3.20 전산망 마비사태
[image]
1. 개요
2013년 3월 20일 문화방송, 한국방송공사, YTN 등 주요 방송사와 은행, 카드 회사등의 전산망이 마비되었던 사건.
2. 상세
2013년 3월 20일 오후 2시 10분경부터 주요 방송사들의 컴퓨터가 일제히 작동을 멈췄다. 직원들의 PC는 정상작동중에 재시작이 필요하다는 안내로 재부팅을 요구하거나 갑자기 재시작이 되었는데 이후에 부팅이 안되고 작동을 멈춘 채 재부팅하라는 메세지만을 띄우고있는 막장 상황이다.[1] 여러 보도 등을 볼 때 공격의 징조가 보이기 시작한 시각은 좀 더 이른 시각으로 보인다. 오묘하게도 모두 공기업이거나 공기업과 관련된 곳이었고, 마비사태에서 비껴간 SBS는 SBS 8 뉴스를 통해 자사에 대한 공격을 방어한 것인지, 아니면 아예 공격 자체가 없었는지를 알아보고 있다고 밝혔다.
비슷한 시간, NH농협은행, 신한은행 서버에도 문제가 생기기 시작했고 얼마 지나지 않아 신한은행 모든 전산이 마비되며 창구거래, ATM 거래가 모두 중단되었다. 신한은행에 계좌를 둔 체크카드[2] 들의 결제도 당연히 멈췄으며 신한은행의 계열사인 제주은행도 당연히 모든 거래가 멈췄다. 농협도 같은 시점에 외부공격에 의한 전산이상을 포착하고 초기단계에 내부 전산망을 직접 차단시키고 모든 거래를 중지시켜서 일부 회원농협의 장애를 제외하면 거래는 정상적으로 이루어졌다. 우리은행은 악성코드 공격이 아닌 DDoS 공격을 받았으나 내부보안망으로 방어해냈다. 한편, 동종업계의 소식을 들은 외환은행 등 타 금융사들도 내부점검과 긴급거래중지 등의 대응을 취했고, 농협손해보험 및 농협생명보험의 일부 데이터도 삭제된 것으로 알려졌다. 다만 인터넷 거래는 모든 은행에서 별 탈 없이 이루졌다고 한다.
동시에 LG유플러스의 그룹웨어도 해킹당했다는 사실이 알려졌다. 그룹웨어는 보통 내부 인트라넷으로만 연결되므로 외부해킹에 의해 장악당한 컴퓨터를 통한 2차 해킹이라는 것이 중론이다. 문제는 해킹당한 3사가 LG유플러스의 통신망을 이용하고 있었다는 것이 알려지면서 LG유플러스가 해킹당하고 이를 토대로 방송사/은행망 해킹 공격이 이루어진거 아니냐는 의문이 생기기도 했다.
이런 현상들이 동시 다발적으로 이루어졌다는 점에서 고의적인 공격 가능성은 거의 확실시 되는 상황. 경찰은 주요 피해기업에 조사인력을 파견했고, 군 또한 정보작전방호태세를 3단계로 격상하여 상황을 예의주시하였다.
특이하게도 이번 공격은 디도스 공격이 아니라 악성코드를 통해 이루어진 것으로 추정되었다. # 보안업체 등에서는 사건 전 주부터 MBC.EXE KBS.EXE라는 파일이 돌아다녔다고 밝히고 있으며 이러한 것이 계획된 고의 공격의 증거인 것으로 보인다.
또한 디도스 공격은 아니지만 좀비 피시의 말로처럼 피해 PC들에게 자살 명령을 내리는 코드가 숨겨진 것으로 알려지고 있어 졸지에 업무가 마비된데다 자료까지 날아가게 생긴 방송사와 주요 기업들은 멘붕에 빠졌다. ##
3. 누구의 소행인가?
최대한 객관적인 자료와 중립적인 자세에서 현 시점에서 판명된 사실을 중심으로 집필할 필요가 있다.
