상단여백
HOME 뉴스 특집기획
사이버 테러 및 대응 사례[2015 국가위기관리 종합보고서] 북한의 사이버 위협과 우리의 대응
  • 재단법인 행복세상
  • 승인 2016.03.14 12:42
  • 댓글 0

사이버 테러 및 대응 사례

염 흥 열
순천향대학교 정보보호학과 교수
ITU-T 정보보호연구반(SG17) 부의장
시작하면서
지구촌은 테러, 기아, 질병 등 수많은 위협 속에서 살고 있다. 우리의 일상생활이 정보통신 기술 기반의 사이버 공간상에 의존하고 있고 사이버 공격자는 이 사이버 공간의 신뢰성을 위협하고 있다. 사이버 테러는 지구촌의 새로운 공동 관심사로 부상하고 있다.
사이버 위협은 악성코드/APT(advanced persistent threat), 분산서비스거부(DDoS) 공격 등을 이용하며 금융기관, 군사기관뿐만 아니라 방송 언론사 등 다양한 사회 주요 기반시설을 공격 대상으로 삼고 있다. 다수의 불특정 사람에 대해 공격 목표가 되는 사이버 테러는 이미 현실이 되고 있으며, 적절히 대응하지 않으면 많은 피해를 초래할 것이다.
우리나라 사이버 위협 환경은 매우 척박하다. 국가 주요 기반시설 웹사이트까지도 마음만 먹으면 사이버 공격의 희생물이 되고 있다.
2013년 3월 20일에 방송국과 금융기관 등 6곳이 당했고, 6월 25일에는 청와대를 포함한 11곳의 웹사이트가 해커의 공격에 의해 뚫리고 말았다. 6·25 사이버 테러는 2003년 1·25 대란, 2009년 7·7 사이버 테러, 2011년 3·4 사이버 테러, 2013년 3·20 사이버 테러에 이은 5번째 주요 사이버 공격이다. 2014년 12월에는 국가 전력 기반시설인 한국수력원자력이 공격을 당했고, 관련 유출된 정보를 이용해 대규모 사이버 심리전이 감행되어 온 나라가 원자력 파괴를 위협받기도 했다.
최근 사이버 공격은 공격에 드는 비용이 수비를 위해 드는 비용보다 매우 작은 비대칭 전력 특성을 이용하고 있다. 최신 백신조차 탐지가 어렵고 장기간에 걸쳐서 이뤄지는 지능형 지속 타깃 공격을 수행하고 있다.
교통, 가스, 전기 등과 같은 국가 주요 기반시설에 대해 사이버 공격이 성공하게 되면 국가의 경제사회 체계를 전면 파괴할 뿐 아니라 사이버 공간의 신뢰를 근본적으로 허물어 버릴 수 있다. 국가 디지털경제 운영을 심각하게 위협할 수 있다는 얘기다.
현재와 같이 사이버 공격이 기승을 부리고 있는 원인은 국내 정보통신 환경이 사이버 공격에 매우 취약한 구조를 갖고 있기 때문이다. 또 핵티비즘 등 사이버 공격 동기와 목적이 다양화되고 있고, 국내 대응 수준이 공격 수준에 크게 미치지 못하는 데 있다고 볼 수 있다.
일부에서는 어떤 대응 기술과 대응 체계도 작금의 지능형 공격을 막을 수 없다는 점에서 안전한 정보시스템의 구축과 운영이 불가능하지 않느냐는 근본적 의문까지를 제기하고 있는 실정이다.
본고에서는 우리나라에 대해 가해진 대표적인 사이버 테러 사례와 대응 사례를 분석하고, 국가 차원과 개별 조직 차원의 대응 방안을 제시하고자 한다.
사이버 보안 위협 현황
사이버 보안 위협은 대표적으로 악성코드에 감염되어 원격 해커에 의해 조정되는 좀비 PC을 이용하며 공격의 시작은 악성코드로부터이다. 한국인터넷진흥원 2014년 조사 결과 약 200만 대의 좀비 PC가 존재하며, 향후에는 이를 상회하는 좀비PC가 등장할 것이라고 예측됐다. 좀비 PC가 이렇게 많이 등장한 이유로는 악성코드 은닉사이트가 2013년에서 2014년간 대폭 증가했기 때문이다.
악성코드 은닉 사이트란 이용자 PC를 악성코드에 감염시킬 수 있는 홈페이지로 해킹을 당해 악성코드 자체나 유포 주소(URL)를 숨기고 있는 페이지다.
좀비 PC와 악성코드의 연관성으로는 좀비 PC의 경우 보통 악성코드를 통하여 감염되어 DDoS 공격이나 스팸메일 전송과 같은 다양한 공격에 이용되고 있기 때문이다.
또한 도메인 주소가 org.or.kr 등으로 끝나는 국내 공공기관 및 산하단체 학회 관련 사이트의 악성코드 감염이 1월부터 9월까지는 평균 약 43개의 수치를 보이고 있었으나 11월에는 약 30배가량 증가한 1,321개가 감염되었다.
