 특수 프로그램을 이용해 파티션정보를 추정하고 복구하기 때문에 일부 정보를 살릴 수도 있다. 다만 수일 이상 시간이 걸린다.

보안전문업체인 하우리 측은 이번 해킹사건에 대해 “MBR은 물론 하드디스크 내에 정보를 보관하는 기본 구역(파티션 정보)도 모조리 지워진 것 같다”며 “이 정보는 한 번 지워지면 되살리기 어렵기 때문에 복구가 상대적으로 어렵다”고 밝혔다.

●의문 4. 누구의 소행일까?

보안업체들은 이번 해킹을 ‘APT(지능형 지속 위협)’ 방식으로 구분하고 있다. APT는 특정 시간에 한꺼번에 실행시켜 중요기관의 컴퓨터를 한꺼번에 공격하는 방식이다. 해커는 이번 범행을 위해 이미 오래전부터 악성코드를 심어 두고 ‘기다리고’ 있었다는 의미다. 기관 내부에 있는 컴퓨터 대부분이 악성코드에 감염될 때 까지 기다렸다가, 어느 순간 한꺼번에 실행시켜 대단위 컴퓨터 고장을 노린 것이다.

피해 기관 중에는 국내 은행인 ‘농협’도 포함돼 있다. 농협 컴퓨터에 남아 있던 해커의 인터넷 주소(IP)가 중국인 ‘101.106.25.105’를 경유한 것으로 확인되면서 북한 배후설이 힘을 얻었다. 북한은 앞서 2009년 7월 7일과 2011년 3월 4일 디도스(DDoS·분산서비스 거부) 공격 당시도 중국에 있는 IP주소를 사용했기 때문이다.

그러나 이 IP는 농협 네트워크 관리자가 임의로 만든, 전산망 내부용 사설IP 기록이라는게 확인되면서 사태는 다시 오리무중에 빠졌다. 방통위는 “농협 내부 직원이 중국IP와 동일한 숫자로 이뤄진 사설IP를 만들어 사용하고 있었는데 대응팀이 이 사설IP를 발견하고 중국IP로 오인했다”고 밝혔다. 이 말은 결국 해커가 농협 내부에 있는 컴퓨터에 접속해 들어온 다음 범죄를 저질렀다는 말이다.

만약 중국 IP가 맞다고 해도, 이것이 북한이 배후세력이라는 확실한 증거는 될 수 없다. 능숙한 해커라면 IP를 해외에 있는 컴퓨터를 원격으로 조작해 범죄를 일으킬 수도 있기 때문이다.

예를 들어 북한에 있는 해커가 미국에 있는 컴퓨터를 원격으로 조작해 범죄를 일으키면, 피해를 입은 컴퓨터에는 미국 IP만 남는다. 이럴 경우 다시 미국 컴퓨터의 기록을 조사해 새롭게 추적에 들어가야 한다.

해커들은 이런 해외 위장전술을 몇 단계씩 거치는 경우가 많다. 이번에도 해외 여러나라를 차례로 거쳐 은행, 방송사 전산망 내부 컴퓨터로 들어온 다음 최종적으로 실행 명령을 내린 것으로 보인다. 이런 단계를 모두 되짚어 올라가며 조사하면서 많은 시간과 인력, 그리고 외국 기관의 협조가 필요하다.

●의문 5. 추가공격 가능성은 있나

해커의 추가공격은 언제라도 가능하다. 의도적으로 공격을 하는 이상 재발 여부는 해커에게 달려있기 때문이다. 특히 최근 해킹수법은 네트워크의 시스템의 빈틈을 노리기 때문에 언제라도 위험에 노출될 수 있다.

지금까지 이런 대단위 해킹공격은 은행, 언론기관, 공공기관 등을 노렸다. 대학이나 정부출연연구기관을 노릴 확률도 배재하기 어렵다. 한국과학기술정보연구원(KISTI) 과학기술정보보호실에 따르면 정부출연연구기관 서버를 대상으로 한 해킹시도 건수는 한해 평균 2000건 이상으로 집계되고 있다. 사소한 시도이고 대부분 방화벽에 가로 막혀 아직 실제로 피해를 입은 사례는 없지만 안심할 수는 없는 상황이다. 중요한 국가연구과제가 들어 있는 컴퓨터가 해킹으로 고장 나거나, 외국으로 정보가 넘어간다면 그 피해는 상상하기 어렵다.

정부 합동대응팀은 “먼저 기업과 공공기관의 보안수준을 높이는게 중요하다”며 “일단 비슷한 수법의 해킹이 또 일어나는 것을 막기 위해 먼저 배포되고 있는 전용 백신을 이용해 점검하고, PMS 서버를 인터넷과 분리해 관리해 달라”고 당부했다.

전승민 기자 enhanced@donga.com 
주제!
관련주제가 없습니다.
관련단원 보기
관련 콘텐츠가 없습니다.
사진올리기 바로가기