지난 2월 9일 2018 평창동계올림픽 개회식 당일 발생한 사이버공격은 오랜 기간 치밀하게 준비된 지능형지속위협(APT)이었다.

평창동계올림픽 조직위원회는 이번 사이버공격을 APT 공격이며, 올림픽을 방해하기 위해 서비스 장애를 유발하는 시스템 파괴·교란 목적으로 가해진 공격으로 규정했다.

오상진 평창동계올림픽 조직위원회 정보통신국장은 3일 오후 과학기술정보통신부가 개최한 최근 정보보호 이슈와 동향 세미나에서 사이버공격 이같이 말하면서 “이전 올림픽에서도 매번 사이버공격이 발생했지만 이번처럼 극악한 사례는 없었다. APT 공격 사례는 최초로, 올림픽 조직위 시스템에 잠입해 파괴 공격을 벌인 유례는 찾아보기 힘들다”고 지적했다.

사이버공격은 평창 동계올림픽 개막식이 시작된 9일 20시, 기다렸다는 듯이 발생했다. 곧바로 올림픽 관련 정보시스템들이 파괴되면서 대부분의 서비스가 중단됐다.

올림픽같은 대형 이벤트가 발생할 때마다 사이버공격이 발생했기 때문에 조직위는 시스템 설계단계에서부터 보안을 고려해 구축했고, 여러 차례 고강도 해킹과 침투 테스트와 대비훈련, 정보보호 사전진단, 개인정보 영향평가 등도 진행했다. 주로 발생하는 공격 유형인 디도스 공격 대비 태세는 “완벽한 방어체계를 구축했던 상태”라고 표현할 정도다.

출처 : 평창동계올림픽 조직위원회

조직위는 국가정보원 국가사이버안전센터, 문화체육관광부 사이버안전센터, 과학기술정보통신부 한국인터넷진흥원, 행정자치부 국가정보자원관리원, 사이버경찰청, 사이버사령부와 개최지역 지자체(강릉시·평창군·정성군·횡성군), 민간기업과 화이트해커로 구성된 자문기관인 조직위 정보보호전문위원회까지 꾸려 공조하는 정보보호 체계를 구성·운영했다.

각 부처·기관의 사이버안전·침해대응센터가 합동으로 근무, 모니터링을 수행하는 범정부 올림픽 침해대응팀(CERT)이 가동됐다.

데이터센터 운영과 보안관제는 KT가, CERT는 이글루시큐리티가, 올림픽 주요 웹서비스 보호는 아카마이, PC 보안·패치관리는 안랩 등이 각각 맡았다.

하지만 공격이 일어나자마자 시스템이 무참히 무너지면서 거의 모든 서비스가 죽어나갔다.

오 국장은 사이버공격을 분석한 결과 “해커는 작년 12월부터 활동을 시작해 공격을 차근차근 준비하며 사전에 상당한 수준으로 조직위와 파트너사 시스템 구조를 파악한 뒤 공격한 것으로 판단된다”고 말했다.

국내에서 운영된 시스템만을 대상으로 집계한 공격 피해 규모는 조직위 인증서버(AD), DB서버, 터미널서버 등 33대, 파트너사 인증서버(AD), 소프트웨어 배포서버 등 17대로, 총 50대가 파괴됐다. 이로 인해 입출국·수송·선수촌관리·문화행사 등 대회관리시스템 영역 31종, 인력관리·경기일정관리 등 경기관리시스템 영역 13종, IPTV·와이파이(WiFi)·RFID, 웹·앱·메일 등 총 52종의 서비스가 중단됐다. 사실상 올림픽 관련 모든 서비스가 무너졌다.

공격자는 먼저 조직위와 국내외 파트너사를 해킹해 계정정보를 탈취하고, 탈취한 계정정보로 콘텐츠전송네트워크(CDN) 관리시스템에 침입해 서비스 차단을 시도했다. 이후 41종의 악성코드를 활용해 조직위와 해외 파트너사 시스템 로그 삭제, 복구영역 삭제 등 무작위 파괴공격을 진행했다.

