지난 3월 20일, 사무실에서 일하고 있는 도중, 인터넷 뉴스에 속보가 떴다. 일부 방송사와 금융사의 전산망이 마비되었다는 것이다. 마침 우연히도 이날 내가 일하는 회사의 인터넷망도 잠시 장애가 있어서 한 시간 동안 정비한 뒤 회복된 참이었다. 그래서 오히려 별로 신경쓰지 않았다. 분명 어떤 실수일 것이며 곧 정상화될 거라 생각했다.



전산망 마비


그런데 사태는 수습되기 보다 오히려 더 심각해졌다. 곧 사태는 확산되고, 일부에서는 디도스 공격까지 벌어졌다. 이에 대한 뉴스를 먼저 보자.(출처)


3월 20일 해킹에 의한 전산망 공격으로 금융권과 방송가는 초비상이 걸렸다. 특히 은행 거래와 체크카드 사용이 한때 전면 차단되면서 고객들의 불편과 혼선이 극에 달했다. 금융감독원은 고객 피해가 발생하면 금융회사가 전액 보상하도록 지시했다.


2011년 대규모 전산 장애로 홍역을 치렀던 농협은 전산 공격에 노출되자 사색이 되다시피 했다. 오후 2시 15분쯤 중앙회와 은행 영업점에서 일부 PC가 바이러스에 감염돼 마비됐다. 농협은 즉각 영업점을 포함한 모든 사무소의 PC, 단말기 및 자동화기기의 랜선을 분리시켜 피해 확산을 막았다. 농협 측은 “메인 서버에는 이상이 없다”고 밝혔다. 오후 3시 45분쯤 전산망이 복구됐지만 신한은행과 마찬가지로 영업시간을 연장했다.


KBS, MBC, YTN 등 방송 3사는 오후 2시 10분쯤부터 사내 전산망이 마비돼 업무처리에 어려움을 겪었다. 방송 송출은 정상적으로 이뤄졌으나 사무실 전산망은 물론 일부 방송용 편집기기까지 다운돼 긴급 복구 작업이 진행됐다. 


KBS 관계자는 “재부팅을 하라는 메시지에 따라 PC를 재부팅하면 ‘파일이 삭제됐다’는 신호가 떴다”면서 “긴급한 상황으로 판단해 외부 전산망을 차단하고 모든 PC의 전원을 껐다”고 전했다. 


이번 해킹과 관련, 한 지상파 방송 관계자는 “KBS와 MBC는 공영방송이고 YTN은 24시간 보도 전문채널이라 표적이 된 것 같다”고 분석했다. 일각에선 국가기간방송이자 재난방송인 KBS가 피해를 입어 공영방송의 보안에 허점이 있는 것 아니냐는 지적도 일고 있다. 



전산망 마비


그런데 잠시후  YTN 라디오에서 전화가 걸려왔다. 이번 전산망 사태에 대해 전화인터뷰를 하고 싶다는 것이었다. 사태의 원인과 수습대책을 묻는 것이었다. 인터뷰를 준비한 나는 이날 오후 6시 20분에 라디오 인터뷰를 했다. 질문지와 답변 일부를 소개한다.


YTN 라디오 <뉴스, 정면승부> 입니다. 오늘 전화 인터뷰 질문지 보내드립니다.


1. 오후 2시경부터 ytn, mbc, kbs 그리고 신한, 농협 은행의 인터넷망과 컴퓨터가 일제히 꺼지고 재부팅조차 되지 않는데 이렇게 컴퓨터까지 제어하는 것이 가능한 것인가요?


네. 아직 정확한 원인은 밝혀지지 않았지만 이론적으로는 충분히 가능합니다. 예를 들어 PC의 운영체제인 윈도우를 비롯해서 대부분 운영체제에는 원격제어 기능이 있습니다. 원격제어란 멀리서 다른 사람이 인터넷을 통해 다른 컴퓨터의 기능을 마음대로 작동시킬 수 있는 기능입니다. 심지어 데이터를 전부 삭제하거나 일부러 컴퓨터를 망가뜨리는 것도 가능합니다. 따라서 이번 전산망 마비 사태와 같이 컴퓨터를 제어할 수 있습니다.


2. 이들 모두 LG유플러스 전산망을 사용했는데 전산망 해킹 가능성은?


이번 공격의 증상으로 보면 감염된 좀비PC를 통한 시한폭탄식 공격이나, 멀리서 제어코드 하나를 보내 터뜨리는 식의 공격에 가깝습니다. 피해 컴퓨터가 같은 전산망이었다는 점에서 전산망 해킹의 가능성도 제기할 수 있습니다. 


하지만 내부자의 실수나 공모로 인한 감염일 수도 있다는 점에서 전산망 해킹만을 유력하게 놓고 볼 수는 없습니다. 내부 관리자가 감염된 USB파일 하나를 서버에 잘못 옮기는 것만으로도 같은 네트워크의 모든 컴퓨터가 감염될 수 있습니다. 이런 경우라면 전산망 해킹과는 아무런 관련이 없겠지요.


4. 디도스 공격은 아닌 것으로 밝혀졌는데 악성코드를 이용한 해킹으로 보면 될까요?


