國會 전산망 1시간 마비…해킹됐나?

정리/김필재   

국회 전산망이 지난 19일 오후 4시경 오작동을 일으켜 1시간 넘게 마비됐다가 복구됐다.

이날 <연합뉴스> 보도에 따르면 전산망이 완전히 복구된 5시를 조금 넘은 시간까지 국회 본관과 의원회관, 도서관 등에서는 통신망을 사용하는 업무에 장애를 겪었다고 한다.

국회 사무처는 외부의 해킹 공격 가능성은 없다고 밝혔지만, 오작동의 원인을 정확히 파악하기까지는 다소 시간이 걸릴 것이라고 밝혔다.

국회 관계자는 <연합뉴스>와의 통화에서 '일시적 네트워크 장애이고 전산 장비가 오작동을 일으켜 리부팅하는 과정에서 문제가 잠깐 생겼다'면서 '해킹 가능성은 전혀 없다'고 말했다고 한다. 

사이버전 악성코드 전문 추적그룹인 <이슈메이커스랩>의 리더 사이먼 최는 최근 <보안뉴스>와의 인터뷰에서 최근 3.20사이버테러를 일으킨 것으로 추정되는 북한의 해커조직이 국내의 북한관련 사이트들을 해킹해서 방문자들에게 악성코드를 유포하고 있는 것이 포착됐다고 밝혔다.

<보안뉴스> 보도에 따르면 이들 조직들은 아주 짧은 기간 동안에만 해당 사이트에 악성코드를 심었다가 빼는 방식으로 소수의 사람들을 감염시키고 있는데, 이는 보안업체들의 감시 및 사전탐지를 우회하기 위한 것으로 추정된다고 한다.

유포된 악성코드는 기존 3.20사이버테러 당시 유포된 악성코드와 전체적인 동작 구조에서는 크게 유사하나 세부 코드가 많이 변형되어 제작된 것으로 분석됐다. 이는 기존에 알려진 악성코드들에 대한 탐지를 우회하기 위한 것이라는 게 <이슈메이커스랩>의 설명이다.

하지만 이들이 해외에 구축한 C&C(Command&Control) 서버는 지난해 7~8월에 3.20 조직이 사용했던 C&C 서버와 유사한 스타일로 운영되고 있는 것으로 알려졌다. 해당 악성코드에 감염되면 PC에서 한글, PDF, 워드, 엑셀 등 문서 파일명을 수집해 C&C 서버로 전송하며, 추가로 악성코드를 다운받아 실행하게 된다. 

이들 조직이 악성코드를 유포하기 위해 사용하는 취약점은 현재 확인된 것이 총 2종으로 플래시 취약점(CVE-2014-0569)와 OLE 취약점(CVE-2014-6332)이다. 해당 취약점에 대한 패치는 나와 있으나, 패치를 하지 않은 사용자가 이들이 노리는 웹사이트에 접속하면 즉시 악성코드에 감염된다고 <보안뉴스>는 전했다.