KBS등 전산망에 악성코드 침투!!! 북한 소행?

20일 오후 2시 20분부터 KBS·MBC·YTN·신한은행·농협의 정보전산망이 한꺼번에 마비된 사태가, 내부 전산망 해킹에 따른 '신종 악성 코드' 유포 때문인 것으로 분석되고 있다.

"Reboot and Select proper Boot Device or Insert Boot Media in Selected Boot device and press a key."

상기한 영문 메시지는 이날 YTN 내부 500여대의 PC에 갑자기 나타난 것으로, 명령대로 사용자가 리부팅을 하자 아예 다운돼 사용불가능 상태에 빠진 것으로 전해졌다.

KBS와 MBC 등에도 같은 시각 컴퓨터가 다운되는 등 비슷한 상황이 발생했던 것으로 알려졌다.

KBS 관계자는 "오후 2시 40분부터 정보전산망이 마비돼 컴퓨터 작업이 전혀 안 되고 있다"며 "현재 원인 분석 중"이라고 밝혔다.

갑자기 모니터에 빨갛고 파란 화면이 왔다갔다하다가 컴퓨터가 다운됐습니다.
현재 리부팅도 되지 않고 있어요.
저 말고 다른 분들이 쓰시는 컴퓨터도 동시다발적으로 다운 됐습니다.

MBC 관계자도 "거의 동시에 컴퓨터가 꺼져 사내가 아수라장이 돼 버렸다"며 "하루 종일 업무마비 상태가 이어지고 있다"고 전했다.

컴퓨터를 사용하다가 갑자기 전원이 꺼졌습니다.
다른 분들도 컴퓨터가 다운되자 '이게 뭐야' 하면서 저마다 일어서는 등 아수라장이었죠.
컴퓨터가 아예 부팅이 안되는 관계로 정상적인 업무를 할 수가 없었습니다.
현재 전산팀이 복구에 총력을 기울이고 있는 것으로 알고 있습니다.

 

"데이터가 지워지고 있으니 즉시 컴퓨터를 꺼주세요!"

- 보도자료 보낼 컴퓨터가 없어 문자로 발송

KBS 방송국에 비상이 걸렸다.

오후 2시가 조금 넘은 시각, 갑자기 사용 중인 컴퓨터가 다운되기 시작했다.

모니터에 알 수 없는 메시지와 이미지가 속출하더니 뭔가에 충격을 받은 듯, 전원이 꺼지는 이상 증세가 나타났다.

전원 버튼을 아무리 눌러도 컴퓨터는 켜지지 않았다.

순식간에 사내에 있는 대부분의 컴퓨터가 작동 되지 않는 초유의 사태가 발생한 것.

정보전산망이 일제히 마비됨에 따라 보도국은 물론, 각 사무실의 업무가 올스톱 되는 최악의 상황이 벌어졌다.

민원실 컴퓨터도 먹통이 돼 외부에서 온 손님들이 일일이 손으로 방문증을 작성, 출입을 하는 진풍경이 벌어지기도 했다.

자연히 취재진과 방문객들이 길게 줄을 서면서 방송국 곳곳이 아수라장으로 돌변했다.

특히 악성코드 감염이 의심되는 컴퓨터에서 지속적으로 데이터가 삭제되는 증상이 나타남에 따라, "사내에 있는 모든 컴퓨터의 전원을 꺼달라"는 안내 방송이 하루 종일 울려 퍼지고 있다.

KBS 출입 기자들도 불편하긴 마찬가지.

평소처럼 이메일이 아닌, 휴대폰 문자메시지로 보도자료를 받으면서, 이를 자신들의 컴퓨터에 옮겨 담는 번거로운 과정을 반복하게 된 것.

KBS 측은 "악성코드가 핵심서버에 침투하지 않도록 조치한 뒤 지속적으로 피해상황을 확인하고 있다"며 "현재는 원인 파악에 총력을 기울이고 있는 상황"이라고 전했다.

◆디도스 공격 NO! "신종 악성코드 감염 때문"

이번 사태의 원인에 대해 LG 유플러스 관계자는 "이번 정보전산망 마비 사태는 네트워크 장애 문제가 아닌, PC가 악성 코드에 감염된 것으로 추정된다"면서 "전산망이 다운된 기관의 네트워크는 KT, LG유플러스, SK브로드밴드 등으로 조사됐다"고 전했다.

실제로 한 컴퓨터 보안 전문가는 "해당 메시지는 HDD의 부팅관련 시스템 파일이 손상됐을때 나타나는데, 지금처럼 리부팅 후 컴퓨터 윈도우가 아예 하드디스크를 인식 못하는 증상은 전형적인 악성 코드 감염"이라고 밝혔다.

결국 LG유플러스 등 다수의 통신망을 타고 내부 전산망에 퍼진 악성 코드가 해커의 '지시'를 받고, 특정 시간에 HDD를 작동불능 상태에 빠뜨린 것으로 추정된다.

미국 보안업체 파이어아이 관계자도 "디도스 공격 가능성은 매우 낮다"고 진단했다.

