지난 3월, 최대 규모 사이버 테러 발생
지난 3월 20일 오후 2시경 KBSㆍMBCㆍYTN 등 방송사와 농협ㆍ신한은행 등 금융사의 전산망이 마비되는 사건이 일어났다. 이 때문에 방송사에서는 사내 PC 대부분의 데이터가 삭제되는 피해를 입었다. 방송사의 기자들은 원고를 손으로 쓰고 작가들은 인근 PC방으로 이동하는 일도 벌어졌으며 라디오에서는 청취자의 사연과 문자를 받을 수 없었다. 또한 신한은행의 현금자동입출금기, 인터넷뱅킹, 창구가 마비돼 고객들이 큰 불편을 겪었다. 이 사이버 테러에 대해 청와대는 사건 당일 방송통신위원회ㆍ경찰청ㆍ국방부ㆍ국가정보원 등으로 이뤄진 민ㆍ관ㆍ군 사이버 테러 합동대응팀을 구성해 대응했다. 이후 29일에 이르러서야 사이버 테러 합동대응팀은 방송사와 금융사의 내부 시스템이 모두 복구됐다고 발표했다. 지난 20일에 피해를 본 PC와 서버는 총 32,000여 대로 파악됐으나 정밀 조사 결과 총 48,700여 대가 피해를 본 것으로 확인됐다. 이는 사이버 테러 피해 중 역대 최대 규모이다.
21일 오전, 합동대응팀은 농협 시스템에서 중국 IP가 확인돼 북한의 소행일 가능성이 있다고 밝혔다. 그러나 바로 다음날인 22일 오후 긴급브리핑에서는 곧바로 발표 사실을 뒤집었다. 농협 내부의 사설 IP를 중국 IP로 오해했다고 발표한 것이다. 그러나 이는 최초 해킹 공격지점과 해킹을 누가 했는지 알아낸 것은 아니다. 게다가 하루 만에 조사결과를 번복했다는 사실이 합동대응팀의 신뢰성을 떨어뜨리는 결과를 낳았다.
또한, 한국인터넷진흥원 인터넷침해대응센터는 사이버위기 경보단계를 5개 단계 중 3단계인 ‘주의’ 단계로 상향했다. 이는 각급 기관 및 보안관제센터의 근무를 보강하고 PC 운영체제와 백신 프로그램의 최신 보안 업데이트를 유지하며 이메일과 불건전 홈페이지를 통한 감염 피해에 주의해야하는 단계이다. 또한, 한국인터넷진흥원은 전산망 마비의 원인이 된 악성코드를 탐지하고 치료하는 백신을 무료로 배포했다.
정보보안업체 안랩은 이번 사이버 테러의 공격방식에 대해 해당 기업의 각기 다른 취약점을 공격한 APT(Advanced Persistent Threat: 지능형지속공격)로 서버관리자의 비밀번호를 탈취한 것으로 추정된다고 밝혔다. 또한, 악성코드 유포의 숙주가 된 부분은 기업체의 PMS(Patch Management System: 패치관리시스템)였다. 그러나 이번 사이버 테러는 PMS에 악성코드가 트로이 목마 방식으로 숨어들어가 백신 프로그램의 자동 업그레이드 시 회사 내의 컴퓨터를 자동으로 감염시켰다.
반복되는 사이버 테러 피해 점점 커지고 있어
2011년 농협 전산망 마비 사태와 네이트 개인정보 유출 사건에 이은 올해 방송사와 금융사의 전산망 마비 대란 때문에 사이버 테러의 위험성이 주목받고 있으며 그 사이에도 크고 작은 전산망 장애 등의 문제가 발생했다. 사이버 테러란 정부 민간 기관에 해킹이나 악성프로그램을 이용해 장애를 발생시키거나 파괴하는 행위로, 넓게 보면 다른 PC에 악성코드를 감염시키고 스팸메일을 이용해 다른 메일 계정의 권한을 얻는 것까지 포함한다. 사이버 테러의 주요 방법으로는 해킹, 악성코드 유포, 스팸 메일 전송 등이 있다.
현재, 사이버 테러의 위협은 점점 더 중요해지고 있다. 이를 반영하는 조사로 한국 IBM은 효과적 사이버 보안 전략을 위한 <사이버 보안 지수>를 발표했다. 130여개 국가, 3,700여 개 고객사 모니터링과 컨설팅 데이터 분석을 통한 이 조사에 의하면 지난해 10월부터 3개월간 전세계 금융/보험사의 사이버 공격이 하루 평균 38만 건, 연간 1억 3,700만 건이 발생했고 의료 및 사회보장, 운송, 서비스에 이어 금융과 보험이 사이버 공격 발생률이 높은 산업군으로 뽑혔다. 전체 사이버 공격 중 △악성코드 공격이 33%(4,500만 건)을 차지했고 △지속적 탐색과 스캔이 28% △무단 액세스 15% △APT가 12%를 차지했다. 특히 이 중 금융범죄, 산업스파이, 사이버 테러 등의 비율이 23%에 달했다.
