북한이 최근 국내 160여개사가 사용하는 전산망을 대상으로 대규모 해킹 공격을 시도했지만 SK그룹 내 IT계열사인 SK주식회사 C&C가 선제적으로 위협에 대응해 피해를 입지 않은 것으로 나타났다.
13일 경찰청 사이버안전국은 북한 사이버테러 사전탐지활동 중 지난 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수해 전산망 마비 공격시도를 사전에 차단했다고 밝혔다.
이번 전산망 마비 공격 시도로 취약점이 발견된 그룹사에는 SK가 포함됐다.
SK그룹은 SK주식회사 C&C가 경찰 지원 아래 수준 높은 보안 전문 역량으로 민관 협력의 중요성을 다시 한번 일깨운 사례로 남았다.
SK주식회사 C&C는 이번 해킹 시도 인지 후 이를 사이버 테러 등 국가 안보와 직결되는 문제라는 인식하에 최정예 인력으로 구성된 침해사고 대응 태스크포스팀을 즉각 가동했다.
침해사고 대응팀은 수 일 내에 해당 해킹이 상용 소프트웨어인 TCO!Stream의 결함으로 발생했다는 사실을 밝혀냈다. 이를 통해 SK그룹 내 계열사 뿐 아니라 소프트웨어 일괄 설치, 제어 솔루션인TCO!Stream를 사용하는 160여개의 정부기관 및 기업의 피해를 예방했다.
이번 공격은 지난 2013년 3.20사태와 유사한 지능형 지속공격 해킹(APT, Advanced Persistent Threat)이다.
APT 공격은 해킹 패턴(악성 코드 패턴)을 바꿔가며 진행해 공격상황을 바로 알아내기가 매우 어렵다. 얼마나 빨리 파악하고 대응하느냐가 중요하다. 정상적인 루트로 들어와서 정상적인 소프트웨어의 기능을 활용한 해킹은 공격으로 탐지되지 않는다.
평양 해커조직은 TCO!STtream의 결함을 이용해 정상적인 루트(경로)로 들어와서 해킹했다. TCO!Stream의 정상적인 파일 배포 및 원격 제어 기능을 활용해 자료를 탈취한 것이다.
외부에서 PC에 접근할 수 있도록 사전 인가된 관문인 ‘포트 정보’와 TCO!Stream 기능을 작동시키는 ‘키(프로토콜) 정보’가 소프트웨어적 취약점으로 외부에 노출될 수 있다는 점을 지능적으로 찾아냈다.
특히 APT 공격 루트를 찾는 데는 통상 수주에서 수개월이 걸린다는 점에서 이번 해킹의 위험도를 가늠해 볼 수 있다.
SK주식회사 C&C 정보보호 전문가들과 인포섹 침해사고 대응팀 5명의 보안 전문 인력(Top-Cert. Computer Emergency Response Team)들은 해킹 인지 2일만에 TCO!Stream의서버 OS메모리 영역에서 악성코드를 지운 흔적을 찾아냈다.
TCO!Stream의 소프트웨어 취약점탐지, 분석후 실제 해킹툴까지 직접 만들어 제시함으로써 TCO!Stream 제작사인 M사의 효과적인 소프트웨어 보안 취약점 패치를 이끌었다.
M사 관계자는 “경찰과 SK인포섹으로부터 취약점이 발견됐다는 소식을 듣고 보안패치를 제작해 이튿날 고객사에 제공해 문제를 해결했다”고 밝혔다.
이번 해킹 방어에 투입됐던 전문가는 지난 2013년 3.20사태, 6.25사이버테러 등 대형 사이버해킹에 대한 진단 및 취약점 분석, 해킹 피해 대응을 지원한 전문 보안인력들이었다.
이들은 3.20사태 당시 피해 기업에 투입돼 백신 업데이트 솔루션에 별도의 인증 없이 악성코드를 백신 업데이트 서버에 올릴 수 있다는 취약점을 찾아냈고 6.25 사이버테러당시에는 피해 신문사 서버에서 디스크 파괴 악성코드를 찾아내 삭제하고 디스크 복구를 진행했다.
관련기사
- 3.20 수준 사이버테러, 국내 그룹사 노렸다2016.06.13
- SK주식회사C&C, 클라우드·인공지능 조직 신설2016.06.13
- 악성코드, 탈옥 안한 아이폰도 노린다2016.06.13
- 가장 충격적인 해킹 피해 사고 15건은?2016.06.13
보안업계 전문가들은 이번 사이버 해킹 테러 방지와 관련해 APT 공격은 더욱 정교해 질 것이고 이의 대응은 점점 더 힘들어 질 것” 이라며 “이번 사례처럼 경찰의 지속적인 사이버 테러 감시와 기업의 높은 보안 대응 역량을 결합한 총체적 대응 체제를 갖춰야 한다”고 말했다
경찰이 지속적인 북한의 해킹 시도를 추적해 북한의 해킹 공격 징후를 사전에 탐지하지 못했다면 그 피해는 상상하기조차 어렵다. 지난 2013년 3.20 방송 금융 전산망 사이버테러 사건의 피해 규모는 약 8천823억원이다.