컨텐츠 바로가기

03.19 (화)

사이버 공격만 6억건…아찔했던 평창올림픽 조직위에 무슨 일이?

댓글 1
주소복사가 완료되었습니다
2018 평창 동계올림픽 대회 준비 기간과 대회 기간을 통틀어 6억건이 넘는 사이버 공격 시도가 있었던 것으로 나타났다.

정체불명의 사이버 공격 조직은 2월 9일 개막식 당시 조직위원회 시스템을 일시적으로 마비시킨 '올림픽 파괴자(Olympic Destroyer)' 악성코드 공격을 비롯해 조직위 6200여대 PC의 하드디스크를 일제히 파괴하려는 공격 시도까지 감행했다. 올림픽 기간 자칫 방어에 소홀했다가는 대회를 정상적으로 운영할 수 없게 되는 아찔한 상황이 매 순간 펼쳐졌다.

IT조선

◆ ICT 올림픽 명성에 흠집내기…하루에도 수십만건 공격 시도 쏟아져

23일 IT조선이 입수한 평창올림픽 사이버 침해대응팀(CERT) 관련 자료를 보면, 대회 준비 기간(2017년 11월~2018년 2월 8일) 6억400만건, 하루 평균 60만건의 사이버 공격 시도가 있었던 것으로 확인됐다.

평창올림픽 CERT는 대회 기간(2월 9일~2월 25일)에도 총 550만건, 하루 평균 32만건의 사이버 공격을 차단했다. 공격 양상은 주로 홈페이지와 조직위 구성원 이메일 해킹 시도가 많았다.

올림픽과 같이 전 세계가 주목하는 이벤트는 민감한 정치,외교적 사안을 놓고, 조직적으로 물리력을 행사하려는 행동주의 해커(핵티비스트)가 존재감을 드러내기 좋을 때이기도 하다. 특히 평창 동계올림픽은 세계 최초 5세대(5G) 시범서비스, 4K UHD 지상파 생중계 등 정보통신기술(ICT) 올림픽을 표방한 만큼 전 세계 사이버 공격자의 관심도 집중됐다.

조직위는 세계적인 행사를 노리는 사이버 공격 조직의 지능형 지속 위협(APT) 공격을 예상하고 주요 시스템 보호를 위해 올림픽 망과 인터넷망을 분리해 업무망을 보호하는 정책을 도입했다. 주요 정보 인프라를 이중화해 운영하고, 내부자에 의한 USB 악성코드 감염을 예방하는 조치도 취했다. 만에 하나 침해사고가 발생하더라도 최단시간에 시스템을 정상 복구할 수 있도록 모의 해킹 훈련도 정기적으로 실시했다.

특히 조직위 전 직원 PC에 소프트웨어 실행제한 정책(SRP)을 적용해 가장 치명적일 수 있는 공격을 피해 없이 막아내는 데 성공했다. 실제 조직위 6200여대 PC를 동작 불능으로 만들기 위한 목적의 사이버 공격 시도가 있었지만, 결과적으로 한 대의 PC도 피해를 당하지 않았다. 조직위 내부에서도 PC가 대거 피해를 봤다면 복구에 오랜 시간이 필요해 사실상 정상적인 올림픽 운영이 불가능했을 것으로 판단했다.

◆ 긴밀한 협조로 파괴적 악성코드 침해사고 발생 12시간 만에 정상화

2월 9일 오후 8시 개막식이 시작된 직후 조직위 시스템을 파괴하기 위해 활동을 시작한 올림픽 파괴자 악성코드의 경우 더 긴박한 상황을 연출했다. 본격적인 대회 시작을 12시간 앞두고 조직위 정보 서비스 대부분이 중단된 것이다. 침해 발생 직후 조직위 간부 등 핵심 인력은 즉시 정보통신운영센터로 집결해 상황을 파악하고, 조기 긴급대응 및 시스템 복구에 돌입했다.

당장 해결해야 할 사안은 개막식 과정에서 중계가 이뤄지는 메인 프레스센터를 정상화하고, 개막식 후 선수들이 입실할 선수촌 등에 제공되는 와이파이, IPTV 등의 주요 서비스를 신속히 복구하는 것이었다. 조직위는 사전에 준비된 침해사고 대응 매뉴얼에 따라 즉시 필요한 서비스를 우선 정상화한 후 다음 날 정상적인 대회 운영에 차질이 없도록 전체 시스템 복구 작업에 나섰다.

복구 과정에서 올림픽 파괴자 악성코드가 서버 복원 기능을 무력화하고, 운영체제를 파괴해 재부팅 할 수 없는 상태로 만드는 등 시스템을 중단시키려는 목적으로 제작된 것으로 드러났다. 실제 이 악성코드로 인해 조직위 서버 50여대의 데이터 일부가 파괴됐다. 조직위와 평창올림픽 CERT, 보안 업체 담당자 250여명은 그 자리에서 악성코드를 분석해 전용 백신을 개발해 적용하고, 백업 자료를 활용해 손실된 데이터를 복구했다. 밤샘 작업 끝에 전체 시스템 복구를 끝낸 후 재발 방지 조치까지 완료한 시점은 악성코드 활동을 파악한 지 12시간 만인 다음 날 오전 8시였다.

과거 주요 침해사고에 따른 복구 사례를 보더라도 평창 동계올림픽에서의 12시간 내 복구는 의미가 크다. 2011년 농협 전산망 해킹 사고의 경우 복구에 18일이 걸렸다. 2013년 3.20 사이버 공격은 9일 만에 복구가 이뤄졌고, 2013년 6.25 사이버 공격은 복구에 23일이나 소요됐다. 그 뒤에는 평창올림픽 CERT와 민간 보안 전문 업체 관계자 150명과 과기정통부, 문체부, 국가정보원, 국방부, 경찰청 등 외곽에서 올림픽 정보보안을 지원한 500명 등 총 700명쯤의 보안 요원이 있다.

IT조선

평창올림픽 CERT 한 관계자는 "이번 올림픽 사이버 공격은 그 어느 때보다도 치밀하게 기획된 고도화 공격이었고 공격에 따른 피해도 막대했다"며 "하지만, 조직위 사이버 대응팀과 범정부 사이버 침해대응팀의 긴밀한 협력으로 조속히 피해를 복구해 대부분의 올림픽 참여자가 개막식 당시 사이버 공격이 있었는지 조차 몰랐다"고 말했다.

그는 또 "사이버 보안 업무 특성상 보안 요원은 보이지 않는 곳에서 치열하게 업무를 수행하는 만큼 이들의 노력이 과소평가돼서는 안된다"며 "개인,기업,국가 차원의 지속적인 보안 인식 제고가 필요하다"고 말했다.

IT조선 노동균 기자 saferoh@chosunbiz.com
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.