1. 개요
2013년 3월 20일 문화방송, 한국방송공사, YTN 등 주요 방송사와 은행, 카드 회사 등의 전산망이 마비되었던 사건.2. 상세
2013년 3월 20일 오후 2시 10분경부터 주요 방송사들의 컴퓨터가 일제히 작동을 멈췄다. 직원들의 PC는 정상작동중에 재시작이 필요하다는 안내로 재부팅을 요구하거나 갑자기 재시작되었는데 이후에 부팅이 안되고 작동을 멈춘 채 재부팅하라는 메세지만을 띄우고있는 막장 상황이다.[1] 여러 보도 등을 볼 때 공격의 징조가 보이기 시작한 시각은 좀 더 이른 시각으로 보인다. 오묘하게도 모두 공기업이거나 공기업과 관련된 곳이었고 이 사태를 비껴간 SBS는 SBS 8 뉴스를 통해 자사에 대한 공격을 방어한 것인지, 아니면 아예 공격 자체가 없었는지를 알아보고 있다고 밝혔다.비슷한 시간 NH농협은행, 신한은행 서버에도 문제가 생기기 시작했고 얼마 지나지 않아 신한은행 모든 전산이 마비되면서 창구거래, ATM 거래가 모두 중단되었다. 신한은행에 계좌를 둔 체크카드[2]들의 결제도 당연히 멈췄으며 신한은행의 계열사인 제주은행도 당연히 모든 거래가 멈췄다. 농협도 같은 시점에 외부공격에 의한 전산이상을 포착하고 초기단계에 내부 전산망을 직접 차단시키고 모든 거래를 중지시켜서 일부 회원농협의 장애를 제외하면 거래는 정상적으로 이루어졌다. 우리은행은 악성코드 공격이 아닌 DDoS 공격을 받았으나 내부보안망으로 방어해냈다. 한편 동종업계의 소식을 들은 외환은행 등 타 금융사들도 내부점검과 긴급거래중지 등의 대응을 취했고 농협손해보험 및 농협생명보험의 일부 데이터도 삭제된 것으로 알려졌다. 다만 인터넷 거래는 모든 은행에서 별 탈 없이 이루졌다고 한다.
동시에 LG유플러스의 그룹웨어도 해킹당했다는 사실이 알려졌다. 그룹웨어는 보통 내부 인트라넷으로만 연결되므로 외부 해킹에 의해 장악당한 컴퓨터를 통한 2차 해킹이라는 것이 중론이었다. 문제는 해킹당한 3사가 LG유플러스의 통신망을 이용하고 있었다는 것이 알려지면서 LG유플러스가 해킹당하고 이를 토대로 방송사/은행망 해킹 공격이 이루어진 게 아니냐는 의문이 제기되었다는 점이다.
이런 현상들이 동시다발적으로 이루어졌다는 점에서 고의적인 공격 가능성은 거의 확실시되었다. 경찰은 주요 피해기업에 조사인력을 파견했고 군도 정보작전방호태세를 3단계로 격상하여 상황을 예의주시하였다.
특이하게도 이 공격은 디도스 공격이 아니라 악성코드를 통해 이루어진 것으로 추정되었다. # 보안업체 등에서는 사건 전 주부터 MBC.EXE KBS.EXE라는 파일이 돌아다녔다고 밝혔으며 이러한 것이 계획된 고의 공격의 증거인 것으로 보인다.
또 디도스 공격은 아니지만 좀비 PC의 말로처럼 피해 PC들에게 자살 명령을 내리는 코드가 숨겨진 것으로 알려지면서 졸지에 업무가 마비된데다 자료까지 날아가게 생긴 방송사와 주요 기업들은 멘붕에 빠졌다. # #
3. 누구의 소행인가?
