현재 위치:   » 테크 » 중앙 보안 관제의 재앙 – 3.20 사이버테러의 전말

중앙 보안 관제의 재앙 – 3.20 사이버테러의 전말

2013년 3월 20일 오후 2시경 KBS, MBC, YTN, 신한은행, 농협 등에서 발생한 동시다발적인 PC 디스크의 파티션 파괴와 리부팅은 어디선가 한날 한시에 원격파일전송 및 실행이 이루어졌음을 의미한다. 일단 방송사, 금융사의 전 직원 PC가 한날한시에 동시에 내려앉았기 때문에 사용자가 악성코드를 잘못 눌렀다가 당한 것이라 이야기하는 건 논리적으로 맞지 않으니 상상의 범위에서 제쳐놓자. 누가 그 짓을 했을까?

TV조선을 비롯한 보수 언론이 이 사건을 북한이 저지른 것처럼 몰아가는 것처럼 정말 북한이 그랬을까? 그랬다고 치자. ‘광의의 개념에서 종북’이 되지 않기 위해서라도 당장 오늘부터 우리는 북한이 그랬다는 믿음을 가지기로 하자. 그럼 북한은 어떻게 이 컴퓨터들을 한 방에 다 조종했을까?

"Network Operating Center", QSC AG (CC BY-SA 2.0)

“Network Operating Center”, QSC AG (CC BY-SA 2.0)

기업체 보안 관제 프로그램이 하는 일 – 중앙에서 모든 걸 조종

일반적으로 기업체 보안 관제 프로그램 또는 백신 에이전트 프로그램(이하 에이전트 프로그램)들은 중앙서버로부터 파일도 전송받고 관리자권한으로 프로그램을 원격실행시키기도 한다. 사실 이러한 관제 체계가 수립된 것은 사람의 수고 없이 인터넷만 연결해놓으면 개별 PC의 백신 프로그램이나 업무용 프로그램을 원격에서 자동으로 설치하고 업데이트하고자 하는 수요에서 시작된 것이다. 즉 중앙에서 ‘조종’하는 것이다.

여기에 기술상의 뿌리가 같아서, 특정PC의 문서를 가져오거나 해당 직원이 열람한 인터넷 사이트 목록을 확보하거나 다운로드받은 파일을 열어보거나 작업중인 화면을 엿보는 것 또한 가능해 많은 기업들이 노동감시의 이점까지 고려하여 너도나도 전직원 PC에 설치하고 있다. 이 에이전트 프로그램들이 직원 PC에 설치되면 중앙 관제 서버의 관리하에 놓이게 되는데 이 서버에서 업무용 프로그램이 아닌 하드디스크 데이터를 파괴하는 프로그램을 전송하고 실행하게끔 명령한 뒤 재부팅까지 시킨 것이 이번 사건의 전말이다.

이들 중앙 관제 서버들은 또 다른 총 관제 서버의 통제를 받게 되며 이 먹이사슬의 맨 끝에는 각 보안업체(안랩, 하우리 등)의 중앙 서버가 자리 잡고 있다. 이들 업체들의 중앙 서버에는 회사별, 기관별 PC의 IP와 사용자 정보, 설치된 프로그램, 방문한 인터넷 사이트 목록 등 모든 정보가 ‘악성코드 침입 감시’를 이유로 저장된다. 바로 이 서버에서 KBS, MBC, YTN, 신한은행, 농협 등을 콕 찍어 하드디스크 데이터를 날려버리는 프로그램을 전송하고 실행하게 한 뒤 재부팅 명령을 내린 것이 분명한 것으로 보인다. (편집자 주: 이와 관련해 보안업체들은 자사측 중앙 서버가 아닌 사용 업체 내부의 업데이트 서버의 관리자 권한이 탈취된 것이라는 해명을 하기도 했습니다.)

사이버 공격만 받으면 북한의 소행?

이 짓을 누가 했는지는 사실 해당 보안업체 서버에만 기록이 남아있을 것이다. 그리고 해당 업체들은 ‘보안업체’로서의 자존심이 걸려있기 때문에 사건 발생 즉시 자신들에게 남겨진 기록을 삭제하는 것이 얼마든지 가능하다. 따라서 누구의 소행인지는 신속하게 해당 업체들의 관제 서버 하드디스크를 확보하지 않은 이상 확실한 증거는 찾아내기 어렵다.

자. 여기서부터는 가능성을 전제로 한 픽션이다. 위와 같다면 주요 주류 언론들이 ‘북한 소행일 것이다.’ ‘북한 소행이 틀림없다.’라고 말을 지어내는 것도 얼마든지 가능하다. 북한 소행이 되는 순간 이들 보안업체들에게는 면죄부가 주어진다. 마치 농협 전산망 마비사건이 북한 소행이 되면서 그간 농협에서 돈을 못 뺀 시민들의 불편함에 관한 농협의 책임이 깨끗하게 사라졌던 것처럼 말이다.

각 보안업체 서버로부터 전송된 잘못된 관제명령으로 전국 방송사 기자, PD, 작가들의 모든 작업물이 날아가 공황에 빠지는 초유의 사태에 대한 천문학적인 손해배상 책임을 보안업체들이 순순히 받아들일 리 만무하다. 지난 18대 대선 후보였던 안철수 씨가 만들었던 안랩은 더더욱 발등에 불이 떨어졌을 것이다. 더구나 전국에 뿌려진 업무용 PC 관제 에이전트 덕에 노동자들의 노동감시가 가능한 훌륭한 체계를 국가가 쉽사리 포기하기도 아까울 것이다.