2014년도에 배포된 악성코드의 유형으로는 정보 유출이 33%로 가장 높았고, 금융권 사이트 파밍 악성코드(19%), 원격제어 악성코드(18%), 다른 악성코드를 추가 다운로드하는 PC용 악성코드인 드로퍼(15%), PC 정보 유출 악성코드(7%), 기타(8%) 순으로 배포되었다.
APT 공격은 <그림 2>와 같이 ‘지능형 지속 위협’이라 불린다. APT 공격의 지능형이라 함은 사회공학(스피어피싱), 제로데이 취약점, 업데이트 파일 변조를 뜻한다. APT 공격의 지속형은 목적달성 시까지 장기간 공격 진행 및 관리한다. APT공격의 위협은 특정 조직 및 기업을 목표(타깃형 해킹 공격, 악성코드)로 한다. 이렇듯 APT 공격은 다양한 지능적인 방법을 동원하여 특정 조직 및 기업에 대해 지속적으로 해킹을 시도하여 원하는 목적을 달성하는 해킹 공격이다. 대표적인 APT 시나리오는 다음과 같다.
①해커가 악성코드를 제작한다. (문서 취약점을 이용)
②해커가 이메일을 통하여 발송한다. (사회공학 기법)
③사내 직원이 이메일을 열람한다. (악성코드 감염)
④사내 직원의 PC가 악성코드에 의해 악성코드 명령제어(C&C) 서버에 접속한다.
⑤해커는 원격 제어 및 내부망 정보를 수집한다. (키로깅을 통한 계정 정보 획득)
⑥해커는 내부 서버에 접속하여 데이터 유출 및 정보 시스템을 파괴한다.
이 밖에도 다양한 보안 위협이 있으며, 사이버 공격의 시작은 악성코드로부터 시작된다. 그렇기 때문에 2014년 말 악성코드의 수가 급격히 증가하고, 은닉사이트가 증가함에 따라 향후 사이버 공격에 대해 미리 대비를 해야 한다.
국내 주요 사이버 테러 및 대응 사례
사이버 테러 조직 개요
최상명 하우리센터장의 분석에 의하면, 국내의 사이버 테러의 특성을 분석한 결과 지금까지 국내 대규모 사이버 테러를 감행한 조직은 약 3개의 팀으로 분류되는 것으로 알려지고 있다.
첫 그룹은 7·7 DDOS 공격(2009), 3·4 DDOS 공격 (2011), 4·12 농협 전산망 마비 (2011), 6·9 중앙일보 공격 (2012), 6·25 사이버테러 A파트 (2013)(청와대, 언론사), 11·24 소니 픽쳐스 공격 (2014)을 수행한 A팀이다.
두 번째 그룹은 군 동기생 메일 공격 (2009), 3·20 방송/금용 사이버테러(2013), 6·25 사이버테러 B파트 (2013)(대전정부종합청사), 철도/항공 분야 공격(2014)을 수행한 B팀이다.
세 번째 그룹은 외교/안보 분야 공격 (2010), 통일 분야 공격 (2013), 외교/통일 분야 공격 (2014), 12·9 한수원 사이버테러 (2014)을 수행한 C팀으로 분류하였다.
이 3팀은 유기적인 연계를 통해 공격을 수행하였다. 특히 A팀과 B팀은 6·25 테러 당시 파트를 나누어 청와대 언론사 및 대전정부종합청사를 공격하였다.
A팀은 주로 국가기밀 정보수집 및 사회혼란을 야기하였고, 대국민, 정부기관,언론, 금융기관을 주요 공격대상으로 삼았다. SMB 취약점을 이용하여 C&C 서버를 확보하여 자체 암호화를 통한 자체 서버와 통신했다. 그리고 업데이트 파일 변조, 웹브라우저 및 플로그인 취약점을 이용하여 악성코드를 유포하였으며 VPN,Virtual PC를 사용하여 추적을 회피하였다.
B팀은 국가기밀 정보수집 및 기간망 침투를 공격 목적으로 하여 국방, 군사, 방송, 기관 시설 등을 공격하였다. C&C 서버를 확보하기 위해 국내 공개용 게시판 취약점이나 해외 웹 솔루션 취약점을 이용하였으며 C&C와 통신을 위해 웹 기반 통신 및 IRC 통신을 사용했다. 그리고 국내 소프트웨어 ActiveX 취약점 및 웹브라우저 취약점을 이용하여 악성코드유포를 하였으며 TOR, VPN, VMWare를 사용하여 추적을 회피하였다.
C팀은 국내 정보 수집 및 해외 정보를 수집하기 위해 외교, 통일, 안보, 국방, 연구 관련 기관을 주로 공격하였다. 해외 이메일 서비스로 이메일 계정 생성을 통하여 C&C 서버를 확보하여 이메일 통신으로 C&C와 통신하였다. 그리고 한글취약점 등 문서파일 취약점을 이용하여 악성코드를 유포하였으며, VPN을 사용하여 추적을 회피하였다.