파이어아이 관계자는 <조선비즈>와의 통화에서 "아직까지 디도스 징후는 보이지 않고 있다"며 "아직 알려지지 않은 악성코드가 서버에 깔린 것으로 추측된다"고 말했다.

언론사와 은행 등 기관들이 그 동안 백신 등 보안프로그램을 써왔고 네트워크 보안을 이중삼중으로 해왔음에도 PC가 부팅을 하지 않는 등 문제가 있는 것으로 알려졌습니다.
이는 기존에 쓰던 백신과 네트워크 보안시스템이 미처 잡아내지 못할 정도로 알려지지 않는 신종 악성코드가 유포되고 있는 것으로 해석됩니다.

한편, 한 보안 전문가는 YTN과의 인터뷰에서 "이번 정보전산망 마비 사태는 URL 변경에 의한 해킹일 가능성이 높다"고 내다봤다.

이는 국내 통신업계 전문가들이 보는 시각과 대동소이하다. 이들은 이번 사태를 인터넷 주소(URL)를 변조하는 사이버테러로 추정하고 있다.

디도스 공격은 굉장히 많은 트래픽을 특정 서버에 보내 서버가 이걸 처리하느라 작업을 못하는 경우를 말합니다.
그런데 이번의 경우는 피시나 서버가 아예 부팅도 안되고 동작이 마비됐다는 점이 특징이죠.
결국 서버 해킹에 의한 동작 불능 상태로 풀이할 수 있습니다.
URL 변경에 의한 해킹일 가능성도 배제할 수 없는 상황입니다. 

 

◆"北 사이버테러?" 주요 전산망 마비..사이버위기 '주의' 경보!

이와 관련, 방송통신위원회는 이번 전산망 마비가 국내 기반시설 전산망을 상대로 한 북한의 '사이버공격'일 가능성에 대비해 사이버위기 '주의' 경보를 발령했다.

사이버위기 경보는 '정상-관심-주의-경계-심각' 등 5단계로 순차 발령되는데, 이번에 내려진 '주의'는 3단계에 해당된다.

당초 '관심' 경보를 발령했던 방통위는 외부로부터의 해킹 가능성을 염두에 두고 오후 3시부터 사이버위기 '주의'로 상향 조정했다.

주의 경보가 발령되면 모니터링 인력이 3배이상 증원되며, 정부합동조사팀이 구성돼 현장조사 및 대응을 추진한다.

앞으로 방통위는 원인 분석 및 복구 조치가 완료될 때까지, 국가 전산망을 교란하는 행위와 해킹-디도스 공격을 막기 위한 24시간 감시체제에 돌입한다.

현재 방통위는 국방부 등과 합동으로 주요 기반시설에 대해 특별점검을 실시하는 등 만일의 사태에 대비한 '대응책' 마련에도 고심하는 모습.

방통위 측은 "인터넷 이용자들이 디도스 공격에 이용되는 '좀비PC'가 되지 않도록, 백신 프로그램을 활용해 '개인 보안'에 만전을 기해줄 것"을 당부했다. 

업데이트 서버 통해 악성코드 유입..부트섹터 파괴

- 방통위 "수일 내로 악성코드 퇴치할 백신 업데이트 할 것"

방통위는 언론-금융사 전산망 마비 사태와 관련, "'민·관·군 사이버위협 합동대응팀'을 중심으로 악성코드를 채증, 사고 원인 및 공격 주체를 파악하는데 주력하고 있다"고 전했다.

방통위 이승원 네트워크정보보호팀장은 이날 긴급 브리핑을 통해 "피해기관으로부터 채증한 악성코드를 분석한 결과, 업데이트 관리서버(Patch Management System)를 통해 악성코드 유포가 이루어진 것으로 추정하고 있다"며 "이들 악성코드가 '부팅영역(Master Boot Record)'을 파괴시킨 것으로 분석하고 있다"고 밝혔다.

이승원 팀장은 "현재 국가공공기관은 피해가 없는 것으로 확인됐다"면서 "악성코드 유포 등 추가공격 발생에 대비, 전 기관에 경계 강화 및 공격 발생시 신속 복구체계를 가동토록 조치했다"고 전했다.

이 팀장은 "합동조사팀이 관련 PC를 수거, 전문가들과 정밀 분석을 실시하고 있다"면서 "조만간 분석을 끝내고 악성코드를 퇴치할 백신을 업데이트 할 계획"이라고 밝혔다.

덧붙여 이 팀장은 "이번 사이버 침해사고는 국내에서만 발생한 것으로 파악됐다"며 "전산망 마비 원인이 분석되는대로 국가사이버안전전략회의를 개최해 국가 차원의 후속조치를 논의할 계획"이라고 전했다.

다음은 방통위 이승원 네트워크정보보호팀장과의 일문일답 전문

-악성코드가 전파된 경로는?