네. 앞서도 말했듯이 감염된 컴퓨터가 일제히 꺼지고 재부팅조차 되지 않았습니다. 이것은 예전에 악성 컴퓨터 바이러스가 가운데 비슷한 예가 있습니다. 컴퓨터를 포맷시켜서 데이터를 전부 삭제하고는 꺼지게 하는 경우였지요. 더 심한 경우는 메인보드의 부팅을 담당하는 바이오스에 과전류를 흘려서 그것조차 삭제시키는 경우가 있었습니다. 이번 해킹의 경우와 매우 비슷하다는 점에서 해킹으로 추정합니다.



전산망 마비


5. 컴퓨터의 재부팅을 원천적으로 막았다는 점에서 이전에 종종 있었던 디도스 공격에서 더 진화했다고 알려지고 있는데 어떤 점에서 다르고 같은가요?


우선 공통점으로는 해킹에 의해 이미 감염된 PC를 확보해야 한다는 점입니다. 보안이 부족한 망, 각종 파일공유 서비스, 내부자의 USB메모리 등을 통해 악성코드를 확산시켜야만 공격이 가능합니다. 디도스와 이번 해킹공격이 모두 그렇습니다. 하지만 자세히 들여다 보면 큰 차이가 있습니다. 아주 간단히 말하면 융단폭격과 정밀유도폭격의 차이입니다.


디도스 공격은 효과적이긴 하지만 매우 단순하고도 물량이 많이 요구되는 방법입니다. 수천, 수만 개의 감염된 좀비PC가 동시에 접속요구를 하면 감염되지 않는 서버가 그 요구에 따른 트래픽을 감당하지 못하고 기능을 멈춥니다. 이것은 복잡한 어떤 명령이 필요없고 교묘한 침투도 필요없습니다. 단지 외부에 감염된 좀비PC가 많으면 됩니다.


하지만 이번 상황은 이미 방송사와 금융권의 서버가 이미 감염되어 있다는 점이 다릅니다. 외부에서 어떤 공격을 가하는 것이 아니라 내부에 이미 감염된 서버가 특정 시간 이나 특정 명령만 기다리고 있다가 일제히 지정된 동작을 합니다. 보도에 의하면 외부에서 인터넷 주소를 변조해서 접속을 못하게 한 했다고 합니다. 재부팅조차 안되게 상당히 정밀한 원격 조정 코드를 심어서 목표하는 컴퓨터와 기관만을 정확히 타격했습니다.


6. 현재 신한은행은 복구가 되었고요. 다른 은행과 방송사는 여전히 복구작업 중인데 언제쯤 복구가 될 것으로 보십니까?


응급복구는 오늘 중으로 대부분 마무리 될 것입니다. 하지만 정확하게 어떤 코드로 인해 어떤 서버가 마비되었는지 알아야 합니다. 또한 정상적으로 작동하는 서버도 혹시 시간차 공격이나 추가 공격을 위한 코드가 숨어있는지 정밀 조사해봐야 할 것입니다. 따라서 길게는 일주일 정도는 걸려야 추가 마비의 위험이 없는 완전복구가 가능할 것으로 봅니다.


7. 혹시모를 2차 피해를 우려해 조속한 조치가 필요할 것으로 보이는데요. 어떻게 대처해야할까요?


각 방송사와 기관의 보안장치가 서로 다르지만 공통적인 점은 있습니다. 예비로 준비된 비상시설을 최대한 활용해야 합니다. 마비된 라인 외에 비상라인을 연결하고, 가동되는 서버 외에 따로 미러서버가 있다면 전부 가동해야겠죠. 그리고 망관리자는 수상한 트래픽이 서버로 오게 되면 즉시 분석하고 차단해야 합니다. 

 

인터뷰 다시듣기 


전체적으로는 이것과 완전히 일치하지 않았지만 비슷하게 진행되었다. 아무래도 요즘 상황 때문에 사회자는 북한이 해킹 사태를 일으켰을 가능성에 대해 보다 구체적으로 물었다. 하지만 정작 내가 이 인터뷰를 통해서 하고 싶은 말은 따로 있었다.

 


전산망 마비


전산망 마비사태, 무엇이 가장 중요한가?


이번 사태에서 가장 중요한 것은 누구의 소행이냐가 아니다. 물리적인 폭력이나 테러라면 몰라도 이런 사이버 공간의 해킹은 범인을 추적해서 밝히기 매우 어렵다. 또한 밝혔다고 해도 체포와 처벌은 더욱 어렵다. 범인추적보다 중요한 것은 원인 추적과 예방이다.


한국은 인터넷이 부분적으로만 마비되어도 사회적으로 이렇게 많은 피해가 오는 정도로 인터넷이 커다란 사회적 인프라로 발달해 있다. 사고가 나게 되면 그때는 컴퓨터 보안기술에 투자해야 한다고 말한다. 하지만 막상 사고의 여파가 지나가면 관련인력과 자금은 늘 정부와 기업의 투자순위에서 뒤로 밀린다. 



전산망 마비


우리가 평화를 위해서 국방비를 투자하는 것과 마찬가지로 원활한 인터넷 망을 위해서는 그만큼 보안에 대한 투자를 해야 한다. 평화를 원한다면 전쟁을 준비하라는 말까지 있다. 전산망의 안전을 바란다면 그만큼 평소에 서버와 보안시설을 확충하고 관련 인력을 충분히 양성해야 한다. 그렇지 않다면 범인이 누구냐에 상관없이 이런 사태는 주기적으로 반복될 수 밖에 없다. 관련 기관의 적극적이고 근본적인 대책마련을 바란다.