3.1. 북한 사이버 공격설
북한과의 관련성은 아직 밝혀지지 않았으나 외신들의 반응도 그렇고 대체적인 여론은 역시 북한의 소행일 것으로 추측했다. 물론 아직은 심증의 단계. 3월 21일 해킹파일이 중국 인터넷망을 통해서 유입된 것으로 밝혀졌다. 따라서 주로 중국 인터넷망으로 해외 인터넷 활동을 하는 북한의 소행일 정황적 가능성이라는 분석이 좀 더 탄력을 얻었다.
하지만 다음날인 3월 22일, 전날 방통위에서 중국발 IP라고 발표했던 IP가 중국 IP가 아닌 '''농협 내부망'''에서 사용하는 IP였다는 내용을 발표했다. 방통위 발표 중국IP로 오인한 것은 국제인터넷주소관리기구(ICANN)가 중국에 할당한 IP와 일치하였기 때문이었는데 이를 제대로 확인하지 않고 성급하게 발표하는 바람에 혼선을 주었다.
다만 방통위는 누가 저 IP에서 최초로 퍼뜨렸는지 알 수 없다면서 여운을 남겨놨으므로 북한배후설이 완전히 구라로 끝난 것이라고 볼 수는 없다.
4월 1일 KBS 뉴스광장 보도에서 북한의 해커들과 관련된 증거가 발견되었다고 보도했다. 관련기사
복층 아파트에서 1층은 쓰지 않고 2층 다락방에 틀어박혀서 한 달간 컴퓨터 작업을 벌였다고. 그 동안 쓰인 컴퓨터는 최소 다섯 대 이상이라고 한다.
3.2. "Whois" 해커집단 공격 설
WHOIS라는 해킹그룹에서 자신들의 소행이라고 주장하였다.
사태 발생일과 동일한 날 감염된 컴퓨터의 부팅영역 부분이 특정한 16진수의 반복으로 덮어쓰여져있는데, 이 '''헥스코드를 알파벳으로 변환하면 HASTATI'''라는 문자열이 나온다. 그외에도 PRINCPES(프린시페스)라는 문자열이 발견되었는데 하스타티와 프린시페스는 다름아닌 '''로마군의 1선 대열, 2선 대열'''을 의미해서 이게 분석된 시점에서 추가 공격이 있을거라는 심증을 남겼다. #
제3국[3] 일 가능성도 있지만 물론 아직은 심증의 단계. 둘 다 어디까지나 가설이고, 아직 정확한 결과는 나오지 않았다.
다음날인 3월 21일, 이번에 피해를 본 6개 기관의 컴퓨터에서 모두 후이즈 팀의 이름이 들어간 악성 코드가 발견되었다는 보도가 나왔다. 이 보도가 사실이라면 일단 일차적 범인은 후이즈 팀이 확실한 것 같고, 남은 것은 후이즈 팀의 정체가 무엇인지, 그리고 북한과의 연계가 있는지를 밝히는 것이 급선무라고 한다.
4. 정부의 발표
4월 10일, 정부는 이 사태가 북한 정찰총국의 소행이라고 발표하였다. # 북한이 2월 악성코드를 직접 심은 것이라고 한다. 정부는 2월 하순 북한측이 우회 접속 경로로 피해 업체에 악성코드를 심은 사실을 파악했다고 한다. 후이즈 팀은 북한의 소속은 아니지만 북한의 청부를 받고 이런 일을 했을 가능성이 있거나, 혹은 아예 후이즈로 위장하여 악성코드를 심은 짓일 수도 있다.
5. 이후의 대처
5.1. 책임 공방
[image]
서로의 책임을 묻기 위해 '''자산관리 서버가 보안업체의 기술적 문제로 털렸다 VS 기업이 관리하는 '서버 계정' 관리를 허술하게 했다'''는 의견이 팽팽히 대립하고 있었으나 4월 9일 mbc의 보도에 의하면 소프트 포럼(Softforum)[4] 이라는 제 3자가 튀어나왔다. 드라마 유령에서의 사건이 실제로 일어났습니다.
