조직위 "해커들 ‘시스템 파괴 목적’ 갖고 있어...북한 소행은 아닌 듯"

평창올림픽 당시 사이버 공격이 장기간에 걸쳐 치밀하게 준비된 지능형지속공격(APT)으로 확인됐다.

[공감신문] 지난 2월 9일, 평창올림픽 개회식 도중 조직위원회와 주요 파트너사들이 사이버 공격을 받았다. 오후 8시부터 시작된 공격은 메인프레스센터에 설치된 IPTV를 끄고 조직위 홈페이지 접속 장애를 유발했다.  

드러나지 않은 피해는 더욱 컸다. 국내 서버 50대(조직위 33개, 파트너사 17개)가 파괴됐으며 총 300여대가 영향을 받았다. 

당시 조직위 서비스 인증 서버와 데이터서비스가 파괴되면서 수송‧숙박‧선수촌 관리‧유니폼 배부 등 4개 영역에서 52종의 서비스가 중단됐다. 사실상 모든 서비스가 차단됐던 것이다.

조직위는 밤샘 복구 작업으로 12시간 만인 다음날 오전 7시 50분께 서비스를 정상화했다. 복구 과정에서 데이터 센터를 완전히 차단했으며 전체 시스템의 비밀번호도 변경해야 했다.

해커들은 외부 참여업체의 계정을 일부 탈취한 뒤 조직위 시스템으로 잠입했으며 추가로 조직위 계정을 확보해 공격에 활용했다.

3일 평창동계올림픽 조직위에 따르면, 평창올림픽 당시 일어난 사이버 공격은 장기간에 걸쳐 치밀하게 준비된 지능형지속공격(APT)으로 확인됐다.

해커들은 외부 참여업체의 계정을 일부 탈취한 뒤 조직위 시스템으로 잠입했으며 추가로 조직위 계정을 확보해 공격에 활용했다. 

평창동계올림픽 조직위 오상진 정보통신국장은 “해커들이 시스템을 사전에 파악한 후 정보 탈취보다는 시스템 파괴를 목적으로 공격했다”며 “공격에 쓰인 악성코드 41종을 확보해 분석한 결과 25개가 실제 시스템 파괴 행위에 활용됐고, 나머지는 사전 준비에 쓰였다”고 전했다.

그러면서 “이런 APT 성향의 공격은 이전 올림픽 때는 없는 것으로 알고 있다. 상당히 오래 준비가 됐고, 악의적인 공격이었다”고 덧붙였다.

그간 공격 주체로 거론돼온 북한에 대해서는 수사가 좀 더 진행돼야 알 수 있겠지만 북한 소행은 ‘아닌 것 같다’고 선을 그었다. 

오상진 정보통신국장은 "해커들은 시스템을 사전에 파악한 후 정보 탈취보다는 시스템 파괴를 목적으로 공격했다"고 설명했다.

오 국장은 “해커들은 작년 12월부터 올림픽 파트너사를 공격해왔다”며 “다양한 업체가 올림픽 준비에 참여하다 보니 높은 수준의 보안이 현장에서 100% 적용되는지 일일이 확인할 수 없었다”고 당시 상황을 설명했다.

그는 시스템 내 정상과 비정상 행위를 구분할 수 있는 행위 분석 기반의 보안체계 마련을 대책으로 꼽았다. 

이밖에도 오 국장은 “해커가 시스템에 들어오면 사전에 계정의 권한을 상승시키거나 비밀번호 변경 규칙을 바꾸는 등 여러 준비를 한다. 정상적인 행위처럼 보이지만 사실은 비정상적인 행위”라며 “행위기반의 방어체계가 있었다면 공격을 막을 수 있었을 것”이라고 말했다.

그러면서 “다행히 재해복구 훈련을 두 번 한 게 유효했다”며 “앞으로 최악의 시나리오를 가정한 재해복구 체계를 마련할 필요가 있다”고 주장했다.

저작권자 © 공감신문 무단전재 및 재배포 금지