2013년 3월 20일.
또 보안사고 역사에 길이(?) 남을 만한 보안사고가 발생했다. 조금은 특이한 형태의 공격인 듯 한데 KBS, MBC, YTN 3개 방송사의 내부 전산망이 일시에 다운이 된 사고다.
그런데 이 표현 “방송사 내부 전산망이 일시에 다운”이라는 표현은 참으로 무지한 표현이다. “전산망” 이라함은 “서버와 서버 혹은 서버와 PC를 연결하는 Network”를 일컫는 표현이다. DDOS와 같은 공격에 장애가 발생할 경우 “전산망” 공격이라는 표현이 옳은 표현이겠지만 이번의 경우는 “전산망 다운”이라고 부르면 안된다고 생각된다.
“KBS, MBC, YTN” 공격의 특징
여기 저기서 들려오는 소문과 객관적 사실들을 정리해보면
1. KBS 아나운서의 트위터 : 오후 2시경 갑자기 PC가 리부팅 한다고 메시지를 띄운 뒤 종료된 뒤 부팅이 안됨.
2. 농협에 갔던 1인(잘아는 지인) : 갑자기 긴급 상황이라며 PC나 노트북에 연결된 랜선을 모두 뽑아달라고 농협 직원이 요청.
3. YTN,MBC, KBS 관계자 (뉴스기사) : 수백대의 PC가 종료된 뒤 다시 켜지지 않음.
4. 모 VAN사 (MS에 문의결과) : PC의 Windows에 부팅파일들이 삭제되는 공격으로 보인다고 답변.
내가 확인할 수 있던 몇몇 상황을 보면 이번 사고는 DDOS와 같은 서버와 네트워크를 마비시키는 공격이 아닌 보다 심각한 상황을 만들기 위해 오래전부터 방송3사 (KBS, YTN, MBC)의 내부 PC들을 공격하기 위해 준비를 한 것으로 보인다. 사실 이 준비단계가 쉬운것은 아니다.
그리고 농협의 경우 직접 공격을 당하지 않았음에도 사고 발생 한시간 남짓만에 PC에 연결된 랜선을 뽑아달라고 요청한 것으로 보아 원인을 이미 알고 있었던 것으로 보인다.
백신이 왜 막지를 못했는가?
PC의 악성코드 감염과 관련된 이슈가 나올 때마다 나올 법한 백신 이슈는 이번에도 잠잠할까?? 의문이다. 왜냐하면 이번 사고를 포함해서 DDOS 공격 등 대형 보안사고의 경우 어김없이 PC에 감염되는 악성코드에 대한 이야기가 표면으로 떠오르기 때문이다. 그럼에도 불구하고 백신에 대한 책임론은 그리 크게 부각되지 않는다. 이런 사고가 발생할 때마다 오히려 백신을 설치하라는 이야기가 더 많이 나오곤 한다. KBS, MBC, YTN 모두 V3 백신이 설치되어 있음에도 PC의 악성코드 감염을 막지 못했는데도 말이다. 역설적이지 않은가???
백신은 새로나온 악성코드는 잡아내지 못하는 너무나 큰 단점이 있다. 이는 백신 자체가 블랙리스트 방식을 취하고 있기 때문이다. 블랙리스트 방식은 “위험한 파일의 패턴” 목록을 갖고 있고 PC내에서 프로그램이 실행될 때마다 “위험한 파일”인지를 이 패턴 목록과 비교하여 차단하는 형태를 말한다.반대의 경우는 화이트리스트 방식이라고 한다.
예방 대책은 없는가?
지금까지의 블랙리스트 방식의 백신은 해결책이 되지 못한다. 전혀 새로운 개념의 백신이 필요할 듯 싶다. 인공지능형 백신?? 그런건 아직 실현불가능하다. 어느정도 해결 가능한 아이디어가 있긴 하지만 블로그에 풀기에는 그 무게가 너무 무겁다. 언젠간 그런 제품이 나오지 않을까를 기대해본다.
가장 중요한 “해킹 경로”는 ?
사고 발생 7시간여가 되어가는 지금.. 정확한 해킹경로는 밝혀지지 않고 있다. 하지만 몇몇 해킹가능성이 의심되는 경로가 발표되고 있다. 경로는 불분명하지만 공격 대상은 명확하다. 바로 업무용 “PC”다. 즉 Windows xp/7 등의 OS가 설치되어 있는 PC..그중에서도 Disk 파괴다.
언론에 언급되는 MBR은 Master Boot Record 의 약자로서 C: 드라이브의 물리적인 가장 앞부분.. Windows가 부팅되는데 가장 필수적인 매우 작은 영역이다. 이곳이 지워지거나 파괴되면 PC는 부팅되지 않으면 일반적인 Windows의 설치 방법으로는 복구가 되지 않을 수도 있다.
그렇다면 해커는 어떻게 PC까지 악성코드를 감염시켰을까?
몇몇 흘러나오는 이야기를 정리하면…
1. 안랩에서 제공하는 PMS (Patch Management System)을 통해 업무용 PC에 배포되었을 거라는 이야기가 있다. 하지만 현실적으로 이런 방식으로는 여러 방송사와 기관을 동시에 해킹하기는 쉽지 않다.
2. URL 해킹이라는 이야기… 솔직히 난 URL해킹이라는 해킹기법은 처음 들어본다. 언론에서 URL해킹 이라는 이야기를 하지만 솔직히… 뭘 의미하는지 이해할 수 없다. URL을 변조하는 공격은 DNS의 주소를 바꿔치기한다는 이야기인지 모르겠다. 바꿔쳤다고 해도 외부에서 웹서버도 아닌 내부 네트워크에 있는 PC까지 URL 바꿔치기로 접근한다는 것은 불가능하다. 뭘 모르는 사람의 말도 안되는 이야기를 언론에서 떠는 것 같다.
3. 고전적 기법의 악성코드 유포. 가장 가능성이 높을 것 같다. 이메일을 통해 첨부파일로 감염을 시키거나 다른 웹사이트.. 예를 들면 방송국 근무자들이 많이 드나드는 웹사이트를 먼저 해킹하여 Java Script 해킹기법 등을 통해 악성코드를 유포하도록 웹페이지를 변조 한 뒤 공격대상인 3개 방송국에 만족할 만한 숫자의 PC를 확보한 순간 일제히 PC를 공격하도록 했을 가능성이 있다.
아직은 정확한 조사결과가 나오지 않아서 잘 모르겠지만 어떤 결과가 나오든 명확한 것은 DDOS에만 관심을 쏟다가 제대로 해킹다운 해킹을 당했다는 것이다.
DDOS는 사실 단지 서비스를 못할 뿐이다. 중요한 정보가 유출된 것도 아니고 기관 내부의 PC나 서버의 데이터가 훼손된 것도 아니다. 피해는 상대적으로 적을 수 밖에 없다. 하지만 이번 사고처럼 내부의 수백대의 PC가 망가지거나 농협의 경우처럼 서버의 파일이 손상되거나 정보가 유출되면 그 피해는 엄청날 수 밖에 없다. 이번 해킹사고는 정말 중요하게 생각해야할 것이 무엇인지를 보여주는 매우 중요한 사고 사례다.