“전산 마비 원인은 관리자 계정 탈취”

2013년 3월20일 오후 2시께, 국내 지방파 방송국3사와 신한은행과 농협을 비롯한 금융권, LG유플러스 직원들 컴퓨터 전원이 일제히 꺼졌다. ‘재부팅 하라’는 메시지와 함께 원인 모르게 종료되는 컴퓨터 앞에서 직원들은 속수무책으로 당했다. 방송국은 손으로 대본을 쓰며 방송하기 시작했고, 금융권은 사내 전산망 복구에 심혈을 기울였다. 보안 전문가가 아니더라도 의도된 공격이라는 걸 알 수 있었다. 한날 동시에 이들 기업의 웹페이지 접속 장애가 발생하고, PC부팅 장애가 발생하는 건 우연이 아닐테니 말이다.

방송통신위원회는 “언론·금융 6개사의 PC·서버 3만2천여대가 피해를 당한 것으로 파악하고 있으며 ‘민·관·군 사이버위협 합동대응팀’을 중심으로 원인 분석과 피해 확산 차단에 주력하겠다”라며 “악성코드 분석과 피해PC 복구를 통해 침입 경로 및 공격 기법 등 해커 실체 규명에 주력하고 있으며, 완전 정상화에 최소 4~5일 소요될 것으로 예상되고 있다”라고 발표했다.

누가, 왜?

사건 발생 직후 제로데이 공격, ‘후이즈’라는 해커 집단의 공격, 북한발 사이버 공격 등 각종 추측이 쏟아져 나왔다. 사고를 당한 기업들이 사용하는 IDC의 네트워크 장애문제라는 얘기도 나왔다. LG유플러스는 “인터넷이 안되는 게 아니라 갑자기 PC를 부팅하라는 이야기가 나와 재부팅 하면 재부팅이 안되는 상황이 문제”라며 “네트워크 장애 문제가 아니고 악성코드에 감염된 것으로 추측된다”라고 발표했다.

실제로 그 뒤에 해킹당한 LG유플러스 사내 전산망 HTML 코드에 ‘후이즈’라는 해커 그룹이 남긴 메시지가 트윗으로 나돌며, 해외 해커 그룹의 악성코드를 유포했다는 설에 힘이 실리는 듯했다. 실제로 보안업계는 이번 공격이 직장 내 개인 PC가 악성코드에 감염돼 발생한 사건이라고 입을 모았다. 다만 ‘후이즈’라는 해커 그룹의 공격이 아닌 정체 모를 존재에 의한 공격이라는 얘기가 나오기 시작했다. 다시 북한에 의한 사이버 공격이 아닌가 하는 주장이 제기됐지만, 이를 뒷받침할 수 있는 증거는 아직 나오지 않았다.

한국인터넷진흥원은 “현재 확인된 피해 유형으로 웹페이지 접속 장애, 내부 시스템 파괴, PC 부팅 장애 등이 수집됐다”라며 “악성코드에 사내 PC들이 감염돼 발생한 사건으로 보인다”라고 밝혔다. 김도건 라드웨어코리아 대표는 “이번 공격은 악성코드를 개인 PC에 감염시켜 수행한 것으로, 대응 방안이 발표되기 전 취약점을 노린 대표적인 제로데이 공격”이라며 “대다수 기업의 보안 솔루션과 전략이 마치 두더지 잡기 게임과 같이 새롭게 등장한 공격에 임시방편으로 대응하는 데 그친 결과”라고 말했다.

결국 누가, 어떠한 목적으로 언론과 금융사 전산망을 마비시킨지는 모른 채 정부는 방송통신위원회는 3월20일 방송통신위원회, 행정안전부, 국방부, 국가정보원 등 10개 부처 담당관 참석 아래 ‘사이버위기 평가회의’를 개최했다. 그 뒤 사이버위기 경보단계 3단계에 해당하는 ‘주의’를 발령하고 원인 조사에 나섰다.

어떻게 당한 건가

이번 전산망 장애로 가장 구설수에 오른 건 안랩과 하우리다. 공격당한 기업 대부분이 안랩과 하우리의 자산관리서버를 이용하고 있는 것으로 알려졌기 때문이다. 자산관리서버는 기업 내부에서 사용하고 있는 소프트웨어가 최신 상태로 유지되도록 관리해주는 서버다.

하우리는 20일 보도자료를 내고 “방송사와 금융사 내부망에 설치된 자산관리서버(업데이트 관리 서버)를 통해 PC에 악성코드가 이용된 것으로 확인됐다”라며 “악의적인 목적을 가진 해커가 집중적으로 자산관리서버의 관리자 계정을 탈취한 것으로 추정된다”라고 발표했다. 이어 하우리는 “해당 악성코드는에 감염되면 시스템 부팅시 로드되는 마스터 부트 레코드(MBR)와 드라이브 파티션 정보를 악성코드가 변조하고 파괴해 하드디스크가 손상된 것”이라며 “바이로봇 2013-03-20.02 이상 버전에서 검사와 치료가 가능하다”라고 덧붙였다.

안랩 역시 3월21일 새벽 2시 보도자료를 통해 “SK브로드밴드나 KT, LGU+같은 외부 망의 IDC에 있는 업데이트 서버가 해킹당한 것이 아닌, APC서버(안랩의 자산관리서버를 지칭)의 관라자 계정이 탈취된 것으로 보인다”라고 밝혔다. 일단 계정 정보가 유출되면 이를 악용해 정상적으로 서버에 드나들 수 있어 이같은 공격이 발생할 수 있단 얘기다.

안랩은 “만약 관리자 계정이 탈취되었다면 정상적인 권한에 의한 접근이어서 취약점이 없는 대부분의 소프트웨어가 악용될 수밖에 없다”라며 “3월20일 오후 6시40분부터 악성코드 진단 치료용 전용백신을 제공하는 한편, 시큐리티대응센터(ASEC)와 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동중”이라고 말했다.

안랩과 하우리는 비롯한 보안업체 주장을 요약하면 이렇다. 자기네 보안 솔루션 문제가 아니라, 해당 기업 서버 관리자 계정이 탈취돼 문제가 생겼다는 얘기다. 자사 솔루션의 보안 취약점을 노린 공격이라면 같은 솔루션을 사용하는 다른 기업도 추가적인 문제 상황에 노출될 수 있지만, 이번 공격은 특정 기업을 노리고 발생한 공격이라는 게 이들 주장의 근거다.

특히 이번 공격에 쓰인 악성코드의 특징은 2013년 3월20일 14시가 넘어가면 코드를 실행하게 돼 있고, 그 이전에는 절대로 악성코드를 실행하지 않는다는 명령어가 숨어 있는 것으로 알려졌다. 이전까지는 잠복해 있다가 특정 시점 이후로 일제히 공격 명령어가 떨어진 것으로 보아 사전에 해당 기관들이 관리자 계정이 유출된 게 아니냐는 목소리가 높다.

하지만 계정 탈취가 아닐 가능성도 남아 있다. 안랩은 “현재 중간조사 로그 분석 결과 계정탈취 흔적이 엿보여 이 가능성이 가장 높을 뿐 100% 계정 탈취에 의해 이번 사고가 발생한 것으로 확신할 수 없다”라고 일단 다른 가능성을 열어둔 상태다.