[공감신문] 지난달 9일, 평창동계올림픽 개회식 도중 메인프레스센터에 설치된 IPTV가 꺼지고, 조직위원회 홈페이지에 접속 장애가 발생하는 피해가 발생했다.

‘올림픽 파괴자(Olympic Destroyer)’로 불리는 이 악성코드에 대해 해커가 일부러 공격을 피하지 않았다면 최악의 사태가 전개될 수 있었다는 해석이 나왔다. 

20일 시스코 위협 탐지 전문가 조직 얼 카터 연구원은 “공격자들이 의도적으로 ‘맛만 보여주겠다’며 최악의 사태까지 가지 않으려는 행태를 보여준 것 같다”고 설명했다.

그는 “코드를 분석해보면 파일 공유 시스템의 파일만 삭제하고, 실제 시스템에 있는 파일을 삭제하라는 명령은 없었다”면서 “충분히 파괴할 능력이 있지만, 일부러 그러지 않은 것”이라고 덧붙였다. 

해당 악성코드는 자가전파 기능이 있어 주변 시스템에 자동으로 전파된 것으로 확인됐다. 특히 해커가 사용자의 자격 정보를 수집하는 데 뛰어나 감염된 시스템의 사용자 정보를 모두 가져간 것으로 분석됐다.

이번 공격의 배후로는 러시아, 북한 등이 거론됐지만 시스코는 배후를 특정하기 쉽지 않다는 입장을 드러냈다. 

카터 연구원은 “공격자가 의도적으로 여러 국가가 가진 특징을 의도적으로 섞어서 공격할 수 있기 때문에 추가 정보 없이 판단하기 어렵다”고 말했다. 

그러면서 “공격의 배후를 추정하는 것보다 서비스를 안전하게 보호하는 것이 더 중요하다”며 “이런 점에서 평창동계올림픽 조직위원회가 이 공격을 12시간 이내에 인지하고 대응해 상당히 준비된 올림픽이었다고 생각한다”고 강조했다. 

최근 해커들의 주요 타깃은 암호화폐, 사물인터넷(IoT) 기기 등이다.

암호화폐 공격에는 주로 미끼용(피싱) 사이트가 활용됐다. 블록체인과 관련한 피싱 사이트를 만든 뒤 구글 검색 결과에서 상단에 노출해 이용자를 유인하는 방식이다.

시스코가 특정 피싱용 사이트의 도메인네임서버(DNS) 정보를 분석해보니 이미 수십만명의 이용자가 접속한 것으로 확인됐다. 해당 공격의 발생지는 우크라이나로, 피해 금액은 3년간 5000만 달러(한화 약 535억원)에 달했다. 

암호화페와 관련해 채굴 악성코드도 증가하고 있었다. 이와 관련해 카터 연구원은 “채굴용 악성코드는 수익성이 높고 발견될 가능성은 거의 없다”라며 “가상화폐 ‘모네로’ 채굴용 악성코드가 늘어난 것도 비슷한 맥락”이라고 말했다.

IoT 보안과 관련해서는 IoT 기기 하나하나가 침투를 위한 컴퓨터가 될 수 있다며 기기 대부분이 보안을 고려하지 않고 저렴한 비용에 역점을 두고 생산된 게 많아 공격에 취약한 점을 지적했다. 

카터 연구원은 “모든 사물이 연결되면서 데이터가 공격자의 타깃으로 떠올랐다”며 “IoT의 보안은 업계 전체가 힘을 모아 해결해야 한다. IoT 기기 개발 과정에서부터 보안을 고려해야 한다”고 경고했다.