방송,금융 전산망 마비에 따른 우리의 교훈 (3.20 사태)

어제 3.20일에는 방송과 금융 일부 전산망 또는 사내 PC가 다운되고, 부트섹터 (MBR) 영역이 삭제되는 초유의 사태가 발생이 되었습니다. 일부 방송사는 아직도 홈페이지 접속이 되지 않고 있습니다. 이에 많은 이용자들이 불편을 느끼고, 또한 사이버 테러에 대한 경종을 울리기도 하였습니다. 이번 사건을 계기로 하여 어떠한 대처 방안이나 후속조치들이 있어야 하는지를 블로거 관점에서 조명해 보도록 하겠습니다.  본 포스팅은 순수 개인에 대한 의견임을 밝힙니다. 언론과 기사를 중심으로 포스팅합니다. 직접 분석에 참여 하지는 않았습니다. -주인백

1. 사건 개요.

2013년 오후 2시를 기점으로 PC에 이상한 현상이 일어나면서 재부팅 하려고 전원을 껐다가 켰더니 마스터 부트섹터 (MBR) 영역이 삭제되어 버려 부팅이 되지 않는 현상이 발생이 되었습니다. 주요 방송사와 금융기관이 포함되었습니다. 이에 금융전산망이 다운이 되고 전 지점에 ATM기도 사용하지 못하게 되었으며, 라디오 방송시 사내 전산망에서 음원을 내려 받아 방송하려던 곳도 일일이 CD로 방송했다고 전합니다. (출처: 조선일보, 2013.03.21)

2. 공격시나리오

공격 시나리오에 대한 부분은 아직 검토가 나오지 않았기 떄문 조금 더 지켜 봐야 하겠지만 서비스거부공격(DDoS)은 아닌것으로 판단이 되었습니다. 원인은 악성코드 감염으로 인한 MBR 영역파괴로 분석되고 있습니다. 이는 또한 지능형 지속위협(APT:Advanced Persistent Threat)이라고 해서 오랜기간동안 숙주 기간을 거쳐 일정한 시점에 공격을 감행하는 것이 특징인 최근 사이버 공격형태입니다. 최종 관련 기관의 분석 결과가 나와 봐야 알겠습니다만 상당한 계획적인 사이버 테러임에는 틀림이 없다고 관계자들은 모두 말하고 있습니다. 저 또한 오랜 기간동안 과시용 사이버 테러의 일종으로 보여 집니다. 

3.  무엇이 문제였을까?

그럼 과연 무엇이 문제였을까요?  보안은 100% 안전한 것은 없습니다. 다만 어떻게 하면 위험수용 가능한 범위까지 만들어 낼수 있느냐가 관건입니다. 하지만 어제와 같은 사이버 공격은 업무를 마비시키고 국가 기간망을 마비시키는 사이버 테러임에는 자명한 것입니다. 여러가지 의견들이 분분하겠지만 기술적인 문제는 사건 분석결과가 나와 봐야 알겠고, 다른 측면에서 찾아 본다면  국민의 보안인식의 중요성 부재에서 오는 것이 아닌가 생각해 봅니다. 대다수 보안은 투자라기 보다는 비용이라는 인식이 강해 늘 우선순위에서 밀리는 경우가 많습니다. 또한 사용자도 보안과 편리성과는  trade-off 관계에 있기 때문에 우선 불편함을 호소하면 보안은 다시 느슨해지기 마련입니다. 보안보다는 편리성을 추구하게 되는 것이지요.

3.1  악성코드 감염

보통 악성코드라고 하면 여러가지 바이러스 및 웜, 트로이목마등 다양한 형태로 존재를 합니다. 그럼 여기서 악성코드 감염에 대한 가장 기본적인 원리를 생각해 보겠습니다. 악성코드라는 것은 대부분 운영체제의 취약점이나 응용어플리케이션 취약점을 이용하여 감염이 됩니다. 감염이 된다는 것은 무엇인가 취약한 부분이 있다라는 가정이 됩니다. 이번 사태에서도 어떤 PC는 괜찮고 어떤PC는 장애가 났을 것입니다. (이는 제가 직접 본 것이 아니기에 추정할 뿐입니다.)

다만, 언론을 통하여 PC 시간이 2013년3월20일이 아닌 PC는 장애가 나지 않았다고 하는 것은 보도가 되었습니다. 어쨌든 감염PC와 아닌 PC를 한번 따로 분석해 볼 필요가 있겠습니다. 

