국내 방송사 3곳과 은행 2곳이 지난 20일 오후 2시께 마비됐던 전산 환경을 가까스로 복구했지만 같은 시점 해킹으로 장애를 일으킨 LG유플러스 그룹웨어 서비스 '온넷21'은 아직 정상화되지 않았다. 서비스를 ASP방식으로 제공하는 LG유플러스쪽 IDC의 장애가 24시간 이상 이어지면서 이를 써온 중소기업들이 사업적 손실에 따른 어려움을 호소하고 있다.
온넷21은 LG유플러스에 인수된 데이콤이 자체 개발한 그룹웨어 소프트웨어(SW)다. 제품은 지난해 닷넷기반으로 개편된 뒤 LG유플러스 전화, 팩스, 메신저 등 통신인프라와 전자결재 등 기업용 애플리케이션과도 연동되기 시작했다. 스마트워크를 위한 모바일 애플리케이션 형태로도 제공됐다. 자체 전산 환경 대신 ASP형태로 이를 써온 중소기업들은 그룹웨어 장애가 상당한 피해로 연결될 수밖에 없다.
21일 LG유플러스 관계자는 그룹웨어 서비스 사용고객들의 불편을 최소화하기 위해 노력중이라며 복구시점 이후 장애에 따른 보상안도 고민하고 있다고 밝혔지만, 아직 고객사의 불만에 대해 충분히 인지하지 못한 모습이다.
장애가 '만 하루'를 넘기도록 고객사 입장에선 LG유플러스로부터 장애 원인과 상황에 대한 해명과 안내가 이뤄지지 않고 있는 것으로 알려졌다. LG유플러스가 덮어놓고 '최선을 다하고 있으니 좀 더 기다려 달라'는 말만 반복하는 가운데, 애꿎은 중소기업 고객들만 업무에 차질을 빚으면서 불만이 깊어졌다.
수백곳에 달하는 온넷21 사용 기업 중 하나인 A사 관계자는 어제부터 LG유플러스 쪽 담당자들과 연락이 잘 되지 않았고 연결이 돼도 전반적인 응대가 너무 불성실하다고 느꼈다며 (인수되기 전 데이콤 때부터) 이 그룹웨어를 10년이나 써왔는데 꼬박꼬박 비용을 지불하면서도 장애 상황에 제대로 지원받지 못한 점에 대해선 반드시 문제를 제기할 것이라고 덧붙였다.
그에 따르면 오전중 복구돼 당장 쓸 수 있는 그룹웨어 기능은 메일이 유일했던 것으로 보인다. 그나마 전자결재와 메신저같은 내부 프로그램 연동 기능은 불통이었다. 또 복구가 됐다는 메일 서비스도 가용성을 보장하지 못하고 몇시간만에 먹통이 됐다가 간신히 되살아나는 등 순단 현상을 보이고 있다.
LG유플러스 관계자는 서비스 현황에 대해 오전 8시를 기점으로 메일과 주요서비스 복구를 마쳤고 추후 공지사항 등 게시판과 다른 기능도 단계적으로 살려낼 것이라면서도 아직 복구 시한을 예상하긴 어려운 시점이라고 밝혔다.
A사 관계자는 오전중 일시적인 민원 집중으로 전화 응대가 어려웠던 부분이 해소된 것 말고는 반나절이 지나도록 개선된 게 전혀 없다며 이대로라면 아무 기약도 없이 업무가 마비된 상황인데 회사쪽에서 사과 공지도 일절 없이 복구에 힘쓰고 있으니 무작정 기다려달라는 것은 이해하기 어렵다고 비판했다.
■LG유플러스, 무슨 일 있었나
LG유플러스는 하루 앞서 방송사 3곳과 금융사 2곳에서 일어난 전산장애의 초기 원인 제공자로 알려지면서 지금과 같이 소극적인 대응을 계속하고 있는 것으로 보인다.
지난 20일 오후 LG유플러스는 그룹웨어(온넷21) 서비스에 해킹 공격이 발생했다며 추가 피해가 없도록 바로 망을 차단했고 원인을 파악중이라고 밝혔다. 이와 거의 동시에 발생한 방송사 및 금융권 해킹과는 전혀 상관이 없다고 설명했다.
당시 방송사와 금융사가 겪은 전산 환경 마비 현상의 하나는 조직내 업무용 윈도PC들의 부팅영역이 손상되는 것이었다. 외부에서 백신프로그램의 일부로 위장한 악성코드가 피해 기업들의 내부 자산관리서버에 잠입한 뒤 모든 PC에 일괄 배포, 실행돼 벌어진 일이라는 게 관계당국 조사로 드러난 기술적 원인이다. 아직 이 공격을 계획하고 실행한 주체는 확인되지 않았다.