국내에서는 2003년부터 2014년 그리고 현재까지 다양한 사이버 공격을 받고 있다. 특히 2009년부터 2014년까지 대형 보안 사고들이 많이 발생하게 되었다.
7·7 사이버 테러
2009년 7월 7일에 발생한 7·7 DDOS 공격은 총 3차에 걸쳐 공격이 감행되었다. 1차 공격은 13개 사이트를 대상으로 7월 7일 18시부터 7월 8일 18시까지 진행되었다. 2차 공격은 14개 사이트를 대상으로 7월 8일 18시부터 7월 9일 18시까지 진행되었다. 3차 공격은 7개 사이트를 대상으로 7월 9일 18시부터 7월 10일 18시까지 진행되었다.
7·7 DDoS의 공격 방법은 공격자가 국내 웹하드 웹사이트 업데이트 파일을 악성코드로 교체하여 웹하드 이용자들이 웹하드 업데이트 시 악성코드에 감염되도록 하였다. 피해자는 다음과 같이 감염되어 DDOS 공격에 이용되었다.
① 웹하드 이용자는 감염된 국내 웹하드 업체 서버에 접속하여 업데이트를 위장한 악성코드를 다운로드받아 감염되었다.
②감염된 피해자의 PC는 C&C 서버에 연결된다.
③ 북한 해커가 C&C 관리 서버를 통하여 C&C 서버로 공격명령을 전달하면 C&C서버에 연결된 피해자 PC는 국내 주요 사이트에 DDoS 공격을 수행한다.
④ DDoS 공격 후에 감염된 피해자 자신의 PC 하드디스크를 파괴하는 명령을 수행한다.
대응은 다각적으로 수행되었다. 먼저 백신업체와 협력해 백신 프로그램을 제작해 약 10여 대의 좀비 PC에서 악성코드를 치료했고, 서버 입력 단에서 디도스 트래픽을 제거하는 방법을 이용했다. 또한 좀비 PC와 명령 제어 서버 간의 연결을 차단해 좀비 PC가 명령 제어 서버의 명령의 수신을 차단했다.
3·4 사이버 테러
2011년 3월 4일 오전 10시와 오후 6시 30분 국내 40개 사이트를 대상으로 발생한 DDOS 공격은 국내 웹하드를 이용하여 악성코드를 감염시키고 C&C 서버를 통하여 DDoS 공격을 수행한 점에서 그 과정이 2009년 7월에 발생한 7·7 DDoS 대란과 매우 유사하다.
이 공격의 가장 큰 특징은 DDOS 공격 코드를 암호화하여 분석 및 탐지를 어렵게 하였다. 또한 공격 때마다 파일 구성이 달라지며 호스트 변조를 백신업데이트 및 홈페이지 접속을 방해하였다. 이 점은 7·7 DDoS보다 한 단계 업그레이드된 공격이라 볼 수 있다.
이번 공격 사이트 중 국내 중요 기반시설인 한국수력원자력 사이트 등 국내 주요사이트가 포함되어 있었지만 7·7 DDoS 이후 기업과 기관의 준비가 있었고 보안 업체와 유관기관의 협조가 있어 피해를 최소화하였다.
3·4 DDOS 공격은 2011년 3월 4일에 발생했다. 7·7 DDoS와 마찬가지로 3차례에 걸쳐 공격을 수행하였다.
1차 공격은 3월 4일 오전 10시 29개 사이트 대상으로 공격을 수행하였다. 2차 공격은 오후 6시 30분부터 40개 사이트를 대상으로 수행하였다. 3차 공격은 다음 날인 3월 5일 2개 사이트 대상으로 오전 8시에 공격을 수행하였으며 3차례 공격 모두 공격 종료시점이 불확실하였다.
N금융기관 해킹
2011년 4월 12일 17시경에 발생한 특정 금융기관 N금융기관이 사이버 공격을당해 273대의 서버가 파괴되어 전산망이 마비되는 보안 사고가 일어났다.
이 전산망 마비 사고는 2010년 9월에 해당 금융기관의 직원이 자신의 노트북으로 국내 S 웹하드 업체 서버에 접속하여 7·7 DDoS 공격과 유사한 방법으로 악성 코드가 감염되었다.
이번 사건에 사용된 악성코드의 수는 약 81개로 7개월 이상 해당 노트북을 도청 프로그램, 키로깅 등으로 집중적으로 관리한 것으로 알려졌다.
자세한 공격 시나리오는 다음과 같다.
① 금융기관 직원이 노트북으로 감염된 국내 웹하드 업체 서버에 접속하여 업데이트를 위장한 악성코드를 다운로드받아 감염되었다.
②감염된 피해자의 PC는 명령제어(C&C) 서버에 연결된다.
③ 공격자가 C&C 서버를 통하여 7개월간 금융기관 직원의 키로깅 프로그램 등으로 노트북을 관리하였다.
④ 공격자는 키로깅, 도청프로그램 등에서 확보한 자료를 통하여 금융기관 서버에 연결한다.
