해커 출신 전문가들 "내가 공격자라면..."

최근 벌어지고 있는 일련의 전산망 장애 사건에 대해 해커 출신 보안 전문가들은 여러가지 의구심을 떨치지 못하고 있다. 권석철 큐브피아 대표, 홍민표 에스이웍스 대표 등 해커 출신 보안 전문가는 공격자가 오랫 동안 공들여 준비해 온 공격이며, 2차 공격을 통해 다른 정보를 빼갔을 가능성이 높다는 의견을 제시했다.

27일 해커 출신 국내 보안전문가들에 따르면, 지난 20일 발생한 방송사 및 금융 전산망 마비 공격의 핵심은 공격자들이 수 년에 걸쳐 치밀하게 준비해 왔다는 점이다.

현재까지 밝혀진 사실은 공격자가 기업 내부에서 관리하고 있는 패치관리시스템(PMS)의 계정이 탈취되거나 관련 인증을 우회하는 방식으로 관리용 서버의 권한을 탈취해 부팅영역(MBR)을 파괴하고, 하드디스크(HDD)를 파괴하는 악성코드가 유포했다. ■중국IP 아니다? 최초유포지 추적은 원래 어려워

3.20 전산망 마비 사고의 최초 악성코드 유포지는 사실상 찾기가 상당히 어려울 것으로 전망된다. 앞서 방송통신위원회는 초기에 농협 해킹에 사용된 IP가 중국 공인 주소인 것으로 확인됐다고 발표했다가 이튿날 이를 번복해 논란이 됐다. 농협이 내부에서만 사용하고 있는 사설IP주소가 우연찮게 중국 공인 IP주소와 겹쳤다는 것이다.

문제는 중국IP가 아니라고 하더라도 IP를 역추적해 최초유포지를 알아내기는 어렵다는 점이다. 경찰청 사이버테러대응센터는 25일 3.20 전산망 마비 사고에 사용된 IP주소 중 미국, 유럽 등이 악성코드 유포 경유지로 활용됐다는 사실을 확인해 국제공조수사를 요청했다고 밝혔다.

그러나 이 역시 국제공조를 거쳐야 하는 사안이며, 공격자 입장에서 자신의 원래 위치를 그렇게 손쉽게 추적할 수 있도록 놔뒀을리가 없다는 의견이 우세하다. 이 부분은 문종현 잉카인터넷 대응팀장, 박찬암 라온시큐어 화이트햇센터 팀장 등이 모두 인정하는 부분이다.

■관리자 계정 탈취냐 관리서버 우회냐?

공격자가 관리자의 ID/비밀번호를 유출시켰는지 관리서버를 우회해 공격이 들어온 것인지에 대해서도 여전히 논란거리다.

안랩은 공격자가 농협, 신한은행, MBC 등에서 직접 관리하고 있는 패치관리시스템(PMS)인 안랩 폴리시 센터(APC)의 관리자 ID/비밀번호가 유출돼 악성코드가 유포됐다고 발표했다. PMS는 백, 업무용 소프트웨어 등을 최신 버전으로 업데이트 하는 기능을 가졌다. 외부망을 통해 안랩이 직접 관리하고 있는 업데이트 서버가 해킹 당한 것은 아니다라는 것이 회사측 공식 입장이다.

현재 보안전문가들은 해커들이 관리자의 ID와 비밀번호가 유출됐을 가능성을 높게 보고 있다. 가장 손쉽게 접근할 수 있는 방법이기 때문이다. 관리자의 PC에 이메일을 보내 첨부파일을 클릭하도록 유도하거나 악성 웹사이트 방문 등의 수법으로 악성코드에 감염시켜 관리자의 ID/비밀번호를 빼갔을 것이라는 추정이다.

홍민표 에스이웍스 대표는 인증 자체를 우회하거나 인증 시스템 자체의 취약점을 찾는 것 보다는 관리자의 ID/비밀번호를 찾는 것이 공격자 입장에서 훨씬 쉬운 일이라고 밝혔다.

이에 대해 권석철 큐브피아 대표는 관리자 계정을 탈취했을 가능성에 무게를 두면서도 인증 자체를 우회했을 가능성을 배제할 수 없다고 설명했다. 안랩은 APC의 인증체계는 여러 계층으로 이뤄져있고, 농협의 경우 상위계층에서 인증을 받으면 하위계층의 서버에서는 인증을 받지 않아도 되는 형태로 구현됐다고 밝혔다.

