미리 심은 악성코드 일시에 활동
방송·금융사 전산망 마비 (상)
 |
| ▲ 후이즈(Whois)라는 해커 그룹은 “자신들의 소행”이라며 해골이 그려진 그림을 업로드했다. ⓒYouTube |
피해를 입은 곳은 신한은행과 농협 등 은행권 그리고 KBS, MBC, YTN 등 방송사였다. 이들은 내부 전산망이 일시에 다운되고 개인 PC가 켜지지 않아 혼란을 겪어야 했다. 전산망 오류, 바이러스, 분산서비스거부공격(DDos), 해킹 등 원인에 대해서도 갖가지 추측이 난무했다.
그 와중에 전산망 제공업체인 LG유플러스를 이용하는 또 다른 기업의 PC에 해커의 메시지가 등장했다. 후이즈(Whois)라는 해커 그룹이 “자신들의 소행”이라며 해골이 그려진 그림을 업로드한 것이다. 또한 영문으로 “이것은 시작에 불과하다. 모든 계정과 데이터 정보는 우리 손에 있다. 불행하게도 데이터는 삭제되었다. 곧 다시 오겠다”는 메시지도 적혀 있었다.
전문가들은 ‘지능형 지속위협(APT, Advanced Persistent Threat)’ 공격으로 의심했다. 컴퓨터 내부에 미리 심은 악성코드가 정해진 날짜와 시간이 되면 한꺼번에 활동을 시작하는 신종 해킹 수법이다.
정부는 민·관·군 사이버위협 합동대응팀을 중심으로 이번 해킹의 경위와 진원지를 밝혀내는 작업에 착수했다. 피해를 입은 기관에서 추출한 악성파일을 분석하자 “후이즈 팀이 해킹했다(Hacked by Whois Team)”는 문구가 등장했다. 이들이 누구인지를 밝히는 것이 이번 전산망 마비 사건의 핵심이 될 전망이다.
디도스, APT 등 악성프로그램 이용한 해킹 기승
방송사, 은행권 등 국가 기반시설을 공격하는 사이버테러는 날이 갈수록 증가하고 있다. 2008년부터 지난해까지 5년 동안 국가 공공기관을 대상으로 한 사이버테러는 총 7만 3천30건에 달한다.
사이버테러 중 최근 유명해진 것이 ‘분산 서비스거부 공격’ 이른바 디도스(DDos)다. 여러 대의 PC에 악성프로그램을 심어놓았다가 일시에 특정 인터넷 사이트의 접속을 시도하는 사이버테러 수법이다.
수백에서 수천 대의 PC가 다량의 트래픽을 전송하면 목표가 된 서버는 과부하로 인해 마비될 수밖에 없다. 지난 2009년 7월과 2011년 3월에 청와대를 비롯한 국내 주요 기관과 여러 곳의 인터넷 포털 사이트가 디도스 공격을 받았다.
이보다 발전한 것이 지능형 지속위협(APT) 공격이다. 이메일을 통해 악성프로그램을 감염시켰다가 짧게는 며칠, 길게는 몇 년 동안 잠복하며 정보를 빼내고 네트워크 동향을 살피다가 취약점이 발견되면 일시에 공격한다. 보안 업데이트가 이루어지기 직전을 노리기 때문에 널리 쓰이는 일반 컴퓨터 백신으로는 막아내지 못한다.
APT 공격은 △침투 △확산 △유출 △파괴의 순서에 따라 활동한다. 우선 특정 기관이나 회사를 목표로 삼아 보안 취약점을 이용해 악성프로그램을 침투시킨다. 시스템에 잠입하고 나면 내부전산망이나 이메일을 통해 악성프로그램을 다른 PC나 서버에도 감염시켜 점차 확산시킨다.
전체 시스템을 장악하면 비밀번호 등 주요정보를 외부로 빼내는 유출 단계가 진행된다. 지난 2011년 네이트와 싸이월드의 회원정보가 대량으로 유출된 것도 APT 공격에 의한 피해다. 마지막에는 증거를 인멸하기 위해 전산망이나 PC를 마비시키거나 부팅이 되지 않게 조작을 가한다. 심한 경우에는 하드디스크 내부의 자료를 모두 삭제하기도 한다.