⑤ 공격자는 2011년 4월 12일 17시경에 C&C 서버를 통하여 금융기관 직원의 노트북에 연결된 모든 서버에 파일 삭제 명령을 실행하였다.
⑥ 해당 금융기관은 17사 10분부터 대고객 거래를 전면 중단했다.
⑦ 해당 금융기관은 네트워크 차단과 서버 셧다운 등으로 저지하였으나, 명령을 실행한 273대의 서버가 파괴되었다.
위 3개의 보안사고(7·7 DDOS, 3·4 DDOS, 4·12 N금융기관 전산망 마비)에서 모두 유사한 공격을 수행하였다. 특히 국내 웹하드 업체의 취약점을 이용하여 악성코드를 업데이트파일로 위장시켜 피해자의 PC를 감염시킨 방식과 비슷한 악성코드가 사용되어 같은 조직(A팀)이 공격을 수행한 것이라 판단된다.
해당 팀은 3개의 공격을 수행하며 명령·제어(C&C) 서버 구조에 변화가 있었다.
7·7 DDOS 사건 당시 C&C 서버는 계층형 구조로 구성하여 관리 서버 차단 조치 시 명령이 좀비 PC에 도달하지 않지만, 3·4 DDOS 및 4·12 N금융기관 전산망 마비 사건에서는 C&C의 구조가 P2P의 구조로 구성하여 어떤 서버든 전체 동기화가 가능하도록 발전된 공격을 수행하였다.
2012년 6월 9일 오후 6시 13분경 ‘IsOne’이라는 별칭을 사용한 공격자가 J일보 홈페이지를 변조하고, 신문제작시스템에 침입하여 일부 데이터를 삭제하는 보안 사고가 일어났다.
경찰의 분석 결과에 따르면 피해 신문제작시스템, 보안시스템 접속기록, 악성코드 6개를 분석한 결과 공격에 이용된 국내 경유지 서버 2대와 10여 개 국가에 분산된 해외 경유지 서버 17대를 발견하여 과거 유사 사이버테러 사건과도 비교 분석하였다.
공격자는 최소한 2012년 4월경부터 J일보 피해 신문제작시스템에 접속하여 정보를 수집한 것으로 확인되었으며, 공격 2일 전 J일보 관계자 PC를 해킹하여 신문 제작시스템 서버관리 정보를 유출하였고, 특히 6월 9일경 집중적으로 시스템을 삭제하였다.
또한 공격 근원지를 분석한 결과 북한 체신성 IP가 확인되었다. J일보의 모든 피해시스템들과 통신한 해외 경유지 서버를 공조수사를 통해 확보하여 분석한 결과,북한이 사용하는 IP대역에서 ‘IsOne’이라는 PC명으로 접속한 사실이 확인되었다.
과거 3·4 DDOS 및 농협전산망해킹 사건 당시 이용되었던 해외 경유지 서버 1대가 이번 사건에도 동일하게 사용되었으며, 악성코드는 7·7 DDOS 사건 당시 사용되었던 동일한 기능의 악성코드가 발견되었으며, 일부 악성코드는 제작 알고리즘이나 키 값까지 동일한 것도 발견되었다.
그리고 공격자 ‘IsOne’은 J일보 IT자산 자료(IT 자산현황, 메인 스위치, NAS 접속 방법 등)를 탈취하였다.
3·20 사이버 테러 2013년 3월 20일에는 3·20 사이버 테러가 발생했다. 대한민국의 언론과 금융기관 등 주요 기업의 전산망이 마비되었고, 다수의 컴퓨터가 악성코드에 감염되어 피해를 입은 보안 사고가 일어났다.
방송통신위원회는 브리핑에서 악성코드의 유포로 3만 2천여 대의 시스템이 감염되었으며, 피해 기관으로부터 수집한 악성코드를 분석한 결과 특정 업체의 업데이트 관리서버(PMS)에서 악성코드가 유포된 것으로 추정하였다.
3·20 방송/금융 테러는 1차 공격과 변종 공격으로 총 2차에 결처 공격하였다.
1차 공격은 오후 2시경 주요 언론사 K**, M**, Y**과 금융기관인 S금융기관, N금융기관 등에서 동시다발적으로 발생하였다. 1차 공격 시 마스터 부트 레코드(MBR)와 볼륨 부트 레코드(VBR)를 파괴하여 컴퓨터 부팅을 불가능하게 만들었다. 변종 공격은 3월 25일 10시 30분경 일반 사용자를 대상으로 공격하였으며. 명령을 전달하는 서버와 교신하는 기능을 추가하여 공격자가 원하는 시간대에 일제히 공격을 할 수 있는 악성코드를 전파하여 수백 대의 PC를 감염시켰다.
악성코드 유포 방식으로는 국내 소프트웨어 ActiveX 취약점을 이용하여 웹 서버를 해킹하여 해당 웹 서버에 방문 시 감염되는 방식으로 유포하였다. 자세한 공격시나리오는 다음과 같다.
