조직위 "시스템 파괴가 목적…최악 가정 재해복구체계 필요"
(서울=연합뉴스) 고현실 기자 = 평창동계올림픽 개막일에 발생한 사이버 공격은 장기간에 걸쳐 치밀하게 준비된 지능형지속공격(APT)으로 파악됐다.
평창동계올림픽 조직위원회 오상진 정보통신국장은 2일 한국정보화진흥원 서울사무소에서 열린 과학기술정보통신부 정보보호 세미나에서 이같이 밝히며 "해커들은 시스템을 사전에 파악한 후 정보 탈취보다는 시스템 파괴를 목적으로 공격했다"라고 설명했다.
오 국장은 "공격에 쓰인 악성코드 41종을 확보, 분석한 결과 25개가 실제 시스템 파괴 행위에 활용됐고, 나머지는 사전 준비에 쓰였다"며 "이런 APT 성향의 공격은 이전 올림픽 때는 없는 것으로 알고 있다. 상당히 오래 준비가 됐고, 악의적인 공격이었다"고 분석했다.
공격 주체에 대해서는 "북한은 아닌 것 같다"며 "수사가 좀 더 진행돼야 공격자를 알 수 있을 것"이라고 말했다.
앞서 지난 2월 9일 평창올림픽 개회식 도중 조직위원회와 주요 파트너사들이 사이버 공격을 받았다. 오후 8시 시작한 공격으로 당시 메인프레스센터에 설치된 IPTV가 꺼지고, 조직위 홈페이지에 접속 장애가 발생하는 등의 피해가 났다.
드러나지 않은 피해는 이보다 더욱 컸다. 국내 서버 50대(조직위 33개, 파트너사 17개)가 파괴됐고, 총 300여대가 영향을 받았다.
당시 조직위 서비스 인증 서버와 데이터베이스 서버가 파괴되면서 수송·숙박·선수촌 관리·유니폼 배부 등 4개 영역 52종의 서비스가 중단됐다. 사실상 모든 서비스가 차단되는 상황이었다.
조직위는 밤샘 복구 작업에 나서 12시간 만인 다음날 오전 7시 50분께 서비스를 정상화했다. 복구 과정에서 데이터센터를 완전히 차단했고, 전체 시스템의 비밀번호를 바꿔야 했다. 다행히도 올림픽 운영에 큰 차질은 없었다.
조직위 분석 결과 해커들은 외부 참여업체의 계정을 일부 탈취한 뒤 조직위 시스템으로 잠입, 추가로 조직위 계정을 확보해 공격에 활용한 것으로 파악됐다.
오 국장은 "해커들은 작년 12월부터 올림픽 파트너사를 공격해왔다"며 "다양한 업체가 올림픽 준비에 참여하다 보니 높은 수준의 보안이 현장에서 100% 적용되는지 일일이 확인할 수 없었다"고 털어놓았다.
오 국장은 대책으로 시스템 내 정상과 비정상 행위를 구분할 수 있는 행위 분석 기반의 보안체계를 꼽았다.
그는 "해커가 시스템에 들어오면 사전에 계정의 권한을 상승시키거나 비밀번호 변경 규칙을 바꾸는 등 여러 준비를 한다. 정상적인 행위처럼 보이지만 사실은 비정상적인 행위"라며 "행위 기반의 방어체계가 있었다면 공격을 막을 수 있었을 것"이라고 아쉬워했다.
오 국장은 "다행히 재해복구 훈련을 두 번 한 게 유효했다"며 "앞으로 최악의 시나리오를 가정한 재해복구 체계를 마련할 필요가 있다"고 강조했다.
okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