공격에 동원된 41종의 악성코드 가운데 25개가 직접 파괴 행위를 수행했다. 나머지는 사전 준비에 활용된 악성코드다.

공격이 발생하자 조직위는 범정부 평창올림픽 CERT와 협력해 서비스 피해복구를 진행했다. 복구 우선순위를 정해 단계별로 복구를 진행했다. 결과적으로 대응과정은 신속했다는 평가가 나왔다.

공격 발생 후 두 시간이 지난 오후 10시, 바로 개회식이 끝나는 시간에 맞춰 개막식장과 메인 프레스센터, 선수촌, 미디어촌 등의 와이파이와 IPTV 서비스 긴급 복구가 이뤄졌다. 개막식과 그 직후 발생할 수 있는 혼란을 최소화했다.

철야 작업을 진행해 경기가 본격적으로 시작되는 10일 오전 4시10분까지 대회 운영 관련 시스템을 복구했다. 그 사이 안랩에서 치명적인 기능을 하던 두 개의 악성코드 백신을 만들어 적용한 뒤 모든 시스템 패스워드를 변경하는 보안 조치를 추가로 진행해 오전 7시50분에 모든 서비스를 정상화했다. 이로 인해 대회 운영에 차질을 빚지 않고 원활하게 경기가 진행할 수 있었다.

[광 to the 고] 웃긴데 알찬 유튜브 채널 '스튜디오 바이라인'에 놀러오세요


추가 공격에 대비해 주센터와 보조센터 백업시스템까지 복구를 마친 시점은 13일 오전 4시다.

KT 사이버보안센터 <출처: KT>

신속한 복구와 대응이 가능했던 주 요인으로 오 국장은 국내 보안업체인 안랩의 민첩하고 빠른 분석과 백신 개발, 사전 재해복구 체계와 훈련을 실시했던 것을 꼽았다.

다만 고도의 사이버공격을 사전에 방어하기 위해서는 정교한 행위기반 공격 방어체계가 필요한데, 당시 국내 보안업계에서는 행위 분석 기반 보안 솔루션이 없어 적용하지 못했다는 점을 아쉬운 점으로 지적했다.

오 국장은 “국내 백신업체는 민첩하게 대응했지만 행위 기반 사이버공격 탐지 기술이 있었다면 좋았겠다는 아쉬움이 있다”라며 “해커가 공격 전 사전준비로 계정을 탈취해 권한을 상승하고 액티브디렉토리(AD)에 접속해 아이디를 바꾸거나 정책을 변경하는 등의 행위를 하는데, 이는 시스템적으로는 정상적인 행위이지만 사람들이 보면 비정상정인 행위다. 이를 판별할 수 있는 기술이 필요했다”고 말했다.

그는 “올림픽 개회 며칠 전 국제올림픽위원회(IOC)에서 섭외해 해외 보안업체인 크라우드스트라이커가 합류했는데, 행위 기반 사이버공격 탐지 능력을 갖고 있었다”라면서 “국내 보안업체들이 백신을 빠르게 만드는 민첩성과 기술력에 이같은 기술을 더하면 세계적으로도 강력한 경쟁력을 가질 수 있을 것”이라고 덧붙였다.

또한 “서비스 복구는 정보보안 분야뿐 아니라 SW, 데이터센터, 네트워크 등 모든 영역의 담당자들이 서로 협력해 작업을 진행해야 한다. 모든 주체들이 참여한 재해복구 훈련을 두 번 진행했는데, 처음에는 세 시간이 걸렸고 그 다음엔 한 시간만에 복구할 수 있었다. 그만큼 실질적인 재해복구 훈련이 중요하다”고 강조했다.

한편, 오 국장은 동계올림픽 사이버공격 주체나 배후를 묻는 질문에는 “결과적으로 북한 소행은 아닌 것 같다. 어디에서 공격했는지는 잘 모르겠다. 수사가 진행돼야 한다”며 말을 아꼈다.

그동안 평창동계올림픽 사이버공격이 북한으로 위장한 러시아 해커 소행이라는 외신 보도와 보안업계의 분석이 나왔었다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network