2017년 상반기에는 정치적인 이슈로 인한 사이버 테러에서부터 금전적 이득을 위한 조직적인 해킹까지 다양한 보안 사건사고가 발생했다.

한국은 연초부터 고고도 미사일 방어체계(사드·THAAD) 배치를 두고 중국과 외교 갈등을 벌였는데, 이것이 국가간 사이버 테러 위기로 번졌다. 3월 10일에는 헌법재판소가 박근혜 전 대통령에 대한 파면을 결정했는데, 5월 초 '장미대선'을 치르는 중 북한을 비롯한 외부 세력에 의한 사이버 공방전 위기감이 커졌다.

개인 대상 랜섬웨어 공격도 한층 진화해 개인과 기업을 가리지 않고 피해를 양산한 사고가 빈번하게 발생했다. 회원 개인정보 유출 등 전통적인 침해사고도 빠지지 않고 발생해 정보통신서비스 사업자의 안일한 보안 대응이 도마에 오르기도 했다.

보안 업계는 하반기에도 지속적인 변종 랜섬웨어의 출현과 글로벌 해킹 그룹의 조직적인 분산서비스거부(디도스·DDoS) 공격 협박 등이 이어질 것으로 내다본다. 사이버 공격자의 주요 거래 수단인 가상화폐를 둘러싼 잡음도 끊이지 않을 전망이다.

◆ 중국의 사드 보복 사이버 공격, 활개 치는 핵티비스트

2017년 3월 중국 해커의 조직적인 움직임이 포착됐다. 이들은 SNS 등에서 '한국을 공격할 동료를 모집한다'며 동료를 모으기 시작했다. 한국의 사드 배치 결정에 반발한 판다정보국, 홍커연맹 등 중국 해커 그룹의 무력 시위는 우선 중국에서 사업을 펼치는 한국 기업을 향했다.

3월 중국 해커 그룹의 디도스 공격으로 서비스가 중단된 롯데면세점 중국 홈페이지 모습. / IT조선 DB
3월 중국 해커 그룹의 디도스 공격으로 서비스가 중단된 롯데면세점 중국 홈페이지 모습. / IT조선 DB
중국 해커 그룹의 무차별적인 디도스 공격으로 중국에서 서비스 중이던 롯데 그룹의 인터넷 상거래 사이트가 먹통이 됐다. 중국 해커 그룹은 이에 그치지 않고 국내 기업 홈페이지로도 공격을 확대했다. 국내 주요 기업 홈페이지는 화면을 변조하는 디페이스 공격을 받았다.

공격 받은 홈페이지의 첫 화면에는 해당 기업에 대한 내용 대신 노골적인 반한 감정을 드러내는 이미지가 나타났다. 이러한 공격은 비록 치명적인 피해를 입히지는 않지만, 국가간 외교 갈등으로 인한 핵티비스트(해커+행동주의자)의 활동이 민간 부문에 영향을 미칠 수 있음을 잘 보여준 사례다.

◆ 여기어때 해킹, 기업의 안일한 보안 인식에 '경종'

3월 말에는 숙박 O2O 서비스 '여기어때'를 서비스하는 위드이노베이션이 해킹으로 회원 91만명의 숙박 정보 323건을 유출한 사고가 발생했다.

해커는 유출한 정보를 바탕으로 여기어때 회원에게 성적 수치심을 주는 문자 메시지를 발송했다. 수사 결과, 해커는 여기어때 웹 사이트의 데이터베이스(DB) 취약점을 악용하는 SQL 인젝션 공격으로 관리자 고유 식별값을 탈취했다. 이 관리자 고유 식별값으로 외부에 노출된 서비스 관리 웹페이지를 관리자 권한으로 우회 접속해 각종 정보를 유출했다.

’여기어때’를 서비스하는 위드이노베이션 해킹 개요. / 방송통신위원회 제공
’여기어때’를 서비스하는 위드이노베이션 해킹 개요. / 방송통신위원회 제공
경찰청 사이버수사과는 6월 여기어때 해킹을 모의한 한국인 피의자 5명 중 4명을 검거했다. 이들은 여기어때를 해킹해 돈을 뜯어내기로 공모하고 중국인 해커를 고용해 행동에 옮긴 것으로 드러났다. 정부도 사생활 등 민감한 정보를 다루는 O2O 서비스에 대한 보안 실태 점검을 실시하는 등 유사 사고 재발을 방지하는 조치를 취했다.

