20일 방송사와 금융사의 전산망 마비를 일으킨 해커의 공격 경로에 관심이 집중되고 있다. 어떻게 외부의 공격자가 각 사 내부 전산망에 침입해 악성코드를 유포시켰다는 것이다. 현재 가능성 있게 거론되고 있는 시나리오는 크게 세 가지다.
◇시나리오1. 안랩·하우리 제품이 경로
먼저 보안 회사들의 제품을 통한 침투다. 안랩은 “이번 악성코드가 통합자산관리(APC)를 거쳐 APC와 연결된 PC가 이용된 것으로 확인됐다”고 밝혔다.
APC란 고객사 서버에 설치되는 안랩의 보안 프로그램이다. 안랩이 최신 백신 소프트웨어를 배포하면 고객사 내부의 APC가 이를 받아 사내 이용자에게 배포하는 과정을 거친다. 직원 개인에게만 맡겨 두면 보안에 위협이 될 수 있어 기업 차원에서 중앙집중식으로 관리하는 용도다.
때문에 이번 공격이 보안 프로그램의 취약점을 이용해 단행된 것 아니냐는 분석이 제기되고 있다. 만약 이 경우 보안 제품이 해커에 뚫려 제 기능을 못했다는 의미여서 문제는 심각해진다.
안랩은 그러나 “이번 해킹 사태와 관련 중간 분석한 결과, 업데이트 서버 관리자의 아이디와 비밀번호를 탈취한 것으로 추정된다”고 밝혔다.
프로그램상의 문제가 아니라 기업 내부에서 벌어진 문제란 것이다.
하우리도 자사 프로그램 상의 문제가 아닌 기업 쪽에서 벌어진 문제라고 주장했다. KBS와 YTN은 하우리 프로그램을, MBC는 안랩을 사용 중인 것으로 알려졌다.
◇시나리오2. 각사 서버 관리 권한 누출
침투 경로에 대한 분석들이 끊이지 않는 가운데 해커가 각 사 서버 관리자의 계정을 탈취했을 가능성도 제기되고 있다.
서버 관리자의 계정 정보를 획득했다면 해커는 이를 이용해 정상적으로 서버에 드나들 수 있다. 굳이 서버나 소프트웨어의 취약점을 분석해 파고들지 않더라도 악성코드를 유포, 소기의 목적을 이룰 수 있다는 얘기다.
익명을 요구한 해커 출신의 한 개발자는 “관건은 해커가 업데이트 서버에 악성코드를 심었는지”라며 “아무리 대단한 악성코드라도 서버에 심지 못하면 무용지물이기 때문에 쉽게 접근할 수 있는 관리자 계정을 탈취했을 가능성도 주시해야 한다”고 전했다.
그간 쌓아놓은 관리자 계정을 통해 악성코드들을 각사에 몰래 퍼트린 후 동시에 공격을 단행한 사건일 수 있다는 설명이다.
◇시나리오3. 통신사를 통한 침투
통신사 해킹을 통한 침투 시나리오도 제기됐다. 통신사를 공격한 후 이들과 계약을 맺고 있는 각 사의 망 관련 정보를 획득해 내부로 침투, 공격한 것 아니냐는 풀이다.
한 보안 전문가는 “파괴력 있는 공격을 하려는 해커로서는 각 기업들을 개별적으로 뚫는 것보다 상위 경로를 통해 하부 여러 곳을 침투하는 것이 가장 효율적이지 않겠느냐”며 이 같은 통신사 해킹을 통한 공격 가능성을 제시했다.
이런 시나리오는 모 통신사가 해킹 당한 사실이 드러나면서 의혹을 증폭시켰다. 방송사와 금융사의 전산망이 마비된 날 3시경 모 사의 그룹웨어에 접속할 경우 정상적인 화면이 아닌 변조 화면이 떴다. 또 이 회사가 제공하는 메신저 서비스 사이트에서도 발견됐다.
화면에는 `Whois Team`이라는 해킹팀 이름이 언급돼 있으며 “이번 일은 시작에 불과하다”는 문구도 남겨져 있었다.
해당 통신사는 그룹웨어 해킹사실은 인정하면서도 “방송사와 금융사의 전상망 마비와는 상호 관계가 없다”는 입장을 내놨다. 메신저 사이트의 해킹 여부에 대해서는 답변을 내놓지 않았다.
전문가들은 해커의 특성에 유념해야 한다고 강조했다. 피해를 극대화할 수 있는 `효율적인 방법`을 선택한다는 것이다.
권석철 큐브피아 대표는 “해커는 공격 효과를 최대한도로 끌어내려하기 때문에 모든 걸 통제할 수 있는 가장 상위를 점하려 했을 것”이라며 “해커의 속성을 간과하면 안 된다”고 말했다.
공격 경로가 확인되면 또 한 번 큰 논란이 일 전망이다. 책임 소재가 가려지기 때문에 관련된 기업들 간 공방이 예상된다.
윤건일기자 benyun@etnews.com
관련 통계자료 다운로드 3·20 해킹 침투 경로 유력시나리오3