최대한 객관적인 자료와 중립적인 자세에서 그동안 판명된 사실을 중심으로 집필할 필요가 있다.3.1. 북한 사이버 공격설
북한과의 관련성은 밝혀지지 않았으나 외신들의 반응도 그렇고 대체적인 여론은 역시 북한의 소행일 것으로 추측했다. 물론 아직은 심증의 단계였다. 3월 21일 해킹파일이 중국 인터넷망을 통해서 유입된 것으로 밝혀졌다. 따라서 주로 중국 인터넷망으로 해외 인터넷 활동을 하는 북한의 소행일 정황적 가능성이라는 분석이 좀 더 탄력을 얻었다.하지만 다음날인 3월 22일, 전날 방통위에서 중국발 IP라고 발표했던 IP가 중국 IP가 아닌 농협 내부망에서 사용하는 IP였다는 내용을 발표했다. 방통위 발표 중국 IP로 오인한 것은 국제인터넷주소관리기구(ICANN)가 중국에 할당한 IP와 일치하였기 때문이었는데 이를 제대로 확인하지 않고 성급하게 발표하는 바람에 혼선을 주었다.
다만 방통위는 누가 저 IP에서 최초로 퍼뜨렸는지 알 수 없다면서 여운을 남겨 놨으므로 북한배후설이 완전히 구라로 끝난 것이라고 볼 수는 없었다.
4월 1일 KBS 뉴스광장 보도에서 북한의 해커들과 관련된 증거가 발견되었다고 보도했다. 관련기사
복층 아파트에서 1층은 쓰지 않고 2층 다락방에 틀어박혀서 한 달간 컴퓨터 작업을 벌였다고. 그동안 쓰인 컴퓨터는 최소 다섯 대 이상이라고 한다.
3.2. "Whois" 해커 집단 공격 설
WHOIS라는 해킹 그룹에서 자신들의 소행이라고 주장하였다. #사태 발생일과 동일한 날 감염된 컴퓨터의 부팅영역 부분이 특정한 16진수의 반복으로 덮어쓰여져 있는데 이 헥스코드를 알파벳으로 변환하면 HASTATI라는 문자열이 나온다. 그외 에도 PRINCPES(프린시페스)라는 문자열이 발견되었는데 하스타티와 프린시페스는 다름아닌 로마군의 1선 대열, 2선 대열을 의미해서 이게 분석된 시점에서 추가 공격이 있을 거라는 심증을 남겼다. #
제3국[3]일 가능성도 있지만 물론 아직은 심증의 단계였다. 둘 다 어디까지나 가설이고 정확한 결과는 나오지 않았다.
다음날인 3월 21일, 이번에 피해를 본 6개 기관의 컴퓨터에서 모두 후이즈 팀의 이름이 들어간 악성 코드가 발견되었다는 보도가 나왔다. 이 보도가 사실이라면 일단 일차적 범인은 후이즈 팀이 확실한 것 같고 남은 것은 후이즈 팀의 정체가 무엇인지, 그리고 북한과의 연계가 있는지를 밝히는 것이 급선무라고 한다.
4. 정부의 발표
4월 10일, 정부는 이 사태가 북한 정찰총국의 소행이라고 발표하였다. # 북한이 2월 악성코드를 직접 심은 것이라고 한다. 정부는 2월 하순 북한측이 우회 접속 경로로 피해 업체에 악성코드를 심은 사실을 파악했다고 한다. 후이즈 팀은 북한의 소속은 아니지만 북한의 청부를 받고 이런 일을 했을 가능성이 있거나 아예 후이즈로 위장하여 악성코드를 심은 것일 수도 있다.5. 이후의 대처
5.1. 책임 공방
서로의 책임을 묻기 위해 자산관리 서버가 보안업체의 기술적 문제로 털렸다 VS 기업이 관리하는 '서버 계정' 관리를 허술하게 했다는 의견이 팽팽히 대립하고 있었으나 4월 9일 mbc의 보도에 의하면 소프트 포럼(Softforum)[4]이라는 제3자가 튀어나왔다. 드라마 유령에서의 사건이 실제로 일어난 것이다.