사건 발생 하루가 지난 상황에선, 방송통신위원회에서는 업데이트 서버를 통한 악성코드 유포를 원인으로 지목했다. # 이로 인해 공격당한 회사가 보안을 맡긴 업체 하우리, 안랩의 업데이트 서버가 통로가 되었다는 보도가 이루어졌다. # 하지만 해당 업체들에서는 업데이트 서버 해킹이 아닌 해당 악성코드가 백신 프로그램의 구성모듈로 위장해서 들어갔다고 밝혔다. #[5]
그러나 기사내용이 심히 부실하다. 당장 어떤 업데이트 서버가 털렸는지 명확히 밝히지 않았다. 만일 기업뿐만 아니라 인터넷 상에 연결된 모든 클라이언트의 업데이트를 담당하는 안랩 마스터 서버가 털렸다면 V3제품군을 이용하는 모든 시스템이 피해를 입는 '''범국가적 재앙'''이 일어났을 터이므로 [6] 마스터 서버가 털렸을 가능성은 굉장히 희박하다.
그리고 방송통신위원회, 경찰청, 한국인터넷진흥원 등으로 구성된 민·관·군 합동대응팀은 21일 브리핑에서 농협시스템을 분석한 결과 내부에서 사용중인 IP(101.106.25.105)가 백신 소프트웨어(SW)배포 관리 서버 (자산관리 서버, Policy Server)에 접속, 악성파일을 배포했음을 확인했다. 라고 발표했다.
기업같이 인터넷과 단절된 대규모 폐쇄 네트워크가 있는 경우, 자산관리 서버를 지정해서 해당 서버가 특정 포트를 이용해 메인 업데이트 서버와 연결되어 업데이트 파일을 받아온 뒤, 각 클라이언트 PC로 배포한다.[7] 이번 사건은 해당 서버를 해킹해서 관리자 권한을 탈취했거나 농협 전산 사고 처럼 서버를 조작하는 컴퓨터에서 관리자 계정을 탈취한 뒤, 업데이트 할 파일을 자신들이 만들어놓은 악성코드를 업데이트 파일명과 동일하게 이름을 만들어 바꿔치기 해 뿌리도록 한 것이다.
공격 수법은 사건 발생일 이전까지 정상파일로 위장한 악성코드가 백신의 구성모듈으로 위장해서 방송사와 금융회사로 침투해서 대기타고 있다가, 사건 발생일에 명령을 받아 전산망 마비를 일으키고 마스터 부트 영역(MBR) 파괴, 드라이브 파티션 정보 파괴의 증상을 발생시킨 지능형지속공격(APT)으로 보인다. 확실한 공격을 위해 각 기업마다 다른 악성 코드를 유포하여 사용한것도 확인되었다. #
무결점 검사를 하지 않아서 이런 사태가 벌어졌다는 의견이 있으나, 무결점 검사는 클라이언트에서 위변조가 발생하면 서버의 자료를 가지고 하는 것이다. 일단 자산관리서버의 관리자 권한이 탈취되어 패치관리시스템이 위조되어 버리면, 안랩 마스터 서버와 직접 연결할 수 없는 기업 내의 시스템은 무결점 검사로는 답이 없다.
보안업체의 해명으로는 "해당 기업에서 관리하는 자산관리 서버(혹은 업데이트관리서버 - PMS) 관리자 계정이 탈취당했고, 자산관리 서버는 보안솔루션 서비스를 받는 기업 내에 있으니 우리 책임이 아니다" 라고 하는 상황. 이와 별개로 합동조사팀은 해당 서버가 보안 업체에서 구축한 시스템 상의 허점 때문에 뚫린 것이 아닌지 조사하였다.
MBR을 삭제시도하려는 의심행위 동작을 감지할 수만 있었다면 이 사태까지 이어지진 않았을 것이라는 점에서 아쉽긴 하다. 로 끝날 줄 알았으나...