그 보안업체 관계자들과 방송통신위원회, 국방부, 국가정보원, 청와대 등이 모여 한 자리에서 지금 대책회의를 하고 있다. 그들은 무엇을 원하겠는가? 우리가 상상할 수 있는 그 범위의 결정이 또다시 내려질 것이다. 마치 수년 전 농협 전산망 마비사태 때 ‘과거 북한이 해왔던 공격 수법과 비슷한 것으로 보아 이번 농협 전산망 마비도 북한 체신국의 사이버공격임이 틀림없다.’ 라고 발표한 것처럼 말이다.

'후이즈'라는 팀이 이번 해킹을 했다고 밝히고 있는 메시지 ( 제공: 트위터 아이디 @Re_YJ )

‘후이즈’라는 팀이 이번 해킹을 했다고 밝히고 있는 메시지 ( 제공: 트위터 아이디 @Re_YJ )

근본적인 원인은 중앙 관제 중심의 보안 체계의 취약함

중앙 관제, 중앙 감시 중심의 기업 보안 체계의 취약성이 이번 사건의 근본적인 원인이다. 중앙 관제 서버에서 마음대로 프로그램을 설치하게끔 PC의 주요 권한을 통째로 넘겨버리는 현재의 보안 관리 체계, 이를 통해 노동감시 또한 가능해졌음에도 누구도 막지 않고 방관한 것이 이번 사건의 근본 원인이다. 테크노크라시(technocracy, 과학적 지식과 기술을 가진 사람이 경제 체제를 관리하는 사회 체제)는 먼 미래의 이야기가 아니다. 지금 당장 우리 앞에 나타나 있다. 그리고 그 기술지배의 최상위 권한을 공격자가 탈취한 것이 이번 사건의 전말이다.

그 공격자가 북한이었든, MBR(Master Boot Record, HDD나 SSD 등 저장장치의 맨 앞에 기록되는 시스템 기동용 영역, 이것이 지워지면 PC의 부팅 등이 불가능해진다.)을 덮어씌운 라틴어 문구 HASTATI(하스타티, 로마제국 시절 로마군 보병대의 3개 대열 중 맨앞에 서는 선봉 부대)처럼 로마군대였든, WHOIS라고 자칭하는 해커팀이었든 그건 중요하지 않다. 그런 원격제어가 가능케 한 중앙 보안 관제 체계가 이 사태의 책임을 져야 하며 이 체계를 도입한 자들이 날아간 하드디스크에 관한 최종적인 책임을 져야 할 것이다. (MBC의 경우는 100% 김재철 사장 탓이 아닐까.) 북한인지 누군지 알 수 없는 허공에 탓해보았자 앞으로도 계속 이와 같은 취약성 하의 공격은 계속될 것이다. 그럼에도 국가와 주요 매체들은 북한을 내세우며 우리의 시선을 다른 곳으로 돌리려 하고 있다. 북한의 사이버 공격이네 북한이 그랬네 하며. 진짜 범인은 다른 곳에 있는데 말이다.

누가 집 열쇠를 통째로 맡겼나

방송통신위원회는 “피해 기관으로부터 채증한 악성코드를 초동 분석한 결과, 업데이트 관리서버(Patch Management System)을 통해 유포가 이뤄진 것으로 추정하고 있다”며 “부팅영역(Master Boot Record)을 파괴시킨 것으로 분석하고 있다”고 설명했다.

출처: ZDNet Korea – “악성코드, 안랩-하우리 모듈 통해 유포”

실제로 에이전트를 관제하는 업데이트 서버가 악성코드를 배포한 것이라는 방통위의 발표가 같은 날 오후 7시에 있었다.

북한이 했든 북한이 하지 않았든 이 사건은 사이버테러가 맞다. 하지만 집 열쇠를 훔친 자가 누구인지를 찾기 전에, 누가 집 열쇠를 빼앗겼냐를 먼저 생각해야 한다. 그리고 누가 그들에게 모든 집 열쇠를 통째로 맡겼는지를 생각해야 한다.

필자 노트

느닷없이 야근하며 고생하고 있을 안랩과 하우리의 IT 노동자들과, 난데없이 모든 문서를 날려먹은 방송사 기자, PD, 작가 등 노동자 여러분들에게 위로를 보냅니다.

좋은 기사 공유하고 알리기
슬로우뉴스에 커피 한잔의 여유를 후원해주세요. 필자 원고료와 최소한의 경비로 이용됩니다.

필자 소개

초대필자, 일간워스트 뉴스고로케 운영자

rainygirl.com, 코드로 말합니다.

작성 기사 수 : 19개
필자의 홈페이지 필자의 페이스북 필자의 트위터

©슬로우뉴스 | 개인정보취급방침 | 청소년보호정책 | 슬로우뉴스 안내 | 제보/기고하기 | 제휴/광고문의
(유)슬로우미디어 | 전화: 070-4320-3690 | 등록번호: 경기, 아51089 | 등록일자 : 2014. 10. 27 | 제호: 슬로우뉴스 | 발행인: 김상인 | 편집인: 강성모
발행소: 경기 부천시 소사로 700번길 47 1동 506호 (원종동, 삼신) | 발행일자: 2012. 3. 26 | 개인정보관리/청소년보호책임자: 강성모

Scroll to top