사건 발생으로부터 하루가 지나면서 방송통신위원회에서는 업데이트 서버를 통한 악성코드 유포를 원인으로 지목했다. # 이로 인해 공격당한 회사가 보안을 맡긴 업체 하우리, 안랩의 업데이트 서버가 통로가 되었다는 보도가 이루어졌다. # 하지만 해당 업체들에서는 업데이트 서버 해킹이 아닌 해당 악성코드가 백신 프로그램의 구성모듈로 위장해서 들어갔다고 밝혔다. #[5]
그러나 기사 내용이 심히 부실하다. 당장 어떤 업데이트 서버가 털렸는지 명확히 밝히지 않았다. 만일 기업뿐만 아니라 인터넷 상에 연결된 모든 클라이언트의 업데이트를 담당하는 안랩이나 하우리 마스터 서버가 털렸다면 V3나 바이로봇 제품군을 이용하는 모든 시스템[6]이 피해를 입는 범국가적 재앙이 일어났을 터이므로[7] 마스터 서버가 털렸을 가능성은 굉장히 희박하다.
그리고 방송통신위원회, 경찰청, 한국인터넷진흥원 등으로 구성된 민·관·군 합동대응팀은 21일 브리핑에서 농협시스템을 분석한 결과 내부에서 사용 중인 IP(101.106.25.105)가 백신 소프트웨어(SW)배포 관리 서버 (자산관리 서버, Policy Server)에 접속, 악성파일을 배포했음을 확인했다고 발표했다.
기업같이 인터넷과 단절된 대규모 폐쇄 네트워크가 있는 경우 자산관리 서버를 지정해서 해당 서버가 특정 포트를 이용해 메인 업데이트 서버와 연결되어 업데이트 파일을 받아온 뒤 각 클라이언트 PC로 배포한다.[8] 이 사건은 해당 서버를 해킹해서 관리자 권한을 탈취했거나 농협 전산 사고처럼 서버를 조작하는 컴퓨터에서 관리자 계정을 탈취한 뒤 자신들이 만들어 놓은 악성코드를 업데이트 파일명과 동일하게 이름을 만들어 바꿔치기해 뿌리도록 한 것이다.
공격 수법은 사건 발생일 이전까지 정상파일로 위장한 악성코드가 백신의 구성모듈으로 위장해서 방송사와 금융회사로 침투해서 대기타고 있다가 사건 발생일에 명령을 받아 전산망 마비를 일으키고 마스터 부트 영역(MBR) 파괴, 드라이브 파티션 정보 파괴의 증상을 발생시킨 지능형지속공격(APT)으로 보인다. 확실한 공격을 위해 각 기업마다 다른 악성 코드를 유포하여 사용한 것도 확인되었다. #
무결점 검사를 하지 않아서 이런 사태가 벌어졌다는 의견이 있었지만 무결점 검사는 클라이언트에서 위변조가 발생하면 서버의 자료를 가지고 하는 것이다. 일단 자산관리서버의 관리자 권한이 탈취되어 패치관리시스템이 위조되어 버리면 안랩 마스터 서버와 직접 연결할 수 없는 기업 내의 시스템은 무결점 검사로는 답이 없다.
보안업체의 해명에 따르면 "해당 기업에서 관리하는 자산관리 서버(혹은 업데이트관리서버 - PMS) 관리자 계정이 탈취당했고 자산관리 서버는 보안솔루션 서비스를 받는 기업 내에 있으니 우리 책임이 아니다" 라고 했다. 이와 별개로 합동조사팀은 해당 서버가 보안 업체에서 구축한 시스템 상의 허점 때문에 뚫린 것이 아닌지 조사하였다.
MBR을 삭제 시도하려는 의심행위 동작을 감지할 수만 있었다면 이 사태까지 이어지진 않았을 것이라는 점에서 아쉽긴 하다로 끝날 줄 알았으나...
4월 9일 mbc 보도에 의하면 소프트포럼의 업데이트 서버의 관리자 계정이 탈취당해 악성코드가 삽입되었다. 이 말은 인터넷뱅킹, 전자상거래, 민원업무를 한 번이라도 했다면 백도어가 설치되어 있다는 것이다.[9] 국가정보원 주재로 민관 긴급대책회의를 열고 제큐어웹 대처 방안 등을 논의할 예정이었을 정도로 사태는 심각했다. 2013년 6월 KISA에서는 제큐어웹의 보안취약점으로 인해 원격실행, 좀비pc에 악용될수 있다고 경고했다. 게다가 "해당 취약점을 악용한 침해사고가 발생하고 있어, 적극적인 대처 필요" 라고 한다. KISA 제큐어웹 취약점 공지
5.2. 기타
- 이 사태로 지연된 업무를 처리하기 위해 농협은행과 신한은행 등은 업무시간을 각각 17시, 18시 등으로 연장하였다.
