평창 동계올림픽을 이용한 이메일과 악성코드 공격이 발생했다. 개막을 일주일 앞두고 사이버 긴장감이 고조되고 있다. 2012년 런던올림픽, 2014년 소치 동계올림픽, 2016년 브라질 올림픽 기간에 분산서비스거부(DDoS·디도스) 공격이 발생한 바 있다. 올림픽 성공 개최를 위해 강화된 사이버 보안 대비가 요구된다.
안랩은 최근 평창 동계올림픽을 사칭한 악성 이메일과 악성코드를 발견했다. 공격자는 동계올림픽 이벤트 프로그램으로 위장한 악성코드를 유포했다. 해당 악성코드는 올림픽 오륜기 이미지를 아이콘으로 사용, 'OlympicGame.exe'이란 파일명으로 위장했다. 실행하면 평창 동계올림픽을 사칭하는 복권 가입 신청서가 나타나고, 사용자 이름과 이메일 주소를 요구한다. 평창 동계올림픽과 무관한 로고 이미지 등이 포함됐지만 언뜻 봐서는 이를 알아보기 어렵다. 이름과 메일주소를 입력하고 가입 버튼을 누르면 정보가 공격자에게 전송된다.
OlympicGame.exe는 사용자 정보를 공격자에게 전송하고 PC 내부에서 악성 행위를 벌인다. 악성코드 실행 시 임시 경로에 추가로 생성된 winupdate.exe 파일은 시작 프로그램이나 예약 작업에 악성코드를 등록, 자동으로 실행시킨다. 악성 파일은 명령&제어(C&C) 서버로부터 추가 악성코드를 내려 받는다.
정부기관에서 발송한 것으로 위장한 악성 이메일도 발견됐다. 공격자는 농림식품부를 사칭해 '평창 동계올림픽 대비 축산악취 방지 대책 관련기관 회의 개최'란 문서가 첨부된 이메일을 보냈다.
파일을 열면 문서 상단에 보안 경고 메시지가 나타나고, '콘텐츠 사용' 버튼을 누르면 악성 매크로가 활성화한다. 활성화된 매크로는 파워셸(PowerShell)을 실행한다. 파워셸은 특정 URL로 접속해 사용자 PC에다 추가 악성 파일을 강제로 내려 받게 한다.
보안 전문가는 평창 동계올림픽이 올해 사이버 공격 분수령이 될 것으로 전망했다. 정영석 잉카인터넷 이사는 “사회 이슈를 이용한 사이버 공격은 기술 난도가 낮지만 해킹 이메일을 발송했을 때 열어 볼 확률이 높다”면서 “평창 동계올림픽은 글로벌 행사로, 이를 활용한 악성코드가 늘 것으로 예상된다”고 경고했다.
김승주 고려대 정보보호대학원 교수는 “평창 동계올림픽은 대회정보관리시스템(GMS)과 올림픽 관련 웹사이트, 애플리케이션(앱)을 클라우드로 운영하는 최초 행사”라면서 “올해 초에 공개된 중앙처리장치(CPU)의 취약점 등이 클라우드 서비스에 미치는 영향이 커서 사이버 공격에 만전을 다해야 한다”고 조언했다.
과학기술정보통신부는 평창동계올림픽조직위원회, 문화체육관광부, 국가정보원, 국방부, 경찰 등 유관 기관 합동으로 '평창올림픽 사이버 침해 대응팀'을 운영하고 있다. 해외 유관 기관과 국제 사이버 위협에도 공조한다.
한국인터넷진흥원(KISA)는 평창 동계올림픽 사이버침해대응팀과 함께 홈페이지 악성코드 유포 여부, 디도스 공격, 위·변조, 접속 상태 등 24시간 내내 이상 징후를 모니터링한다.
김인순 보안 전문기자 insoon@etnews.com