◆ 워너크라이 대란, 전 세계를 랜섬웨어 공포에 떨게 하다

5월 전 세계를 강타한 '워너크라이' 랜섬웨어는 한국에서도 마수를 뻗쳤다. 워너크라이 랜섬웨어는 5월 12일(현지시각) 유럽을 중심으로 유포되기 시작해 빠르게 세계 전역으로 퍼져나갔다. 보안 업계는 전 세계 150개국 30만대쯤의 컴퓨터가 워너크라이에 감염됐을 것으로 추정했다.

워너크라이 랜섬웨어는 MS 윈도 운영체제의 파일 공유 네트워크 기능인 SMB의 취약점을 이용해 해당 컴퓨터는 물론, 네트워크에 연결된 다른 컴퓨터까지 일제히 감염시키는 기능을 갖춰 파급력이 컸다. 감염된 컴퓨터 내의 주요 파일을 암호화돼 더 이상 쓸 수 없게 되고, 공격자는 이를 풀어주는 조건으로 300달러(34만원)을 요구했다.

워너크라이 랜섬웨어 감염 시 뜨는 안내창 모습. / IT조선 DB
워너크라이 랜섬웨어 감염 시 뜨는 안내창 모습. / IT조선 DB
한국은 다행히 워너크라이 랜섬웨어 상륙 당시 주말이었던 관계로 피해가 일파만파 커지는 것을 방지할 수 있는 시간을 벌었다. 국내에서 워너크라이 랜섬웨어 감염을 신고한 기업은 최종적으로 21곳으로 집계됐다. 개인 사용자의 경우 집계되지 않아 실제 피해 규모는 더 클 수 있지만, 전 국민의 랜섬웨어에 대한 경각심을 높이는 계기가 되기도 했다.

◆ 몸값만 13억원…최악의 선례 남긴 인터넷나야나 사태

6월 국내 웹 호스팅 기업인 인터넷나야나는 고객사 홈페이지를 운영하는 호스팅 서버 153대가 일제히 랜섬웨어에 감염되는 사고를 겪었다. 이로 인해 해당 서버에 입주한 5496개 홈페이지가 작동을 멈췄다. 여기에는 심상정 정의당 국회의원의 홈페이지도 포함돼 있다.

조사 결과, 해커는 애초 인터넷나야나를 노리고 지능형 지속 위협(APT) 공격을 통해 관리자 계정 정보를 탈취하는 등 치밀하게 공격을 펼쳤다. 각 호스팅 서버에 랜섬웨어를 심어두고 즉각 대응이 어려운 새벽 1시에 일제히 행동을 개시하도록 설정했다. 동시에 백업 서버까지 삭제 명령을 내려 복구가 힘들게 만들었다.

인터넷나야나의 랜섬웨어 감염 개요도. / 방송통신위원회 제공
인터넷나야나의 랜섬웨어 감염 개요도. / 방송통신위원회 제공
인터넷나야나는 도저히 복구가 힘들다고 판단해 해커와 협상해 13억원을 지불하고 복구 키를 받았다. 인터넷나야나는 현재 1차 복호화를 완료하고 서비스를 재개했다. 이 사고는 랜섬웨어 감염으로 인한 해커와의 단일 협상으로는 최대 규모의 몸값 지불 사례라는 오명을 남겼다.

◆ "가상화폐 안 주면 디도스 공격"…'돈 되는 한국' 인식 확산 우려

6월에는 아르마다 콜렉티브(Armada Collective)라는 국제 해킹 그룹이 국내 금융권과 민간 기업을 대상으로 가상화폐를 지불하지 않으면 대규모 디도스 공격을 퍼붓겠다고 협박했다. 이 해킹 그룹은 자신들이 최대 1테라바이트(TB) 규모의 디도스 공격을 할 수 있다며 공포심을 자극했다.

협박 받은 금융사와 기업은 인터넷나야나 사례에서 보듯 해커와의 협상이 바람직하지 않다고 판단해 돈을 지불하지 않고 대응 태세를 강화했다. 아르마다 콜렉티브는 공격을 예고한 시점을 앞두고 몇몇 금융사에 소규모 디도스 공격을 시도한 후 실제로 대규모 공격을 감행하지는 않았다.

보안 업계는 이 사건이 실제 피해로 이어지지 않았지만, 한국이 인터넷나야나 사건 이후 전 세계 전 세계 사이버 공격자의 타깃으로 떠올랐다는 점에 주목했다. 하반기에도 비슷한 유형의 공격 시도가 있을 것으로 전망되는 만큼 기술적·정책적 보완을 모색해야 할 시점이다.