방송사와 금융사의 정보시스템에는 파일이나 백신 등을 업데이트하는 서버가 있다.
이 서버에 연결된 개인별 PC가 백신을 수시로 업데이트 하게 되는데, 바로 업데이트 서버에 악성코드가 입력돼 있었다.
결국 업데이트 관리 서버를 통해 개인 PC가 감염됐고, 컴퓨터가 가동하는데 필요한 부트섹터(MBR·Master Boot Record)가 파괴되면서 부팅이 안되는 증상이 나타난 것으로 보인다.

-그럼 통신사 망에는 전혀 문제가 없었나?

그렇다.

-피해규모와 현재까지의 복구 상황은?

신한은행은 복구를 완료했고, 농협은 아직도 일부 창구에서 전산장비 마비 증상이 있는 것으로 알고 있다.
중소 생명보험사의 연관성 여부는 아직 확인 중이다.
방송사의 경우 정상적인 PC를 포함, 전 컴퓨터에 대해 '작동 중지' 조치를 취했다.
백신이 배포될때까지 재가동을 중단하기로 했다.

-해킹팀 '후이즈' 소행이 맞나?

모든 가능성을 열어 놓고 조사 중에 있다.

-원인 분석은 언제쯤 완료 되나?

현재 합동조사팀이 분석 중인데, 아직은 예측하기 힘들다.
배후에 누가 있는지 파악하는 것도 현재로선 어려운 실정이다.
지금으로선 백신 업데이트가 제일 중요하다.
통상적으로 백신 업데이트는 그 다음날 정도면 가능하리라고 본다.

-민관군 사이버대응팀은 어떻게 이뤄졌나?

경찰청, 국정원, 방통위, 인터넷진흥원 등이다.

-다른 기관이 공격 받을 가능성은?

(추가 공격에 대비해)사이버위기 경보단계를 '주의' 단계로 격상시켰고, 모니터링 인력을 3배 증원했다.

◆청와대 "전산망 마비, 북한 소행 단정 못해"

청와대 김행 대변인은 20일 방송사 및 금융사 전산망 다운 사태와 관련해 "김장수 국가안보실장 내정자가 상황을 파악하고 있다. 파악되는 대로 국민들께 소상히 알려드리겠다"고 밝혔다.

김 대변인은 이날 오후 청와대 춘추관에서 브리핑을 갖고 "국가안보실 위기관리센터를 중심으로 상황을 파악중"이라며 이같이 밝혔다.

김장수 실장 내정자가 주재하고 있는 이 회의에는 국가안보실내 비서관 3인과, 미래전략수석실 관련 비서관들이 참석해 있는 것으로 알려졌다.

김 대변인은 "북한의 소행이라고 단정할 수 있느냐"는 취재진의 질문에 "아직 없다"고 답했다.
근거지에 대해서도 "상황을 파악중"이라고 했다.

박근혜 대통령은 김 내정자로부터 관련 상황을 실시간으로 보고받고 대응을 지시한 것으로 알려졌다. 박 대통령의 위기관리센터 방문 여부에 대해서는 정해지지 않은 것으로 전해졌다.

◆신한은행 전산망 복구.. "이용자 자산, 문제없다"

한동안 마비됐던 신한은행의 전산망은 20일 3시 55분께 정상으로 복구됐다.

앞서 신한은행의 전산망은 오후 2시 15분께 전산 서버가 장애를 일으켜 홈페이지 인터넷뱅킹, 스마트폰 모바일뱅킹은 물론 오프라인 점포의 입출금 업무, 자동입출금기(CD/ATM) 등까지 모두 중단됐다.

신한은행 관계자는 "현재 원인 파악에 들어갔으며 이용자들의 예금계좌 및 자산에는 이상이 없다"고 강조했다.

전산망이 마비된 원인을 파악하고 있다.
서버의 정보가 모두 백업돼 있기 때문에 (전산망이 마비됐으나)고객들의 자산에는 문제가 발생하지 않는다.

농협은행 역시 이날 오후부터 전산망에 이상이 발생해 인테넷 연결을 차단했으며 일부 지점에서 업무를 중단했다.

◆정부 부처 전산망 '이상무'..24시간 감시 체제 돌입

한편, 신한은행을 비롯 KBS YTN 등에서 전산망이 마비되는 비상사태가 벌어졌으나, 정부 부처 전산망은 아무 이상없이 정상 가동되고 있다.

20일 오후 정부세종청사의 총리실 관계자는 "정부 전산망은 아직까지 아무 이상이 없으며 특별한 움직임도 마련되지 않았다"고 말했다.

정부세종청사를 비롯해서 과천청사, 세종로 청사 등 모든 부처의 전산망은 이날 오후까지 아무런 이상이 발견되지 않았으며 전산망도 정상적으로 돌아가고 있다.

정부세종청사에는 국무총리실, 기획재정부, 국토해양부, 농림부, 공정거래위원회, 환경부 등 6개 부처가 자리잡고 있다.

그러나 이들 기관들은 청와대가 국가위기관리실을 가동하는 등 분주하게 움직임에 따라 긴장속에 예의주시하고 있다.