그럼 , 악성코드 감염 PC에 어떠한 취약점이 있지 않았을까요? 그랬기 때문에 악성코드에 감염이 되고 이상 증상이 일어나고 그래서 재부팅 하였더니 마스터부트영역에 정보가 삭제되어 아예 부팅조차 되지 않았을 것으로 추정해 봅니다.  평소에 취약성에 대하여 얼마나 신경을 썼는지 패치는 하였는지, 운영체제 업데이트는 하였는지, 어플리케이션 서드파티의 취약점 패치는 꼬박꼬박 하였는지에 대한 부분도 고려해 볼 필요가 있습니다.

3.2  보안에 대한 사용자 인식 부재

무엇이든 기술적인 부분으로 해결을 하려다 보면 늘 부족한 것이 있습니다. 그것은 바로 사람의 인식에 대한 부분입니다. 대부분 보안장비를 도입을 하였다고 하면 보안에 많은 노력을 기울였다고 생각을 합니다. 하지만 보안 솔류션 및 장비 도입후에도 체계적인 관리가 필요합니다. 사용자는 더욱더 노력을 해야 하는 측면에 있지요. 앞으로는 사용자에 있어서 자신이 업무용으로 사용하는 PC에 대한 취약점을 제거 하는 사람에게는 보상을, 그렇지 못하고 어제와 같은 사이버 테러에 노출 될 수 있는 취약점이 많은 PC 사용자에게는 불이익이 돌아가는 날도 멀지 않았을 것이라는 예상도 해 보게 되는군요. 

4. 사건 발생후 사고 대응방안과 해결 과제 

보통 뜻하지 않는 이러한 전산망 마비나 사이버 마비 증상이 나타나게 되면 대부분 사람들은 우왕좌왕 하게 됩니다. 그리고 해당 부서를 찾아서 연락을 취하고 원인을 파악하지만 한꺼번에 동시다발적으로 일어나는 장애에 대해서는 갑자기 문의가 오기 때문에 해당 부서에서도 일일이 대응하기 쉽지 않습니다. 이러한 사례는 저도 과거에 1.25 대란을 현장에서 그대로 겪었기 때문에 누구보다 더 잘 알고 있습니다. 그럼 어떻게 해야 할까요?

4.1  기업정보보호관리체계수립의 필요성 대두

무엇보다  정보보호관리에 대한 체계적인 수립이 필요합니다. 조직이나 기관에  정보보호 정책에서부터 조직 그리고 예산 , 기술적 관리적 대처 방안과 또한 장애 훈련에 대비한 모의 시나리오, 언론에 대응방법까지 체계적으로 어떻게 보안관리체계를 가져 가야 할 것인가가 가장 중요한 문제가 되겠습니다. 조금 더 큰 틀에서 바라 보자는 것이지요.

갑자기 전산망이 마비가 되면 모두가 손을 놓고, 윗사람에 지시나, 또는 상위기관에 지시만 기다리게 됩니다. 이러한 상황에서 윗사람에 지시와 상위기관의 체계적인 프로세스가 수립이 되어 있지 않는다면 우왕좌왕하게 되겠지요. 

무조건 랜선을 뽑아야 하는 것이 가장 최선은 아니라는 생각이 듭니다. 랜선을 뽑게 되면 어차피 내부 전산망에 접속이 끊기기 때문에 업무를 할 수 없는 것은 당연한 것이기 때문입니다.

4.2 정기적인 전체 또는 부분 전산망 장애에 대한 시뮬레이션 

과거에 한참 DR(복구)센터 구축에 열을 올리던 때가 있었습니다. 물론 지금도 복구센터를 많이 구축하고 있지만 대부분 기업은 자체 IDC(인터넷데이터센터)를 보유하면서 복구센터로 활용하기도 합니다. 아무튼 그렇지 못한 이번처럼 국가기간망 방송과 금융에 전산망이 마비가 될 경우에 대비하여 복구센터의 필요성이 제기되기도 합니다. 불가항력적인 자연재해나 지진등에 대비하여 원 사이트가 문제가 생기더라도 즉시 복구해 낼수 있는 것이지요. 이러한 부분은 다시 한번 고려해 봐야 할 것입니다.

또한  전체 또는 일부분 전산망 장애에 대한 정기적인 시뮬레이션이 이루어져야 합니다. 그래야 실제로 장애시에 빠르게 대응을 할 수 있습니다. 이러한 일련의 과정은 모두 정보보호관리체계를 수립하면서 체크가 되어야 할 사항일 것입니다. 정보보호관리체계가 도입이 되었다고 하더라도 보안에 절대적인 문제가 생기지 않는다는 것은 아닙니다. 다만 도입하지 않았을 때의 정보보호 수준과 그 차이가 있다라는 사실입니다.