[김국배기자] 지난 20일 KBS와 MBC, YTN 등 주요 방송사와 신한은행, 농협 등 일부 금융기관의 전산망을 마비시킨 해킹 사건을 둘러싼 논란이 계속되고 있다.
아직까지 정확한 해킹 경로와 해커의 정체에 대한 사실은 드러나지 않은 가운데 해킹 수법에 따른 책임 소재와 정보 유출 가능성을 두고는 의견이 엇갈리는 상황이다.
◆책임 소재 어디 있나
책임여부를 가리는 핵심은 악성코드가 방송사와 은행 내부에 있는 백신 업데이트 관리 서버에 들어간 방법이 무엇인가다.
현재까지 밝혀진 바에 따르면 피해를 입은 방송사와 금융사 내부의 패치관리서버(PMS)가 악성코드로 뿌리는 통로로 악용된 것은 맞다.
안랩은 지난 지난 21일 "악성코드 유포에는 외부망 IDC에 위치한 '업데이트 서버'가 아닌 기업의 내부망의 '자산관리서버(안랩의 경우 APC서버)'가 이용된 것으로 확인됐다"고 밝혔다. 하우리도 비슷한 의견을 냈다.
그러나 이는 어디까지나 악성코드의 유포경로가 밝혀진 것이지 애초에 악성코드가 심어진 침투경로가 됐다는 이야기는 아니다. 보안회사들이 '내부 서버 관리는 개별 기업의 책임'이라며 선을 긋는 이유다.
보안회사는 해커가 지능형지속위협(APT) 공격을 통해 관리자의 계정(ID, 패스워드)을 탈취했을 가능성이 높다고 추정한다. 그렇게 되면 정상적인 접근이 되기 때문에 소프트웨어(SW)의 취약점이 없어도 충분히 악용이 가능하다는 이유에서다.
백신을 제조하는 보안회사에게 책임이 있다는 견해도 나온다. 보안업체의 백신 업데이트 서버가 직접 해킹을 당했을 가능성이 제기되면서다. 지금까지 나온 보도에 따르면 정부 합동조사팀은 농협 서버 조사 결과 서버 관리자가 접속한 기록, 즉 로그기록이 발견되지 않았다는 발표했다.
또한 일부 해외 보안업체들도 이번 해킹에 쓰인 악성코드를 1년 전에 찾아내 방지했다는 주장도 나오면서 자체 취약성에 대한 의심이 불거졌다.
이에 대해 안랩 관계자는 "여러 단계로 구분되는 업데이트 관리 서버는 최상위 단계의 서버에서만 인증을 요구하고 하위 단계에서는 로그인 기록이 없어도 된다"며 "정확한 사실은 아직 확인 중"이라고 해명했다.
패치관리서버(PMS)는 최신 버전의 백신을 주기적으로 내려보내는 등 백신이나 문서프로그램 같은 기업의 업무용 소프트웨어를 관리하는 서버로, 안랩의 APC, 하우리 바이로봇 ISMS가 여기에 해당한다. 농협·신한은행·MBC는 안랩, YTN은 하우리의 백신을 쓰고 있으며 KBS는 양사 제품을 모두 사용하고 있다.
◆정보 유출 가능성 엇갈려
정보 유출 가능성에 대한 보안 전문가들의 시각도 엇갈린다. 위험을 높게 잡는 쪽은 '방법'에서, 상대적으로 낮게 보는 쪽은 '의도'에서 근거를 찾는다.
피해를 입은 방송사와 금융사의 주요 데이터가 삭제되거나 개인정보가 유출됐을 가능성을 배제할 수 없다는 이유이고 또 이번 공격이 디도스(DDoS)가 아닌 악성코드에 의해 이뤄졌기 때문이다.
디도스(DDoS) 공격은 한 곳에 트래픽을 집중시켜 사이트를 중단시킬 뿐 정보를 빼내가지는 않았다.그러나 이번 공격은 악성코드에 의한 것으로 정해진 시간(20일 오후 2시)에 공격을 감행하기 전 미리 설치돼 있었기에 이미 서버와 PC에 담긴 데이터를 가져갔을 수 있다는 주장이다.
데이터 보안업체인 보메트릭코리아 측은 "악성코드에 의해 데이터가 삭제된 PC의 경우 백업 데이터나 재작업을 통해 데이터를 복구할 수 있지만, 만약 중요한 정보가 유출됐다면 2차 피해의 우려가 있다"며 "특히 사전에 데이터에 대한 암호화를 철저히 해두지 않았다면 더 위험하다"고 지적했다.
이에 반해 정보 유출 가능성을 낮게 보는 견해도 있다. 정보 획득이 목적이었다면 하드디스크 영역을 파괴하면서 굳이 발각되기보다는 몰래 계속 정보를 취하는 것이 봗 상식적인 행동이라는 이유에서다.
홍민표 에스이웍스 대표는 "정보를 원했다면 굳이 시스템을 망가뜨리지 않고 계속해서 정보를 빼내갔을 것"이라고 말했다.
박찬암 라온시큐어 보안기술 팀장은 "이번 해킹은 정보를 목적으로 했다기보다는 사이버테러에 더 가깝다"고 규정했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기