① 공격자는 국내 소프트웨어 ActiveX 취약점을 이용하여 웹 서버를 해킹하여 악성코드를 유포하였다.
②사용자는 감염된 웹 서버에 방문을 하여 감염이 된다.
③감염된 사용자의 PC는 공격자의 C&C서버에 접속하게 된다.
④ C&C 서버는 감염된 사용자의 PC에 연결된 DB, 관리서버의 포트를 알기 위해 포트 스캔을 한다.
⑤ 공격자는 관리 솔루션 취약점을 이용하여 백신 에이전트 중앙 관리 서버에 파괴 악성코드를 업로드하여 업데이트 파일을 변조시킨다.
⑥ 백신 에이전트 중앙 관리 서버는 악성코드를 새로운 업데이트로 인식하고 각사용자에게 배포하여 악성코드에 감염시킨 뒤 하드를 파괴한다.
공격자는 위와 같이 공격 시나리오로 공격을 감행했으며, 수집한 데이터를 개인키를 이용하여 암호화하여 오직 개인키를 보유한 해커만이 감염 PC로부터 수집한 정보를 복호화할 수 있다. 하지만 악성코드에 포함된 공개키는 2009년에 발견된 북한 악성코드와 같아 6년간 사용된 동일한 RSA 공개키를 사용하여 동일한 ‘감염 PC 식별’ 코드를 생성하였다.
3·20 사이버 테러에 사용된 악성코드와 동일한 유사 악성코드가 군사 정보 탈취를 목적으로 하는 사이버 공격에 이용되었다. 이 악성코드는 특정 군사관련 키워드(작전, 대대, 군수, 탄약, 공군, 육군, 미군, 을지, 북한, 합참, 핵, 무기, 전술 등)가 포함된 문서 파일을 수집하였다.
6·25 사이버 테러
2013년 6월 25일 오전 9시경 방송, 신문사 서버장비를 시작으로 공격하여, 약 10분 후 청와대, 국무조정실, 국방부, 국정원 등 국내 주요기관의 홈페이지를 변조하였으며, 오전 10시경에 정부 통합전산센터를 대상으로 DDoS 공격을 수행하였다.
청와대의 홈페이지 경우 어나미머스 코리아로 위장하여 홈페이지의 일부를 변조하였다. 청와대 홈페이지 등에 접속하면 ‘위대한 김정은 수령’, ‘통일대통령 김정은 장군님 만세! 우리의 요구조건이 실현될 때까지 공격은 계속될 것이다. 우리를 맞이하라. 우리는 어나니머스다(We Are Anonymous)’ 등의 문구와 북한 최고통치자 김정일 사진이 나타났다.
DDOS 공격의 경우 총 2가지 유형의 공격을 수행하였다. 첫 번째 유형과 두 번째 유형의 공격 방식은 다르지만 감염 방식, 명령 전달 방식은 비슷하다.
우선 감염 방식으로는 기존 7·7 DDOS 공격(2009) 당시와 같다. 공격자는 국내 웹하드 웹사이트 업데이트 파일을 악성코드로 교체하여 웹하드 이용자들이 웹하드 업데이트 시 악성코드에 감염시켜 좀비 PC로 만들었다. 감염된 피해자들은 익명 네트워크인 토르(Tor) 기반의 C&C 서버에 연결되어 명령을 전달받는다.
첫 번째 유형의 경우 악성코드에 감염된 피해자의 PC가 토르(Tor) 기반의 C&C서버에게 DNS DDOS 공격 명령을 받아 대전정부종합 청사의 DNS 서버를 공격하였다. 공격 절차는 다음과 같다.
① 웹하드 이용자는 감염된 국내 웹하드 업체 서버에 접속하여 업데이트를 위장한 악성코드를 다운로드받아 감염되어 좀비 PC가 된다.
② 감염된 피해자의 PC는 토르(Tor) 기반의 C&C 서버에 연결되어 DNS DDOS공격 명령을 전달받는다.
③ 토르(Tor) 기반의 C&C 서버에 연결된 피해자 PC는 대전정부종합청사에 DNS DDOS 공격을 수행한다.
두 번째 유형의 경우 역시 악성코드에 감염된 피해자의 PC가 토르(Tor) 기반의 C&C 서버에게 DNS 증폭 DDOS 공격 명령을 받아 다른 DNS 서버 2만 개에 DNS증폭 DDOS 공격을 가하여 대전정부종합청사의 DNS 서버를 공격하였다. 공격 절차는 다음과 같다.
① 웹하드 이용자는 감염된 국내 웹하드 업체 서버에 접속하여 업데이트를 위장한 악성코드를 다운로드받아 감염되어 좀비 PC가 된다.
② 감염된 피해자의 PC는 토르(Tor) 기반의 C&C서버에 연결되어 DNS 증폭 DDOS 공격 명령을 전달받는다.
③ 토르(Tor) 기반의 C&C서버에 연결된 피해자 PC는 약 2만 개의 타 DNS 서버에 DNS 증폭 DDOS 공격을 수행한다.
