"평창올림픽, 해킹으로 서비스 52종 중단됐었다"

조직위 "북한 소행은 아닌 듯...행위분석 솔루션 필요"

컴퓨팅입력 :2018/05/03 12:00    수정: 2018/05/09 17:11

평창 올림픽 개막일에 조직위원회 내부 시스템 거의 대부분이 사이버 공격을 받고 52종의 서비스가 중단됐던 것으로 확인됐다.

특히 국내에 있는 서버 300여대가 공격을 받았으며 이중 50여대는 큰 타격을 입었다.

평창동계올림픽 조직위원회 오상진 정보통신국장은 지난 2일 과학기술정보통신부가 개최한 정보보호 세미나에서 이같이 밝혔다.

오 국장은 “해킹이 발생한 개막식 당시에는 밝히기 어려운 입장이었다”며 “이번에 정확한 정보를 공유해 유사 사건이 재발하는 것을 막기 위해서 이런 자리를 마련했다”고 밝혔다.

2일 한국정보화진흥원(NIA) 서울사무소에서 최근 정보보호 이슈와 동향에 관한 세미나가 열렸다. (사진제공=과학기술정보통신부)

오 국장 발표에 따르면 지난 2월 9일부터 25일까지 열린 평창 동계 올림픽에서 개막식 당일날 악의적인 사이버 공격이 발생했다.

경기를 방송으로 지켜 보는 시민들은 체감하지 못했지만, 대회 관리 시스템과 경기관리 시스템은 사이버 공격을 받아 대부분의 서비스가 중단되는 사건이 발생했다.

오 국장은 “입출국, 수송, 숙박, 선수촌 관리 등을 담당하는 대회관리 시스템 영역과 등록, 인력관리, 유니폼 관리, 경기일정 관리 등을 담당하는 경기관리 시스템 영역, IPTV/와이파이 영역, 웹, 앱, 메일 등 거의 대부분이라 할 수 있는 총 52종의 서비스가 중단됐다”며 “국내 총 300여대의 서버가 모두 직·간접적으로 공격 영향을 받았으며, 50대가 실제적 타격을 받았다”고 밝혔다.

많은 서비스가 중단됐는데도 불구하고, 시민들이 경기를 보는데 문제가 없었던 이유는 “방송망과 공격을 받은 업무망, 경기망이 분리됐기 때문”이라고 설명했다.

오 국장은 “올림픽은 세계 해커들의 타겟이 될 수 있다”며 “2012 런던 하계 올림픽에서도 디도스 공격이 있었고, 2016 리우데자네이루 하계 올림픽에서도 디도스 해킹 공격이 있었다”고 말했다.

평창조직위원회도 이러한 해킹에 대응하기 위해 조직위에 관제센터가 있었고, 이글루 시큐리티와 후원 계약을 해 별도의 올림픽 서포트를 마련했다. 보안관제는 한국통신인터넷기술과 KT가 맡았다. 침해사고 대응은 이글루시큐리티가 맡았다.

평창동계올림픽에는 범정부 올림픽 침해대응팀(CERT)이 운영됐다. CERT팀이 종합적인 상황 관리를 했고, CERT팀 외에도 문체부, 경찰청, 과기정통부, 국방부 등이 함께 모니터링을 했다.

오 국장은 사이버 공격은 작년 12월부터 이어져왔다고 말했다. 조직위 및 국내외 파트너사를 대상으로 계정정보를 탈취한 후, 공격을 차근차근 진행해 왔다는 설명이다.

공격자는 탈취한 계정정보로 CDN(Contents Delivery Network) 관리 시스템에 침입해 서비스 차단을 시도하고, 개막식 당일날 파트너사 서비스를 교란했다.

또 다른 형태의 공격은 조직위 및 해외 파트너사 시스템에 무작위 파괴 공격을 개시해 총 41종의 악성코드로 로그를 삭제하고 복구영역 등을 삭제했다.

오 국장은 이번 사이버 공격을 장기간 치밀하게 준비된 지능형 지속 공격(APT) 유형이라고 분류했다. 오랜 준비과정을 통해 고도화된 방법으로 시스템 파괴적 행위를 감행하는 악의적 공격이었다고 덧붙였다.