우리나라 사이버 테러의 기록은 지난 2003년 1월 25일 인터넷 대란으로 거슬러 올라간다. 1.25 인터넷 대란은 웜 바이러스에 감염된 인터넷 사용자가, 원하는 사이트에 접속할 수 있도록 이어주는 KT 혜화전화국의 DNS 서버에 트래픽을 집중시켜 일어났으며, KT 혜화전화국이 마비되자 트래픽이 우회하여 다른 DNS 서버가 차례로 마비됐다. 사건 당시 9시간 동안 전국의 인터넷망이 마비되었으며 수백억 원의 피해를 남겼다. 이후 2011년 4월 12일 농협 전산망 마비사태가 일어났다. 이 사건에서 농협 전산망에 있는 자료가 대규모로 손상됐으며 일부 자료는 복구되지 못했다.
또한 지난 2009년 7월 7일과 2011년 3월 3일의 두 차례 DDoS 공격으로 정부기관, 포털, 은행사이트가 공격을 받았다. 한편, 2008년 2월에 옥션에서 1,800만여 명의 개인정보 유출이, 2011년 네이트의 데이터베이스에 저장된 3,500만여 명의 개인정보 유출이 있었으며 두 차례 모두 중국발 해킹으로 추정됐다.
그러나 점점 커지는 사이버 테러의 위험성에도 사이버 테러 피해는 계속 반복되고 있으며 이에 보안의식 부재를 우려하는 목소리도 커지고 있다. 보안의식 부재가 문제가 되는 것은 우리대학에서도 마찬가지다.
대학 정보 보안 정책, 적극적으로 동참해야
다행히 우리대학은 사이버테러의 공격대상이 된 적은 없다. 그러나, 스팸메일과 악성코드 감염의 위험에 항상 노출되어있는데다, 악성코드 피해사례가 자주 발생하고 좀비 PC에 감염되거나 연구실 홈페이지가 해킹당해 위ㆍ변조되는 경우도 있었다. 특히 스팸메일은 우리대학 외부에서 관리자를 사칭하는 메일을 보냈을 때 우리대학 구성원이 계정정보를 넣어 회신하거나 메일과 연결된 웹사이트에 계정정보를 입력하면 계정의 권한이 넘어가, 우리대학 내부 계정으로 스팸메일이 다시 퍼지기 쉬워진다. 사이버 테러 발생 시 다른 곳을 공격할 때 거치는 경유지가 될 가능성이 있으며, 이를 막기 위해 우리대학은 기술 및 관리적 측면으로 대비하고 있다.
기술적인 방법으로 우리대학은 IPS(Intrusion Prevention System: 침입방지시스템)를 이용해 악의적인 트래픽을 막고 있으나, IPS가 막지 못하는 부분은 각자 PC의 백신으로 막아야 한다. 이를 위해 우리대학은 사이트 라이선스로 백신을 구매하여 HEMOS에서 V3를 무료로 배포하고 있으며, 올해에는 이스트소프트 사에서 제공하는 백신인 알약의 사이트 라이선스도 구매할 계획이다. 관리적인 방법으로는 대학 내 PC의 중요도에 따라 보안등급을 차등 설정하여 체계적으로 관리하고 서버는 시스템에 인가된 부분에 대해서만 서비스할 수 있도록 정해놓은 상태이다. 또한 DDoS의 방어체계를 만들고, DNS 싱크홀을 도입하려는 기획이 진행 중이다.
현재 우리대학 내의 개인 PC는 약 8,000대 정도이며 서버 PC를 합치면 그 수는 더욱 늘어난다. 정보기술지원팀 관계자는 이번 사이버 테러에 대해 “우리대학에서 지난 3월 20일 사이버 테러에 사용된 악성코드에 감염된 PC가 한 대 발견됐으나 PC점검을 통해 조치하여 별다른 피해는 없었다”라고 밝혔으며 보안 업데이트에 대해서는 “학생들의 피해를 막기 위해 편의성 부분은 어느 정도 감수를 해야 하며, 대학 보안정책에 적극적으로 동참해주기 바란다”라고 전했다.
<용어설명>
▲APT(Advanced Persistent Threat: 지능형지속공격): 이메일이나 메신저를 통해, 또는 보안성이 낮은 프로그램을 내려받게 하는 등의 방법으로 표적 PC에 악성코드를 유포해 심어놓은 다음 시간이 흐른 후 한꺼번에 작동시키는 수법.
▲PMS(Patch Management System: 패치관리시스템) 기업 내의 다수 PC의 보안패치와 업데이트 등을 개인에게 맡기지 않고 기업에서 중앙집중식으로 진행하는 시스템.
▲DDoS(Distributed Denial of Service attack: 분산 서비스 거부 공격): 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트에 과부하를 걸어 공격하는 방법.
▲DNS 싱크홀: 악성봇에 감염된 PC가 해커의 시스템으로 연결되지 않고 싱크홀 서버로 연결되게 하여 해커의 명령을 막는 방법.