④ 약 2만 개의 타 DNS 서버는 대전정부종합청사에 DDOS 공격을 수행한다.
이렇게 6·25 사이버 테러 또한 이전의 보안 사고와 유사한 형태로 공격을 수행하였으며, 점점 더 고도화된 기술로 공격을 수행하였다.
한수원 사이버 테러
2014년 12월 9일에 발생한 H기반시설 공격 사건은 이메일 피싱을 통하여 악성코드를 유포해 정보를 유출한 보안 사고이다. 공격자는 H기반시설의 직원 3,571명에게 5,980통의 이베일을 발송하였으며, 이메일 발송 계정 211개 중 55개는 퇴직자 명의의 이메일이었다. 이 이메일에는 한글 취약점을 이용하여 보고서와 같은 중요 문서로 위장한 악성코드를 전달하는 방식으로 문서를 실행시킬 경우 악성코드를 감염되도록 유도하였다.
공격자는 총 감염 8대 중 5대를 파괴하였지만 의도한 공격은 성공하지 못하였다.
자세한 내용으로는 외부 인터넷과 연결된 인터넷망(외부망)을 사용하는 PC 1대가 감염되었고, 외부망에서 이메일을 가져와 감염된 업무망을 사용하는 PC(OA망-일반 및 행정업무) 4개가 감염되었다. 업무망 내 FA망(발전소 상태 감시 업무)을 비롯해서 원자로 및 터빈제어계통 등 핵심 시스템인 원전 제어 시스템(독립 폐쇄망)은 공격하지 못하였다. 업무망의 경우 망 분리가 되어 있었으나 감염된 파일을 옮겨와 망 분리 효과를 보지 못하였다. 원전 제어시스템의 경우 독립 폐쇄망의 성격을 가지며 단순 운전정보를 단 반향으로 제공하여 공격을 받지 않았다.
이 공격에서 사용된 악성코드는 북한 해커조직의 ‘kimsuky(김수키)’ 계열 악성코드이며, 악성코드 유포에 사용된 한글 취약점이 동일하며, 악성코드의 구성 및 동작방식이 동일하다. 그리고 중국 선야 IP 대역들과 C클래스가 일치하였다.
‘kimsuky(김수키)’와 H기반시설 공격 사건에 사용된 악성코드의 쉘 코드는 98.5% 일치하였다. 자료탈취, 이메일 공격, 협박 글 게시 루트로 도용한 국내 VPN 업체 다른 접속 IP 중 2014년 12월 하순 북한 IP 주소 25개, 북한 체신성 산하 통신 회사 KPTC에 할당된 IP 주소 5개가 접속한 흑적이 발견되었다.
위의 내용으로 보아 정부 합동수사단은 H기반시설 공격 사건의 공격자가 금전보다는 사회적 혼란을 야기하는 것이 주 목적인 북한 해커조직의 소행으로 판단했다.
주요 기반시설 주요 국외 보안 사고
국외에서는 주요 기반시설을 공격하여 보안 사고가 발생한 사례가 있다. 대표 사례로는 니트로 공격과 스턱스넷이 있다.
니트로 공격은 2011년 7월 말에서 2011년 9월 중순에 발생한 보안 사고이며, ‘포이즌아이비’ 라는 이름의 원격접속 트로이 목마 악성코드를 감염시켰다. 이 악성코드는 화학, 신소재 제조 및 연구 개발업체를 대상으로 하는 APT 공격 보안사고이다. 48개의 기업이 피해를 입었으며, 29개의 화학 분야 업체와 방위산업체를 포함한 19개의 업체가 공격을 당했다.
피해 규모로는 설계문서, 제조법, 제조 공정 관련 지적 재산이 유출되었으며, 공격 방식으로는 공격 대상 기업들의 임직원들을 대상으로 비즈니스 파트너로서 미팅 초대 목적으로 위장한 메일이나, 필수 보안 업데이트로 위장한 메일 등의 내용으로 이메일을 발송하는 APT 공격을 하였다.
니트로 공격 악성코드에 감염된 국가는 20여 개 국가이며 미국이 27개로 감염 수가 세계에서 제일 높았다. 한국은 감염 수가 1개로 나타났다.
시만텍은 “니트로는 스턱스넷만큼 정교하지 못했다. 그러나 좀 더 진보된 형태의 다른 공격들과 유사성을 지니고 있다”고 전했다.
스턱스넷은 2010년 6월 이란 부셰르(Bushehr) 원자력발전소 등 주요 기반시설(원전)을 목표로 하는 웜 바이러스이다. 마이크로소프트 윈도우 운영체제를 통해 감염되며, 산업시설을 공격하는 최초의 악성 코드는 아니지만, 산업시설을 감시하고 파괴하는 새로운 악성 코드이다. 스턱스넷의 감염 경로는 다음과 같다.
① 스턱스넷에 감염된 PC에서 USB를 통해 PLC 제어 PC에 스턱스넷 악성코드 전파 및 감염시킨다.
② 감염된 PLC 제어 PC에서 C&C 서버로 감염 시스템 정보를 전송한다.
