[커버스토리] 전문가들이 본 해킹과정
[커버스토리] 전문가들이 본 해킹과정
  • 편집부
  • 승인 2011.12.05 16:53
  • 댓글 0
이 기사를 공유합니다

직원 PC 잠입 장시간 은밀히 작업


일주일이나 뒤늦게 발견하면 업무태만 해당…철저한 사전 준비 통해 대비 바람직
 
“해커는 뒷산으로 넘어옵니다.” 해킹에 대비하는 것이 얼마나 어려운 일인가를 단적으로 보여주는 말이다.


올해 네번째 해킹 사태가 발생했다. 그동안 보안이 철저하기로 유명한 국내 대표 게임 기업인 넥슨(대표 서민)이 속수무책으로 당했다는 점에서 충격이 더 크다. 경찰과 보안 전문가는 지능형지속위협(APT)을 통한 해킹일 가능성에 무게를 두고 있다.

 

넥슨 측에 따르면 이번 해킹은 메이플스토리의 백업 서버가 뚫리면서 1320만명의 이용자 성명, 아이디, 주민등록번호, 비밀번호가 유출된 것으로 파악됐다.
넥슨 관계자는 “방통위와 경찰이 피해를 파악하고 사고 원인을 조사 중에 있다”며 “이에 적극적으로 협조하고 있다”고 밝혔다. 방통위와 경찰은 현재 구체적인 원인은 밝혀내지 못했지만 APT에 의한 해킹 가능성에 무게를 두고 수사 중인 것으로 알려졌다.

 

# APT에 속수무책 당해


APT란 글로벌 보안 이슈로 떠오른 해킹 방식으로 다양한 루트를 통해 지속적으로 해당 기업에 악성코드를 침투시켜 여러 중요기밀정보를 빼가는 방법이다.
장기간에 걸쳐 정보를 빼가기 때문에 회사 측에서 해킹 당한 사실을 쉽사리 알아채기가 어려운 것으로 알려졌다. 전문가들은 지난 4월 농협사태, 일본 소니 플레이스테이션네트워크, 네이트 해킹 사건 때도 이와 같은 방식에 당했을 가능성이 높다고 밝혔다.


넥슨 역시 회원 개인정보가 유출된 사실을 뒤늦게 알았다. 해킹 시점이 18일인데 일주일이 지난 24일에서야 해킹을 인지한 것이다. 넥슨은 자체 조사 결과 ‘메이플스토리’ 회원 정보를 보관하는 백업 서버에 이상이 있음을 감지하고 개인정보가 유출됐다고 판단했다. 이번 해킹에는 백도어를 생성하는 악성코드 2개가 사용된 것으로 나타났다. 해당 악성코드가 백도어를 생성하고 백업서버에 접근해 개인정보를 유출했다는 것이다.


문종현 잉카인터넷 시큐리티센터 팀장은 “일반적으로 대기업은 정보를 외부망과 내부망으로 나누어 관리한다”며 “외부에서 쉽게 침입하지 못하도록 민감한 정보가 들어있는 서버나 데이터베이스(DB)는 별도로 관리한다”고 말했다.


그는 “내부망의 경우 백신이나 방화벽 프로그램, 각종 장비 등 여러 단계를 거쳐야 하기 때문에 단시간에 침입하기가 어렵다”고 밝혔다. 이럴 경우 해커는 회사 직원들의 기본적인 신상정보나 웹사이트, 검색사이트 등을 이용한다. 예를 들어 해커가 게임에 오류가 있다는 문의 메일과 함께 첨부파일을 보낸다. 첨부파일로 확장자명이 exe 같은 들키기 쉬운 실행파일보다 문서파일과 함께 일반인이 판단하기 어려운 악성파일을 해당 회사 직원들에게 함께 보낸다.


또 이같은 악성파일은 전문가라도 수많은 문서가 직원들에게 전해지기 때문에 일일이 바이러스 파일인지 구별하는 것도 힘들다.


만약 회사 직원이 문서를 열면 회사 컴퓨터는 해커의 통제(원격제어)에 빠지게 된다.


문 팀장은 “수사결과가 나와봐야 알겠지만 ‘메이플스토리’ 해킹을 위한 준비기간이 길었다면 수사에 난항을 겪을 수도 있다”고 말했다.


해킹 준비기간이 길면 그만큼 꼼꼼하게 뒤처리 했다는 이야기가 된다는 것이다. 문 팀장의 말에 따르면 해커이은 해킹을 시도하고 들어왔던 흔적을 지우고 꼼꼼하게 뒤처리를 하면 추적하기가 쉽지 않다고 한다. 따라서 해킹 준비기간이 길면 길수록 역추적 하는 것이 어렵다.

 

# 허술한 대응 도마 위에


넥슨은 이번 해킹 사건으로 인해 보안에 허술하게 대처하지 않았느냐는 의혹을 받고 있다.


넥슨은 지난달 18일 해킹이 됐다는 사실을 지난달 24일 인지했다. 이 회사는 25일 오후 5시에 방송통신위원회에 개인정보유출된 사실을 신고하고 오후 10시에 해킹 관련 공지사항을 게시판에 올렸다.


넥슨은 결국 7일 동안 해킹 당했다는 사실을 인지하지 못할 정도로 보안체계가 미약하지 않았나 하는 의구심이 들게 한다. 또 하루가 지나 보고한 것은 사실을 은폐하려고 한 것이 아니냐는 지적이 잇따른다.


특히 25일 오후 5시는 금요일이었다. 모든 업무가 끝난 시간에 신고한 것은 다분히 의도가 있다고 판단된다.