제3의 공격 경고하는 메시지 발견돼
이번 방송·금융사 전산망 마비 사태도 APT 공격에 의해 이루어졌다. 방송통신위원회는 “피해사의 업데이트 관리 서버가 해킹되어 이를 통해 내부 PC가 대량 감염됐다”고 밝혔다. 서버에 침투한 악성프로그램이 전산망 전체로 퍼져 개별 PC까지 먹통으로 만들었다는 설명이다.
그 와중에 전산망 제공업체인 LG유플러스를 이용하는 또 다른 기업의 PC에 해커의 메시지가 등장했다. 후이즈(Whois)라는 해커 그룹이 “자신들의 소행”이라며 해골이 그려진 그림을 업로드한 것이다. 또한 영문으로 “이것은 시작에 불과하다. 모든 계정과 데이터 정보는 우리 손에 있다. 불행하게도 데이터는 삭제되었다. 곧 다시 오겠다”는 메시지도 적혀 있었다.
전문가들은 ‘지능형 지속위협(APT, Advanced Persistent Threat)’ 공격으로 의심했다. 컴퓨터 내부에 미리 심은 악성코드가 정해진 날짜와 시간이 되면 한꺼번에 활동을 시작하는 신종 해킹 수법이다.
정부는 민·관·군 사이버위협 합동대응팀을 중심으로 이번 해킹의 경위와 진원지를 밝혀내는 작업에 착수했다. 피해를 입은 기관에서 추출한 악성파일을 분석하자 “후이즈 팀이 해킹했다(Hacked by Whois Team)”는 문구가 등장했다. 이들이 누구인지를 밝히는 것이 이번 전산망 마비 사건의 핵심이 될 전망이다.
디도스, APT 등 악성프로그램 이용한 해킹 기승
방송사, 은행권 등 국가 기반시설을 공격하는 사이버테러는 날이 갈수록 증가하고 있다. 2008년부터 지난해까지 5년 동안 국가 공공기관을 대상으로 한 사이버테러는 총 7만 3천30건에 달한다.
사이버테러 중 최근 유명해진 것이 ‘분산 서비스거부 공격’ 이른바 디도스(DDos)다. 여러 대의 PC에 악성프로그램을 심어놓았다가 일시에 특정 인터넷 사이트의 접속을 시도하는 사이버테러 수법이다.
수백에서 수천 대의 PC가 다량의 트래픽을 전송하면 목표가 된 서버는 과부하로 인해 마비될 수밖에 없다. 지난 2009년 7월과 2011년 3월에 청와대를 비롯한 국내 주요 기관과 여러 곳의 인터넷 포털 사이트가 디도스 공격을 받았다.
이보다 발전한 것이 지능형 지속위협(APT) 공격이다. 이메일을 통해 악성프로그램을 감염시켰다가 짧게는 며칠, 길게는 몇 년 동안 잠복하며 정보를 빼내고 네트워크 동향을 살피다가 취약점이 발견되면 일시에 공격한다. 보안 업데이트가 이루어지기 직전을 노리기 때문에 널리 쓰이는 일반 컴퓨터 백신으로는 막아내지 못한다.
APT 공격은 △침투 △확산 △유출 △파괴의 순서에 따라 활동한다. 우선 특정 기관이나 회사를 목표로 삼아 보안 취약점을 이용해 악성프로그램을 침투시킨다. 시스템에 잠입하고 나면 내부전산망이나 이메일을 통해 악성프로그램을 다른 PC나 서버에도 감염시켜 점차 확산시킨다.
전체 시스템을 장악하면 비밀번호 등 주요정보를 외부로 빼내는 유출 단계가 진행된다. 지난 2011년 네이트와 싸이월드의 회원정보가 대량으로 유출된 것도 APT 공격에 의한 피해다. 마지막에는 증거를 인멸하기 위해 전산망이나 PC를 마비시키거나 부팅이 되지 않게 조작을 가한다. 심한 경우에는 하드디스크 내부의 자료를 모두 삭제하기도 한다.
제3의 공격 경고하는 메시지 발견돼
이번 방송·금융사 전산망 마비 사태도 APT 공격에 의해 이루어졌다. 방송통신위원회는 “피해사의 업데이트 관리 서버가 해킹되어 이를 통해 내부 PC가 대량 감염됐다”고 밝혔다. 서버에 침투한 악성프로그램이 전산망 전체로 퍼져 개별 PC까지 먹통으로 만들었다는 설명이다.
 |
| ▲ APT 공격은 △침투 △확산 △유출 △파괴의 순서에 따라 활동한다. ⓒScienceTimes |
더구나 보안을 위해서 자동으로 업데이트 프로그램을 설치하는 서버의 관리자 비밀번호가 탈취되어 피해가 커졌다. 비유하자면 건강을 위해 맞는 주사의 내용물 자체를 누군가 오염시킨 셈이다. 백신 제공업체에서 보내주는 파일은 의심 없이 설치하게 마련인데 이를 통해 악성프로그램이 흘러들어온 것이다.