③ 악성코드 유포를 위해 내부 네트워크에 연결된 타 시스템을 공격한다.
④ 감염된 PLC 제어 PC와 감염된 내부 시스템 간 RPC 서버 통신을 통하여 공격 명령을 공유한다.
⑤ 공격자는 C&C 서버를 통해 암호화된 공격 명령을 생성한다.
⑥ C&C 서버는 생성한 공격 명령을 전송한다.
⑦ 공격명령을 받은 감염된 PLC 제어 PC를 사용하는 관리자가 제어명령 생성한다.
⑧ 감염된 PLC 제어 PC는 PLC 제어 명령을 변조한다.
⑨ Target을 공격한다.
⑩ 산업 장비를 감염시켜 설비제어 장애가 발생한다.
이렇듯 스턱스넷은 제로데이 취약점을 이용하여 USB를 통해 감염되고, 공유 프린터 서버 등을 통해 전파된다. 그리고 주요 기밀 자료 유출 및 SCADA(집중 원격감시 제어) 시스템을 파괴시킨다.
사이버 테러 대응 방안 및 결론
국가 차원의 대응 방안과 조직 차원의 대응 방안의 고도화가 필요하다. 먼저 국가차원의 대응방안은 다음과 같다.
사이버 보안이 국가 정책의 최우선순위가 될 수 있도록 국가 최고책임자에 의한 조정과 관심의 강화, 사이버 보안 국가 예산의 우선 투자의 증가가 필요하다. 또 최신 사이버 보안 기술을 개발하기 위한 연구 개발과 수요에 기반으로 한 사이버 보안 인력 양성에 대한 관심을 두어야 한다.
국가 차원의 사이버 보안 전략도 위험 관리 기반으로 진화되어야 한다. 대응 전략은 정보자산에 대한 위험 평가에 기반을 두어야 하며, 리스크의 중요성에 따라 선택과 집중 원칙을 적용한 효과적 전략 마련과 투자가 이뤄져야 한다. 다시 말해, 리스크 기반의 대응체계로 변경할 필요가 있다.
더불어 대규모 공격의 숙주로 이용되는 악성코드의 국내 유포 환경의 대대적인 점검과 개선이 있어야 한다. 국내 주요 웹 사이트에 악성코드 유포를 방지하는 기술적 관리적 대책을 마련하도록 하는 의무를 부과해야 하며, 이를 위한 법제도적 보완이 요구된다.
이는 해커에 의해 접수된 한 웹 사이트가 또 다른 사이버 공격에 이용되는 현재의 상황을 고려하면 자명하다. 국내외 특정 경유지 서버가 대규모 사이버 공격에 이용 되는 것을 막기 위한 기술적 법적 제도적 대책 마련이 필요하다.
다시 말해, 국가 차원에서 대비는 실시간 악성코드 유포를 탐지 및 방지할 수 있고 사이버 공격을 사전에 예방하고 조치하는 실시간 국가 모니터링 체계의 개선이 요구된다.
또한, 우리나라 정보시스템에 대한 취약성 및 대응 정보에 대한 한국형 취약성 데이터베이스 구축이 시급하다. 이 취약성 정보와 대응 조치는 민간과 공공을 망라한 모든 국내 대응 기관 간에 양방향으로 실시간으로 공유하고 이를 통해 개선되어야 한다. 또한 현재 국경을 넘어선 지능화된 사이버 범죄에 효과적으로 대응하기 위한 지역 협력체와 국가 간 공조 체제도 개선되어야 한다.
각 기관은 자신의 정보시스템은 자신이 책임진다는 원칙하에 자신의 정보시스템에 대한 리스크를 도출해 리스크를 치료할 수 있는 기술적, 관리적 대책을 수립하고 체계적이고 지속적으로 개선하게 하는 정보보호관리체계를 실질적으로 운영해야 한다. 이를 위한 보안 인력의 확충과 보안 설비의 투자에 우선순위를 두어야 한다.
이제 사이버 보안은 국가의 안위에 영향을 주는 민생 문제로 간주돼야 하며, 해결 방안은 국가 정책, 자원과 투자의 우선순위 부여, 국민을 포함한 모든 사이버 보안 주체의 의식 강화, 그리고 국가 대응체계의 선진화로부터 시작돼야 할 것이다.
사이버 테러 대응방안으로는 위험 평가기반 사이버 보안 관리체계를 강화하고, 상시적 모니터링 체계 구축을 통한 협업 체제를 강화해야 한다. 협력업체 보안 관리를 철저히 해야 하며, 제품과 서비스의 공급자 체인 보안을 강화해야 한다. 악성코드를 예방하고, 탐지하는 체계를 고도화시켜야 사이버 테러에 대한 대응을 할 수 있다. 위험 관리 기반 상시적 보안 관리체계를 강화하기 위해서는, 기존의 보안 관리 프레임워크를 위험 관리 프레임워크로 변환해야 한다. 조직 차원의 대응방안의 고도화도 필요하다. 사이버 보안 관리체계를 고도화하기 위해서는 주요 기반시설을 대상으로 상시적 보안관리체계를 구축하고 운영해야 한다.