그런데 그들 기업에 네트워크를 서비스 중이던 LG유플러스에 원인이 있지 않느냐는 의심의 눈길이 쏠렸다. LG유플러스쪽은 자체 조사를 하고 있다면서도 현재 IDC에 방송통신위원회나 국가정보원 조사관이 찾아와 조사중이라며 정부 조사 결과가 나오길 기다려달라는 입장이다.
이후 LG유플러스의 설명과 달리 그룹웨어 서비스 해킹과 방송금융 전산 환경 마비 사태가 동일 공격자의 소행일 것이란 가능성이 꾸준히 제기되고 있다. 전산 환경 마비를 일으킨 시간대가 같다는 점, 피해기업들이 대부분 LG유플러스 전산망을 쓴다는 점, 온넷21에 흔적을 남긴 해킹그룹 '후이즈'의 흔적이 방송사와 금융권 전산망을 휩쓴 악성코드 내용과 연관성을 보인다는 점 등이 근거다.
이상 징후와 업무 장애를 겪은 5개사는 이후 문제 파악과 사고 수습 소식을 전했다. 침묵으로 일관한 LG유플러스쪽과 대조적이다. 사고 이후 만 하루가 지나도록 당초 해킹그룹 후이즈의 흔적인 '검은 바탕의 해골 이미지'가 실재하는지 여부도 확인하지 못한 것으로 드러났다. 해당 이미지는 자신을 후이즈라 칭한 공격자가 온넷21 그룹웨어사이트 메인화면을 변조한 사이트에서 표시된 것이었다.
■LG유플러스-방송 금융사, 동일범 소행 가능성 낮아
여전히 LG유플러스와 나머지 5개사를 해킹한 주체가 동일한가에 대해 통일된 의견은 없다. 일부 전문가들은 같은 시간대에 벌어진 사건이지만 그 양상이 확연한 차이를 보이기에 동일 주체의 소행으로 보기엔 무리가 있다는 입장이다.
일단 후이즈 해킹그룹을 자처한 이들은 초보적인 웹사이트 해킹을 성공해 놓고도 강한 자기과시욕을 보였다. 변조된 LG유플러스 그룹웨어 화면에 우리는 해킹에 관심이 있다, 이번 행동은 시작이다, 사용자 계정과 데이터는 우리 손에 있다, 안됐지만 당신들 데이터는 삭제했다, 우리는 곧 돌아온다는 메시지를 담으면서다.
또 이들은 변조된 웹페이지에 dbM4st3r@whois.com, d3sign3r@whois.com, vacc1nm45t3r@whois.com, r3cycl3r@whois.com 등의 메일주소를 제시했다. 이는 실제 메일을 송수신할 수 없는 가짜 계정이다. 각 주소의 계정 부분은 로마자 'a'를 숫자 '4'로, 'e'를 '3'으로, 'i'를 '1'로, 's'를 '5'로 바꿔 쓴 문자열이다. 철자를 살려 읽으면 각각 'DB마스터', '디자이너', '백신마스터', '리사이클러'가 된다. 해킹그룹 구성원의 역할이나 주특기를 자랑한 것으로 풀이된다.
그래서 현시점에 양쪽 해킹이 동일 범인의 소행이라 단정하긴 어렵다. 후이즈가 직접 했다고 볼만한 것은 LG유플러스 그룹웨어 사이트 변조 뿐이다. 이는 주요 방송금융사 내부 자산관리 시스템을 거쳐 보안업데이트로 위장한 악성코드로 PC를 망가뜨린 방식에 비해 훨씬 간단한 공격이란 평가다.
관련기사
- [전산망 마비]악성코드 특정시간 동작…“PC시간 돌려야”2013.03.21
- [전산망 마비]방송3사 복구 완료, 업무 정상화2013.03.21
- [전산망 마비]"조잡 수준, 해커 목적 불분명"2013.03.21
- [전산망 마비]해킹 주범은 후이즈팀?2013.03.21
또 후이즈의 변조 페이지에선 공격을 받은 금융권과 방송사에 관해 어떤 언급도 없었다. LG유플러스 그룹웨어를 못 쓰게 된 중소기업 쪽의 윈도 PC도 백신 업데이트나 검색 등 기능과 관련해 별다른 이상이 없었던 것으로 확인됐다. LG유플러스 그룹웨어 해킹과 방송금융 전산 장애가 동시에 일어난 것은 어쩌면 '까마귀 날자 배 떨어진' 격일 수 있다는 얘기다.
후이즈의 활동 사례를 이전에도 접해 봤다는 성균관대학교 소프트웨어학과장 정태명 교수는 후이즈는 오래전부터 계속하고 있는 해킹 사례를 흉내냈거나 예전부터 발생했던 웹사이트 변조 사례의 범인들일 것이라며 이들은 예전부터 해킹 결과를 과시하고 존재감을 드러내곤 했는데 이는 방송금융사 쪽 전산장애 양상과 성격이 달라 동일범 소행이라 보기 어렵다는 의견을 밝혔다.