이는 지난 7월 넥슨과 비슷한 사건이 발생한 SK커뮤니케이션즈의 즉각적인 대응과는 대조적인 모습을 보였다. SK컴즈는 지난 7월 28일 새벽 시스템 모니터링 중 지난 7월 26일 해킹이 발생한 것을 확인하고 이날 정오 곧바로 방통위에 신고했다.


백업 서버 관리를 소홀하게 다루지 않았느냐는 지적도 피해갈 수 없다. 문 팀장에 따르면 백업 서버의 경우 중요 시스템이 아니기 때문에 회사에서 소홀히 다룰 수 있는 여지가 있다는 것이다. 일부 회사에서는 아예 구동을 안 하는 경우도 있다고 한다.


넥슨의 보안 전담인력 규모도 비난을 면키 어려워 보인다. 지난 기자긴급회견에서 넥슨 측은 보안 인력이 30명이라고 했다. 전문가들은 2800만 명 회원을 보유하고 있는 회사라면 최소 100여명이 필요하다는 것이다.


다음의 경우 3800만명의 회원을 가지고 있다. 이 회사는 지난 2006년 키로거와 해커들로부터 개인정보를 보호하는 ‘안심 로그인’ 서비스와 재난 상황에서도 각종 주요 고객 데이터를 안전하게 보호할 수 있는 재해 복구 시스템을 업계 최초로 도입했다. 또 한국정보보호진흥원의 정보보호관리체계, 세계적인 정보보호관리체계 ‘ISO27001’ 등 국내ㆍ외 정통한 정보보호 인증을 취득한 후 사후심사를 통해 유지하고 있다.

 

# 3차 방어선 구축 필수


현재 국내 기업들은 선진 글로벌 수준의 정보 보호 시스템을 갖추고 고객정보가 분실되거나 도난, 훼손되지 않도록 기술적, 제도적 보호책을 마련해 시행하고 있다. 또 정보 보호 정책을 만들어 구체적인 정보 보호 가이드라인을 마련하였고, 외부의 불법 침입에 대비한 침입탐지ㆍ침입차단 시스템, DDoS 대응 시스템 등을 가동해 트래픽을 제한, 통제하고 있다.


문 팀장은 근본적으로 1차, 2차, 3차 방어선을 설치하는 등 보안프로세스를 강화해야 한다고 밝혔다. 마치 군대 휴전선에서 철책을 설치하고 철책에 깡통을 달고 비무장지대에 지뢰를 심듯이 말이다.


그는 두 번째로 관제시스템을 보다 강화시키고 사전에 공격자가 주로 사용하는 루트와 지금까지의 해킹 사례들을 파악해야 한다고 밝혔다.
셋째로 해커들은 직원들을 통해 직접 공격하기 때문에 직원의 보안교육 역시 철저해야 한다고 말했다.


그는 개인의 경우 일단 백신프로그램과 방화벽을 컴퓨터에 설치하고 정기적으로 검사하는 습관을 들이는 것을 추천했다. 또 그는 “일부 사용자는 컴퓨터 속도를 빠르게 하기 위해 실시간 검사를 잠시 꺼두는 경우가 많은데 아주 위험한 행동”이라며 “최소한 백신프로그램을 설치해야 한다”고 강조했다.


이 밖에 공인인증서나 개인자료는 USB같은 백업장치를 이용할 것을 주문했다.

 

[더게임스 김성현 기자 ksh88@thegames.co.kr]

 

 

 

<올해 일어난 해킹 사건은>

 

농협ㆍ캐피탈 등 성역 없었다

 

올해 국내에서 발생한 해킹 피해를 입은 업체는 농협, 현대캐피탈, 네이트(SK컴즈), 넥슨 등 4개 회사다. 농협과 현대캐피탈은 불특정 다수를 향한 공격을 받은 것으로 판명났고 네이트와 넥슨은 APT 공격을 받은 것으로 보인다.


현대캐피탈의 경우 해커는 지난 3월 6일부터 4월 7일까지 업무 관리자의 아이디와 비밀번호를 습득, 보조서버인 광고메일 발송서버와 정비내역 조회서버에 침입했다. 이후 화면복사 프로그램과 해킹 프로그램을 설치하고 175만명의 고객정보를 빼냈다.


농협의 경우 지난 4월 인터넷 뱅킹과 폰뱅킹, 현금자동인출기(ATM) 등의 전산 거래 서비스가 전면 중단됐다. 이날 자정 현재까지 전산 서비스는 복구되지 않았다. 지난 2009년 '7ㆍ7 디도스 대란' 때 발견된 악성 프로그램과 작동원리와 유사했다. 검찰은 농협서버에서 발견된 중국발 IP 가운데 일부가 디도스 공격에 활용된 IP와 상당부분 일치한 사실을 바탕으로 북한의 소행으로 판단했다.

네이트는 이번 넥슨 해킹 사건과 비슷한 APT 공격을 받은 것으로 알려졌다. 그동안 분산서비스거부(DDoS) 공격이나 스팸메일 발송 등 지금까지 불특정다수를 대상으로 한 공격이 주를 이뤘다면 네이트 해킹 사고는 네이트를 타깃으로 한 신종 공격이다. 특히 국내 어떤 안티바이러스프로그램도 변조된 악성코드를 찾아내지 못했다.

 

해킹 당하기 전까지 감염 여부를 아무도 몰랐다는 점에서 충격을 준다. 경찰청은 네이트, 이스트소프트 등 기타 관련 업체 PC와 서버 40여대를 종합 분석한 결과 이스트소프트의 공개용 알집 업데이트 서버가 해킹돼 정상 업데이트 파일을 악성파일로 바뀌어 사용됐다는 결론을 내렸다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.