오 국장은 “조직위원회 CERT와 범정부 CERT가 협력해 서비스 피해를 복구하고 추가적인 사이버 공격에 대한 방어 체계를 강화하는 것을 병행했다”고 대응 과정을 설명했다.

개막식(9일) 밤 8시에 올림픽 서비스 중단이 발생한 후, 개막식 직후 바로 필요한 서비스부터 복구에 들어갔다. 우선 메인 프레스센터와 선수촌, 미디어 촌 등의 와이파이/IPTV 를 복구해 선수단 및 미디어 관계자가 입실 시 문제가 없도록 긴급조치했다.

이어 다음날 있을 올림픽 대회 운영을 위해 철야 작업을 진행해 시스템을 부분 복구했다.

하지만 밤 11시 경 또 다른 공격을 받아 최초 장애가 발생한 인증서버는 복구했으나, 재발로 인해 완전 복구에는 실패했다.

오 국장은 “데이터 센터를 완전히 차단하면 배포를 완전 차단하는 것이기 때문에 일단은 인터넷을 열어둔 상황에서 시스템을 살리려 했지만 공격에 계속 노출돼 불가능했다”며 “결국 밤 12시 직전에 데이터 센터를 완전히 차단한 후 복구 작업에 들어갔다”고 설명했다.

다음날 새벽 4시경 순차적으로 시스템이 복구 완료됐다. 추가 보안조치로 새벽 5시경에 백신을 적용하고, 이후 6시에는 비밀번호를 변경하는 등 서비스 준비도 모두 마무리 했다. 아침 8시가 다 돼 시스템은 다시 오픈했고 모든 서비스가 정상으로 돌아왔다.

이후, 13일 4시에 대회 운영 안전성을 보장하고 만약의 추가 공격에 대비하기 위한 보조센터 백업시스템 복구까지 완료됐다.

해킹이 이뤄진 경로에 대해서는 “통상적인 조직이 가지는 리스크하고 올림픽위원회가 가지는 리스크는 다르다. 올림픽 조직은 계속 인프라를 만들어 가는 구조다 보니 거기에 참여하는 업체가 인하우스 방식도 있고, 불가피하게 원격으로 접속하는 경우도 있다보니 높은 수준의 보안을 요구는 했지만 현장에서 백프로 적용되는지는 일일이 확인할 수 없었다”며 “그 과정에서 일부 계정이 탈취된 걸로 확인하고 있다”고 설명했다.

오 국장은 “국내 백신업체가 빠르고 민첩해 빠른 시간내 백신을 개발해 적용할 수 있었다”면서도 아쉬운 점으로는 “해커가 계정을 탈취해 들어왔을 때 이를 비정상적인 행위라는 것을 알아차릴 수 있는 행위분석 기반 솔루션이 필요하다”고 말했다.

이어 “내부에서 추가적인 계정을 확보하는 과정에서 사전 준비를 많이 했지만, 행위를 분석하는 부분에서 시스템적으로 정상으로 보일지라도, 내용 측면에서 비정상인 것을 알아차릴 수 있는 행위 기반 솔루션이 있었으면 사전에 계정 탈취를 알아낼 수 있지 않았을까 하는 아쉬움이 있다”고 설명했다.

따라서 “올림픽 사이버 공격과 같은 고도의 사이버 공격을 사전에 방어하기 위해서는 정교한 행위분석 기반 사이버 공격 탐지 및 방어 역량 강화가 필요하다”며, “국내 보안업체가 행위분석 기반의 보안솔루션을 개발해 세계적으로 진출할 수 있도록 정책적 지원 및 공격 유형에 대한 정보 공유가 필요하다”고 덧붙였다.

관련기사

공격자가 누구인지에 대해서는 아직 확실히 답할 수 없다고 말했다.

오 국장은 “결과적으로는 북한이 아닌 것 같다”며 “어디에서 공격을 했는지는 좀 더 수사가 진행돼야 확인할 수 있다”고 말했다.