- 2013년 3월 21일 1시 8분 기준 iMBC.com과 YTN.co.kr은 복구되었지만 KBS.co.kr은 불통이었다. 계속 공격을 받아서 마비 상태인 게 아니고 KBS 측에서 웹서버를 막아뒀기 때문이다.
- KBS는 PC스크린에 대본을 띄우질 못해 DJ 옆에 작가들이 붙어앉아 실시간으로 대본을 써서 방송했다고 한다.
-
2013년 3월 20일
YTN의 전산망 마비로 정상적인
TPEG 정보 송출을 하지 못하여 YTN TPEG을 사용하던
파인드라이브 일부 제품에서 문제가 발생하였다. 정상적이지 못한 데이터를 수신하여 DMBD.EXE 오류 및 제품이 멈추는 등의 여러 문제가 발생한 것이다. 그리고 다음날인 21일 파인드라이브는 YTN TPEG 서비스를 YTN이 정상화될 때까지 일시 중단시켰다. 3월 22일 오전 5시 30분부터 YTN TPEG이 복구되어 CTT, CTT-sum, RTM은 정상 송출되었지만
www.4drive.co.kr은 아직 접속이 불가능하다.3월 29일 드디어 4drive 사이트로 접속이 가능해졌다. 그리고 TPEG은 뉴스를 제외한 나머지 기능들이 정상화되었다고 한다.
- MBC경남은 당시 KIA 타이거즈와 NC 다이노스의 마산 홈 프로야구 시범경기를 자체 TV 중계중이었으나 서울 본사에서 전산망 마비사태로 뉴스특보가 방송되면서 8회초에서 중계를 종료하고 뉴스특보로 연결했다.
[1]
마스터 부트 레코드, MBR이 파괴된 것으로 보인다.
[2]
신한카드,
삼성카드,
롯데카드
[3]
("whois")의 화면으로 쓰인 해골 사진 템플릿은 과거 유럽 등의 외국 해커들도 썼다.
[4]
보안 프로그램 제조회사이다. Xecureweb이라는 프로그램을 한 번쯤은 들어보았을 것이다.
[5]
MBC와 신한은행, 농협이 안랩의 보안 솔루션인 V3를 이용하고 있으며 KBS와 YTN은 하우리의 바이로봇을 이용하는 것으로 확인되었다.
[6]
대한민국의 상당수의 공공기관과 기업들이 안랩과 하우리의 솔루션을 이용하는데 이는 한국 업체라는 점이 크다.
[7]
사실은 업데이트에 인증서 확인 과정이 있으므로 바이러스는 설치되지 않는다. 이를 무력화시킬 방법이 있다면 또 몰라도.
[8]
인터넷 말고도 악성코드가 유포되는 경로는 매우 많기 때문에 폐쇄 네트워크에 물려있는 시스템이라도 백신은 필요하다.
[9]
'xecureweb(제큐어웹)' 엑티브X 보안프로그램은 당시 금융권 절반 이상이 쓰고 있었고 2천만대 가량의 일반 PC에 깔려 있었다. 인터넷에서 결제를 하려고 할때 시계 옆에서 회색 자물쇠 아이콘으로 나타나는 그 프로그램.
[10]
최초 테러 당시 생방송 중이었던
MBC FM4U의
두시의 데이트
주영훈입니다에서도 방송 도중 관련 소식을 전했으며
mini 게시판, 문자 게시판을 컴퓨터로 보지 못해 스마트폰을 보면서 방송하고 있다고 밝혔다. 진행자 주영훈도 이런 식으로 방송하는 건 처음(...)이라며 황당해했다.