4월 9일 mbc 보도에 의하면 소프트포럼의 업데이트 서버의 관리자 계정이 탈취당해 악성코드가 삽입되었다. 이 말은 인터넷뱅킹, 전자상거래, 민원업무를 한번이라도 했다면 백도어가 설치되어 있다는것.[8] 국가정보원 주재로 민관 긴급대책회의를 열고 제큐어웹 대처 방안 등을 논의할 예정일 정도로 사태는 심각하다. 2013년 6월 KISA에서는 제큐어웹의 보안취약점으로 인해 원격실행, 좀비pc에 악용될수 있다고 경고했다. 게다가 "해당 취약점을 악용한 침해사고가 발생하고 있어, 적극적인 대처 필요" 라고 한다. KISA 제큐어웹 취약점 공지
5.2. 기타
- 마비사태로 지연된 업무를 처리하기 위해 농협은행과 신한은행 등은 업무시간을 각각 17시, 18시 등으로 연장하였다.
- 2013.03.21 01:08 기준 iMBC.com과 YTN.co.kr은 복구되었지만 KBS.co.kr은 불통이었다. 계속 공격을 받아서 마비상태인게 아니고 KBS 측에서 웹서버를 막아뒀기 때문이다.
- MBC는 전산망 마비로 인해 문자 사연이나 라디오 플레이어 사연을 받지 못하니 실시간 사연을 팩스, 또는 휴대전화로 받아서 라디오 방송을 했다.
- KBS는 PC스크린에 대본을 띄우질 못해 DJ 옆에 작가들이 붙어앉아 실시간으로 대본을 써서 방송했다고 한다.
KBS 각종 방송을 볼 수 있는 페이지인 K.KBS.CO.KR 이나, 아이폰 앱 K FOR Iphone참고 안드로이드 앱인 K참고 등이 전산망 장애로 막혔다는 메세지를 볼 수 있었으나, 이는 3월 25일 00시를 기준으로 정상 작동되었다. TV는 없고 스마트폰과 태블릿밖에 없던 이들에겐 이마저도 불능이 되자 한동안 충격을 일으켰으나, 3월 25일자를 기준으로 정상 작동되었다.
- 2013.03.20 YTN의 전산망 마비로 정상적인 TPEG 정보 송출을 하지 못하여 YTN TPEG을 사용하던 파인드라이브 일부 제품에서 문제가 발생하였다. 정상적이지 못한 데이터를 수신하여 DMBD.EXE 오류 및 제품이 멈추는 등의 여러 문제가 다수 발생하는 것. 그리고 다음날인 21일 파인드라이브는 YTN TPEG 서비스를 YTN이 정상화될 때까지 일시 중단시켰다. 그후 3월 22일 오전 5시 30분 부터 YTN TPEG이 복구되어 CTT, CTT-sum, RTM은 정상 송출 중이나 3월 29일 드디어 4drive 사이트로 접속이 가능해졌다. 그리고 TPEG은 뉴스를 제외한 나머지 기능들이 정상화 되었다고 한다.
[1] 마스터 부트 레코드, MBR이 파괴된 것으로 보인다.[2] 신한카드, 삼성카드, 롯데카드[3] ("whois")의 화면으로 쓰인 해골 사진 템플릿은 과거 유럽 등의 외국 해커들도 썼다.[4] 보안 프로그램 제조회사이다. Xecureweb이라는 프로그램을 한 번쯤은 들어보았을 것이다.[5] MBC와 신한은행, 농협이 안랩의 보안 솔루션인 V3를 이용하고 있으며, KBS와 YTN은 하우리의 바이로봇을 이용중인 것으로 확인되었다.[6] 사실은 업데이트에 인증서 확인 과정이 있으므로 바이러스는 설치되지 않는다. [7] 인터넷 말고도 악성코드가 유포되는 경로는 매우 많기 때문에 폐쇄 네트워크에 물려있는 시스템이라도 백신은 필요하다.[8] 'xecureweb (제큐어웹)' 엑티브X 보안프로그램은 현재 금융권 절반 이상이 쓰고 있고 2천만대 가량의 일반 PC에 깔려있다. 인터넷에서 결제를 하려할때 시계 옆에서 회색 자물쇠 아이콘으로 나타나는 그 프로그램.