통신사 서버 해킹 가능성..2차 공격 가능성 농후

[이데일리 김현아 정병묵 김상윤 이유미 기자] 20일 오후 2시 15분경 발생한 KBS·MBC·YTN·신한은행의 전산망 마비 사건은 악성코드 감염에 의한 해킹 때문으로 파악됐다. 특히 해커가 LG유플러스 서버를 해킹해 망관리 리스트를 확보한 뒤 LG유플러스(032640)가 통신망 서비스를 제공하는 방송사와 금융기관에 침투해 업데이트 관리 서버(Patch Management System)를 통해 악성코드를 유포했다는 주장이 나와 주목된다.

20일 오후 현재 방송 및 금융기관 정보망 마비 피해 현황

통신망 해킹이 아니라 통신사 서버 해킹

권석철 큐브피아 사장(전 하우리 사장)은 20일 “방송사 내부 시스템을 조사한 결과, LG유플러스 서버가 해킹된 뒤 망관리 리스트가 유출돼 LG유플러스 통신망을 이용하는 방송사와 금융사의 업데이트 관리 서버에서 악성코드가 유포됐을 가능성이 높다”면서 “다른 통신사 해킹 가능성도 배제하기 어렵다”고 말했다.

사고가 발생한 KBS와 신한은행은 KT와 LG유플러스망을, 농협은 SK브로드밴드와 LG유플러스 및 KT망을, YTN은 LG유플러스와 SK브로드밴드망을, MBC는 KT와 LG유플러스망을 쓰고 있다. 대부분 망을 이중화했지만, 모두 LG유플러스를 쓴다는 공통점이 있다.

그러나 이 같은 지적에 대해 한국인터넷진흥원 관계자는 “그런 시나리오도 가능할 수 있지만 현실성이 없다고 본다”며 “해커 입장에서 LG유플러스의 서버를 해킹하는 것보다 차라리 방송사 내 업데이트 서버 관리자의 PC를 해킹하는 것이 더 쉬울 것”이라고 전했다.

20일 서울 송파구 중대로 한국인터넷진흥원(KISA) 5층에 위치한 인터넷침해대응센터에서 KISA 직원들이 정보망 마비 사태에 대한 대응을 하고 있다.

◇업데이트 관리서버 통해 악성코드 유포

방송통신위원회와 한국인터넷진흥원도 악성코드 감염에 의한 인터넷주소(URL) 변조가능성을 제기했다. 아울러 방송사 및 금융사 전산망 마비는 악성코드가 업데이트 관리서버를 통해 이뤄졌다고 확인했다.

URL 변조 공격은 해커가 정보를 빼내기 위해 서버의 파일 시스템 경로를 임의로 변경하는 해킹 기법이다. 해커가 사이트의 URL을 변경하고 PC 사용자가 어리둥절해 하는 사이에 데이터 베이스에 침입해 정보를 변조 또는 유출시킨다.

한국인터넷진흥원 침해사고대응팀 관계자는 “다량의 트래픽이 발생하지 않아 분산서비스거부(DDoS, 디도스) 공격으로는 볼 수 없다”며 “URL 변조에 의한 공격일 확률이 매우 크다”고 말했다.

방통위 이승원 네트워크보호팀 팀장은 “채증한 악성코드를 초동 분석한 결과 업데이트 관리서버를 통해 악성코드가 유포된 것으로 추정하고 있다며, 악성코드는 부팅영역을 파괴한 것으로 분석했다”고 말했다.

지능형 지속공격 해킹(APT: Advanced persistent threat) 가능성도 나온다.

김기창 고려대 교수는 “APT으로 추정된다”면서 “일반인 컴퓨터를 이용하는 분산서비스거부 공격과는 다르다”고 말했다.

분산서비스거부 공격은 일반인 PC를 감염시켜 좀비 컴퓨터를 만든 뒤 특정 웹사이트를 공격하게 하지만, 그 컴퓨터는 속도가 저하되거나 다운된 것을 느끼지 못한다.

하지만 APT는 내부망에 있는 한 직원에게 메일을 보내 감염시켜 놓고, 차례로 네트워크에 연결된 주변 직원에게 바이러스를 감염시킨다. 내부자 컴퓨터에 메일을 보내 컴퓨터 하나를 장악하고, 이후에 다른 컴퓨터도 다 감염시키는 방식이다.

◇2차 공격 가능성..후이즈팀 “내 소행이다” 밝혀

권 사장은 “통신망이 해킹된 게 아니라 서버가 해킹된 것”이라면서 “소스코드를 보니 ‘1차 공격’이라는 문구와 함께 ‘후이즈’라는 표시가 있지만 후이즈가 해커의 이름을 의미하는지, 아니면 자신이 누군지찾아보라는 놀림의 의미인지는 확인되지 않는다”고 말했다.

후이즈팀의 정체는 알기 어렵다. 이종호 라온시큐어 연구원(화이트해커)는 “전 세계적으로 해커들은 익명으로 활동하기 때문에 현재로서는 후이즈가 누군지 알 수 없다”고 말했다.