평창동계올림픽 사이버공격 후 숨막히던 12시간...골든타임에 복구 성공

#2월 9일 저녁 8시 평창동계올림픽 개막식이 시작했다. 개막의 기쁨도 잠시, 평창올림픽 사이버침해대응팀(CERT)은 일부 인증(AD) 서버에서 이상 징후를 포착했다. 올림픽 시작과 동시에 사이버 공격이 발생했다. 순식간에 관련 시스템 50여대 부팅이 불가능했다. 조직위 정보서비스 대부분이 중단됐다. 올림픽 CERT는 즉시 응급 피해 복구체계를 가동했다. 10일 오전 경기 시작 전까지 CERT는 12시간 안에 모든 시스템을 정상화해야만 했다.

한국인터넷진흥원(KISA)는 평창 동계올림픽 사이버침해대응팀과 함께 홈페이지 악성코드 유포 여부, 디도스 공격, 위·변조, 접속 상태 등 24시간 내내 이상 징후를 모니터링했다.
한국인터넷진흥원(KISA)는 평창 동계올림픽 사이버침해대응팀과 함께 홈페이지 악성코드 유포 여부, 디도스 공격, 위·변조, 접속 상태 등 24시간 내내 이상 징후를 모니터링했다.

평창동계올림픽에서 국내 사이버 위기 대응력이 돋보였다. 대형 사이버 사고 때 마다 우왕좌왕하던 과거와 달리 골든타임 안에 시스템을 정상화했다. 경기 시작까지 12시간 밖에 없었지만 조직위, 침해대응팀, 기업 등 민관합동 전문가 250여명은 밤샘 작업으로 시스템 복구에 성공했다.

공격은 서버 복원 기능을 무력화하고 운용체계(OS)를 파괴해 재부팅을 불가능한 상태로 조작하는 파괴형이었다. 올림픽 운영을 망치려는 고도화된 공격이다. 신속히 복구가 안 되면 대회 운영에 차질을 주는 긴박한 상황이었다.

공격자는 대외 운영을 위한 등록과 인력관리, 대외일정 관리, 인력 출입, 수송, 숙박, 장비 관리 등 핵심 서비스를 노렸다. 와이파이(Wi-Fi)와 IPTV, 이메일 등 장애가 발생했다.

침해 사고 발생 후 조직위 핵심인력은 정보통신운영센터로 집결했다. 조기 긴급대응과 시스템 복구 절차를 시작했다. 조직위 복구와 더불어 범정부 합동조사팀이 함께 가동됐다.

조직위은 개막식장과 메인프레스센터, 선수촌 등 와이파이와 IPTV 서비스 등 즉시 필요한 서비스를 우선 복구했다. 개막식이 진행 중이어서 선수단과 미디어 관계자 입실에 차질을 최소화하는데 주력했다.

이후 10일 오전 7시50분까지 평창과 서울 데이터센터에서 밤샘작업이 이뤄졌다. 백업 자료를 활용해 피해 시스템 복구에 전력했다. 관련 안티바이러스(백신)를 즉시 개발했다.

조직위는 침해 사고 대응 매뉴얼에 따라 시스템 복구에 주력했다. 이번 올림픽은 최초의 클라우드 컴퓨팅 기술을 활용해 이중화한 데이터센터를 마련했다. 이를 활용해 바로 재해복구체계를 가동했다.

조직위 관계자는 “공격은 올림픽에 차질을 주려는 대규모 파괴형이었다”면서 “피해 발생 직후 위기대응 매뉴얼에 따라 신속히 움직였다”고 설명했다. 이어 “민관 보안전문가가 밤을 새우며 10일 새벽 3시 모든 시스템을 정상화했다”면서 “또 다른 공격 요소가 남아있을 가능성을 마지막으로 검증한 후 오전 7시50분에 서비스를 시작했다”고 덧붙였다.

얼 카터 시스코 탈로스 보안 인텔리전스&리서치그룹 총괄이사는 “대규모 공격을 12시간 안에 성공적으로 대응했다”면서 “준비된 조직이었기 때문에 가능한 일”이라고 말했다.

이번 올림픽과 유사한 파괴형 공격은 복구가 쉽지 않다. 2013년 3월 20일 발생한 사이버 공격에 6개 기관이 피해를 입었는데 복구에 9일 걸렸다.

평창동계올림픽조직위원회는 과학기술정보통신부, 문화체육관광부, 국가정보원, 국방부, 경찰 등 유관 기관 합동으로 평창올림픽 사이버침해대응팀을 운영했다. 한국인터넷진흥원과 국내외 유관 기관이 국제 사이버 위협에 공조했다.

평창동계올림픽 사이버공격 후 숨막히던 12시간...골든타임에 복구 성공

[표] 주요 침해 사고와 복구 사례

평창동계올림픽 사이버공격 후 숨막히던 12시간...골든타임에 복구 성공


김인순 보안 전문기자 insoon@etnews.com