그러나 이 경우 문제는 더 심각해질 수 있다. 상위계층의 서버는 안랩이 직접 관리하고 있기 때문이다. 앞서 관련 기관 분석에 따르면 문제가 된 안랩의 APC, 하우리의 바이로봇 ISMS에는 사고 당일 누가 접속했는지에 대한 로그기록이 남아있지 않은 것으로 나타났다.

권 대표는 안랩이 내부 로그기록 등을 공개하지 않고 있기 때문에 정확한 내용을 알기는 어렵지만 마스터(APC서버)의 인증을 우회하는 형태의 공격도 충분히 예상해 볼 수 있다고 설명했다.

■3.20대란, YTN 홈페이지 마비 동일그룹 가능성 여전

악성코드를 주입해 KBS, MBC, YTN, 농협, 신한은행의 전산망을 마비시킨 공격이 25일 발생한 YTN홈페이지 접속장애를 일으킨 세력과 같은 해커그룹이었을 가능성도 꾸준히 제기되고 있다.

권 대표는 내가 해커라면 자기 소행이라는 점을 제대로 알아주지 않고, 생각했던 것보다 효과가 약하다고 판단해 추가로 YTN을 재공격했을 것으로 의심하고 있다고 말했다. 그는 지난해 싸이월드, 네이트 등을 공격한 방법과 최근 발생한 공격도 유사한 정황을 보이고 있다고 덧붙였다.

당시 3천500만명의 개인정보를 유출시켰던 싸이월드, 네이트 해킹 사고는 공격자가 이스트소프트 공개용 알집의 업데이트 서버 권한을 탈취한 뒤 이를 통해 악성코드에 감염시켜 피해회사의 내부 데이터베이스(DB)에 접속해 개인정보를 유출시켰다.

모든 회사에는 백신프로그램이 설치된다는 점을 공격에 이용했다는 점에서 공통점이 발견된다는 지적이다. 보안전문가들은 공격에 대비하기 위한 1차적인 방벽을 될 수 있지만 완벽한 것은 아니다라며 네트워크 트래픽 등에 관한 지속적인 관리 및 모니터링이 필요하다고 밝혔다.

안랩의 APC, 하우리 바이로봇 ISMS가 여기에 해당한다. 농협·신한은행·MBC는 안랩, YTN은 하우리의 백신을 쓰고 있으며 KBS는 양사 제품을 모두 사용하고 있다.

■소란 피운 뒤 정보유출 의혹도... 전문가 의견 경청해 달라

최근 공격에 대해 보안 전문가들은 이슈 몰이가 될 만한 큰 사고를 일으킨 뒤 다른 곳에서 정보를 유출시켰을 가능성도 제시했다.

홍 대표는 1990년대에 정보를 수집한 뒤 증거를 인멸하기 위해 부팅영역을 파괴시키는 형태의 공격이 발생했었다며 주로 공격대상의 전산망을 방해하거나 다른 곳을 노리기 위한 방해 및 교란작전일 가능성이 높다고 밝혔다.

또한 보안전문가들은 전문가들의 경고 혹은 분석을 경청해 달라고 강조했다.

실제로 3.20 대란의 경우 그동안 알려지지 않았던 지능형지속가능위협(APT) 공격이 발생한 것이라 사전에 대응하는 것이 상당히 어렵다는 데 대부분의 보안전문가들은 동의했다.

보안전문가들은 우리나라의 사이버 보안 대응 능력이 다른 나라에 뒤쳐지는 것은 아니라고 말한다. 실제로 국내 보안회사들은 해킹사고가 터지거나 외부 공격이 의심될 때마다 24시간 비상대응체제를 가동하는 경우가 많다. 주로 감시가 소홀한 주말을 틈타 공격이 이뤄지는 만큼 오히려 주말 시간도 반납해야 하는 일이 대부분이다.

전상훈 빛스캔 이사는 지난 11일부터 17일까지 국내 웹사이트에 주중에도 대량으로 악성코드가 유포되거나 경유지로 활용되는 징후가 나오고 있었다며 관련 내용을 해당기관들에게 수차례 전달해왔다고 밝혔다. 전 이사는 그동안 해당 회사들이 악성코드가 발견되면 지우는데 그치고 추가적인 보안조치를 취하지 않아 문제가 커지는 경우가 대부분이라고 강조해 왔다.