PC가 켜지지 않게 만든 것도 이번 APT 공격의 특징이다. 부팅을 담당하는 주부트영역(MBR)에 특정 문자열을 대량으로 삽입해 기본정보를 지워버렸다. 이렇게 되면 PC가 하드디스크를 인식하지 못해 아예 포맷을 해야 한다. 기존의 데이터는 지워질 수밖에 없다.
방송사나 금융사는 시스템 유지를 위해 자동으로 데이터를 저장하는 서버를 운영하고 복구 과정도 반자동으로 이루어져 피해는 예상보다 크지 않았다. 다만 3만 대가 넘는 PC의 하드디스크를 교체하는 물리적 작업 자체에 시간이 소요되면서 제때에 업무를 보지 못하는 상황이 속출했다. 게다가 개인 PC에 저장된 일부 데이터는 다시 살리기 어렵다.
조사에 참여한 보안업체들은 방송사 PC의 주부트영역에서 ‘하스타티(HASTATI)’라는 문자열을 발견했다. 전산망에서는 ‘프린키페스(PRINCIPES)’라는 문자열도 발견되었다. 로마 시대에 사용되던 용어다. 로마군은 중무장보병이 공격을 감행할 때 3개의 열로 배치하고 하스타티, 프린키페스, 트리아리(TRIARII)라 이름 붙였다. 제3의 APT 공격이 닥칠 수 있음을 암시하는 부분이다.
한국인터넷진흥원(KISA)은 이번 APT 공격에 대한 예방용 백신을 개발해 배포했다. 홈페이지(www.boho.or.kr)에서 ‘맞춤형 전용백신 152번’을 다운로드 받아 설치하면 된다. 다만 PC를 켜자마자 CMOS 설정에 들어가 시계를 2013년 3월 20일 14시 이전으로 돌려놓고 부팅을 시작해야 APT 작동을 막을 수 있다. (계속)
PC가 켜지지 않게 만든 것도 이번 APT 공격의 특징이다. 부팅을 담당하는 주부트영역(MBR)에 특정 문자열을 대량으로 삽입해 기본정보를 지워버렸다. 이렇게 되면 PC가 하드디스크를 인식하지 못해 아예 포맷을 해야 한다. 기존의 데이터는 지워질 수밖에 없다.
방송사나 금융사는 시스템 유지를 위해 자동으로 데이터를 저장하는 서버를 운영하고 복구 과정도 반자동으로 이루어져 피해는 예상보다 크지 않았다. 다만 3만 대가 넘는 PC의 하드디스크를 교체하는 물리적 작업 자체에 시간이 소요되면서 제때에 업무를 보지 못하는 상황이 속출했다. 게다가 개인 PC에 저장된 일부 데이터는 다시 살리기 어렵다.
조사에 참여한 보안업체들은 방송사 PC의 주부트영역에서 ‘하스타티(HASTATI)’라는 문자열을 발견했다. 전산망에서는 ‘프린키페스(PRINCIPES)’라는 문자열도 발견되었다. 로마 시대에 사용되던 용어다. 로마군은 중무장보병이 공격을 감행할 때 3개의 열로 배치하고 하스타티, 프린키페스, 트리아리(TRIARII)라 이름 붙였다. 제3의 APT 공격이 닥칠 수 있음을 암시하는 부분이다.
한국인터넷진흥원(KISA)은 이번 APT 공격에 대한 예방용 백신을 개발해 배포했다. 홈페이지(www.boho.or.kr)에서 ‘맞춤형 전용백신 152번’을 다운로드 받아 설치하면 된다. 다만 PC를 켜자마자 CMOS 설정에 들어가 시계를 2013년 3월 20일 14시 이전으로 돌려놓고 부팅을 시작해야 APT 작동을 막을 수 있다. (계속)
 저작권자 2013.03.22 ⓒ ScienceTimes |
댓글 없음:
댓글 쓰기