CISO 책임성 강화 및 역할 구분하고, 기술적 관리적 보호대책 고도화해야 한다.
보안 전담인력 추가 확보하고 보안 투자를 강화해야 하며, 모의 침투 훈련을 실시하여야 한다. 상시 모니터링 기능을 강화하고, 내부 독립 조직 또는 외부 감사기관에 의한 보안 감사를 정례화해야 한다. 사이버 보안 문화를 강화하는 보안관리체계가 필요하다.
기술적 보호대책을 강화하기 위해서는 대표적인 위협에 대해 기술적으로 보호대책을 마련해야 한다.
대표적 위협으로는 악성코드 감염, 취약성 공격, 정보 유출, 서버/PC 비인가 접근, 네트워크 침투가 있다. 악성코드 감염은 백신 프로그램과 APT 방어를 해야 한다. 취약성 공격은 패치 및 설정을 관리하여야 한다. 해킹이나 내부자에 의한 정보 유출은 암호화, 워터마크, 인증, 접근통제를 통해 보호해야 한다. 서버/PC 비인가 접근은 방화벽, 강한 인증, 접근 통제를 통해 차단해야 하며, 네트워크 침투는 침입 차단 및 탐지, 망 분리를 통해 보호해야 한다. APT 위협은 침투를 100% 막을 수 없지만 조속한 탐지가 필수적이다. 해커의 침투를 조속 탐지하기 위해서는 상시적 감시가 매우 중요하다.
상시 감시/ 협업체제/ 악성코드 대책으로는 상시적 보안 모니터링, 악성코드 탐지 체계 고도화, 민관/민민 사이버 보안 협력 대응 강화가 필요하다.
상시적 보안 모니터링은 주요 PC/ 서버, 보안 시스템의 상시적 로그 분석을 해야하며, 외부 전문기관과의 사이버 정보 교류를 활성화해야 한다.
악성코드 탐지 체계를 고도화하기 위해서는 기존 시그니처 기반 탐지에서 행위기반 탐지체계로 변화해야 한다. 다크넷을 이용하여 내부 망 악성코드 탐지 시스템을 구축하여 운영해야 하며, 악성코드 유포 사이트를 차단해야 한다.
민관/민민 사이버 보안 협력 대응을 강화하기 위해서는 국내 및 국외 사이버 보안 대응 기관과 정보 공유를 강화해야 하며, 민관 긴급 대응체계를 강화해야 한다. 그리고 악성코드 감염 사이트 탐지 및 관리에 대한 협력을 강화해야 한다.
협력 업체/공급자 체인 보안을 강화하기 위해서는 협력업체 보안, 공급자 체인 보안 확보 및 사이버 보안 교육훈련을 실시하여야 한다.
협력업체 보안을 강하하기 위해서는 업무 위탁 계약서에 정보보호 요구사항 반영이 필요하며, 협력 업체의 보안 능력에 대한 평가가 필요하다.
정보보호 간리체계 인증 또는 정보보호 평가 인증제를 활용해야 한다.(B, BB, A, AA, AAA) 예를 들어, 중요 정보를 접근하는 협력업체의 최소 등급은 A등급 이상을 요구하여야 한다.
공급자 체인 보안을 확보하기 위해서는 공급자 체인에서 프로그램 무결성을 검증해야 하며, 안전한 소프트웨어 개발 기법을 적용해야 한다.
마지막으로 일반 직원, 신규 보안 인력, 전문 보안 인력을 대상으로 사이버 보안 교육을 강화해야 한다. 조직의 사이버 보안 대응 수준이 국가의 대응 수준을 결정 한다. 조직의 사이버보안 대응 체계를 위험 평가 기반 대응체계로 전환해 사이버 공격으로부터 안전한 사이버 공간을 확보해야 할 것이다.

안보단체 블루유니온에서 운영하는
블루투데이 후원도 소중한 애국입니다

기사에 언급된 취재원과 독자는 블루투데이에 반론, 정정, 사후보도를 청구 할 권리가 있습니다.
권리요구처 : press@bluetoday.net

재단법인 행복세상  www.ihappyworld.net

<저작권자 © 블루투데이, 무단 전재 및 재배포 금지>

재단법인 행복세상의 다른기사 보기
icon인기기사
기사 댓글 0
첫번째 댓글을 남겨주세요.
여백
오늘의 주요뉴스
中 해킹그룹, 대한건설정책연구원 등 국내 12개 학술기관 홈페이지 해킹
中 해킹그룹, 대한건설정책연구원 등 국내 12개 학술기관 홈페이지 해킹
‘국민 영웅’ 박항서 감독 떠나보내는 베트남···“리더십과 성과는 오랫동안 국민 마음 속에 남을 것”
‘국민 영웅’ 박항서 감독 떠나보내는 베트남···“리더십과 성과는 오랫동안 국민 마음 속에 남을 것”
여백
Back to Top