이제는 말할 수 있다! ‘평창 동계올림픽 해킹 12시간’

입력 : 2018-05-03 12:01

개막식 시작 3월 9일 오후 8시부터 공격 시작... 피해 컸지만 다음날 게임 전까지 복구
북한을 가장한 해킹 공격, 특정 국가 지목은 안 해...41종의 악성코드 통해 공격

[보안뉴스 원병철 기자] 소문만 무성하던 평창동계올림픽 해킹 공격의 전모가 밝혀졌다. 간단하게 해킹 공격을 정리하면, 개막식이 시작한 3월 9일 저녁 8시부터 공격이 시작됐고 대부분의 서비스에 지장이 생겼지만, 다음날 올림픽 본 게임이 시작하기 전 아침 7시 50분 대부분의 서비스가 정상화됐다. 숨 가쁜 12시간이 지나간 것이다.


평창동계올림픽의 정보통신 분야를 총괄한 오상진 조직위원회 정보통신국장은 이번 평창동계올림픽처럼 조직적이고 대규모로 공격 당한 올림픽은 없었다면서 이번 올림픽 해킹 사건을 소개했다.

평창올림픽 조직위원회(이하 조직위)에서 파악한 바로는 이번 공격의 주체는 2017년 12월부터 공격 준비를 해왔다. 파트너 사를 해킹한 후 계정을 확보했고, 확보한 계정을 통해 다시 다른 계정의 정보를 수집해 공격에 활용했다. 공격 패턴은 2가지로, 첫 번째 패턴은 CDN(Contents Delivery Network) 계정에 침입해 서비스를 교란했고, 두 번째 공격은 실제 조직위원회 시스템에 침입해 공격했다. 총 41종의 악성코드가 사용됐으며, 이중 25개는 파밍에 나머지 16종은 사전 준비에 사용됐다.

장기간 치밀하게 준비된 APT 공격이었으며, 이미 준비과정을 통해 조직위와 파트너사의 시스템 구조를 파악한 공격자였기에 조직위가 바로 대응하기가 어려웠다.

당시 평창올림픽을 위해 사용된 서버는 총 300여대였는데, 이 중 50여대가 이번 공격으로 파괴된 것으로 드러났다. 특히, 통신의 길목을 맡은 인증서버(AD)나 DB서버, 터미널서버가 공격당해 대부분의 시스템이 중단됐다. 이 때문에 대회관리 시스템 영역(31종 서비스)과 경기관리시스템 영역(13종), IPTV/Wi-Fi/RFID 등 4개 영역의 52개 서비스가 모두 중단됐다. 사실상 대부분의 기능이 정지된 셈이다.

3단계에 걸친 복구와 방어 작업
상황이 발생하자 각 서트(Cert)팀이 협력해 복구에 들어갔다. 또한, 추가적인 공격에 대한 방어체계 강화도 병행했다. 특히, 개막식 이후 필요 서비스를 우선적으로 복구하는 등 3단계에 걸쳐 복구를 시작했다. 가장 첫 번째는 개막식 이후 필요한 서비스로 밤 10시경 복구할 수 있었다. 두 번째는 올림픽 대회 운영을 위한 시스템을 복구했으며, 다음날 아침인 10일 7시 50분에 마무리됐다. 마지막 3단계는 백업 시스템 복구로 13일 새벽 4시에 끝났다.

특히, 조직위는 두 번째 복구 과정에서 해커가 조직위 계정을 탈취한 것을 파악하고 모든 시스템의 패스워드를 변경했으며, 모든 인터넷과 서비스를 차단한 채 맨 밑단에서부터 복구를 시작했다. 새벽 4시경 서비스가 복구됐지만, 핵심 악성코드를 위한 백신을 투입하고 추가로 관리자 아이디와 패스워드를 변경하는 등 아침 7시 50분까지 총 12시간의 전투를 마쳤다.

사전 방어 테스트가 피해 복구에 큰 도움
외부의 공격으로 대부분의 시스템이 파괴되는 등 아찔한 순간도 있었지만 12시간이라는 짧은 시간 안에 대부분의 피해를 복구하고 무사히 올림픽을 치를 수 있었던 것은 수많은 방어 테스트를 진행한 경험 때문이었다.

오상진 국장은 “내부의 모의침투 훈련부터 외부의 화이트해커 콘테스트 등 할 수 있는 테스트는 모두 다 진행했다”면서, “특히, 데이터센터 백업을 직접 수행해본 것이 이번 대응에 큰 힘이 됐다”고 설명했다. 이론상 한 번의 클릭으로 끝나는 줄 알았던 데이터센터 백업이 실제로는 여러 단계의 사전절차와 사후절차가 있었다는 거였다. 게다가 실제 공격을 받고 나니 프라이머리와 세컨더리가 모두 타격을 입어서 양쪽 다 복구하는 게 힘들었다는 후일담이다.

특히, 올림픽은 실시간으로 70여개 서비스와 인프라를 만드는 과정이었고, 최소 12~13개 업체가 인하우스 방식과 원격접속, 해외 등 다양한 장소에서 네트워크를 통해 작업했기 때문에 높은 수준의 보안을 요구했지만 결국 문제가 생기고 말았다는 오상진 국장은 “올림픽 보안을 위해 힘써준 공공기관과 민간기관, 그리고 보안관제와 침해사고 대응을 맡은 분들께 깊은 감사를 드린다”고 말했다.

마지막으로 오상진 국장은 긴급하게 백신을 만들었던 안랩과 CERT를 맡은 이글루시큐리티와 한국통신인터넷기술, 아카마이코리아 등 철야를 하면서 시스템 정상화를 위해 노력해준 국내 보안기업에게도 감사의 인사를 전했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [SKT 해킹 사태] IMEI 유출에도, 복...

• 2

  [SKT 해킹 사태] 고객·유심·단말 모두 ...

• 3

  [SKT 해킹 사태] [일문일답] “FDS ...

• 4

  [SKT 해킹 사태] 스마트폰 고유정보 IM...

• 5

  이스트소프트, “긴 다큐멘터리, 짧은 쇼츠 ...

• 1

  [SKT 해킹 사태] IMEI 유출에도, 복...

• 2

  [SKT 해킹 사태] [일문일답] “FDS ...

• 3

  한국기업보안, ‘인증서 유효기간 단축’ 대응...

• 4

  아메이투라, 통합 보안 소프트웨어 플랫폼 ‘...

• 5

  AI교과서, 개인정보 처리 ‘미흡’...개보...

• 1

  [SKT 해킹 사태][긴급좌담회] SKT 사...

• 2

  금보원, AI-디지털 자산 중심으로 자문위원...

• 3

  [SKT 해킹 사태-이슈칼럼] 보안사고에 대...

• 4

  라온시큐어-우연컴퍼니, 반려동물 디지털 인증...

• 5

  [이슈칼럼] SKT 해킹 사건, 정보 유출보...