금융의 심장, 北해커들에 7개월간 무방비 노출
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
검찰, 농협 해킹 北소행 결론
디도스 수법 일치…직원PC '좀비' 만들어 조종
농협 "2015년까지 5100억원 들여 보안 강화"
디도스 수법 일치…직원PC '좀비' 만들어 조종
농협 "2015년까지 5100억원 들여 보안 강화"
'지난해 9월,해커들이 국내 S웹하드 사이트에 악성코드를 유포했다. 한모씨의 노트북 컴퓨터도 이 사이트에서 내려받은 악성코드 때문에 '좀비PC'가 됐다. 해킹을 통해 그가 농협 서버를 관리하는 한국 IBM사 직원이라는 것을 알아낸 해커들은 지난달 12일 오전 농협 서버를 삭제하는 공격명령파일을 노트북에 설치했다. 한씨가 농협 내부시스템에 들어가 접속하자 공격명령이 실행됐다. 해커들은 서버 파괴 현황을 원격으로 확인하고 악성코드를 삭제하는 등 증거 인멸까지 자행했다. '
검찰이 3일 발표한 '농협 전산망 마비 사건'의 재구성이다. 검찰은 이 해커들의 정체를 북한 정찰총국 소속의 전문가들로 지목했다. 검찰은 이번 사건이 "자본주의의 기본 인프라인 금융기관 시스템 자체를 파괴하는 북한의 타깃형 집중공격"이라며 "북한의 새로운 사이버 공격 방식에 대한 대책이 절실하다"고 밝혔다.
◆7개월 동안 키보드 해킹,도청
검찰에 따르면 이번 사건은 북한이 7개월가량 장기간 치밀하게 준비해 저지른 '사이버테러'다. 해커는 수십 명이 동원됐다. 이들은 한씨가 사용하는 웹하드 사이트에 업데이트 프로그램으로 위장한 악성코드를 유포했다. 한씨는 별다른 의심없이 다운로드 받았고,그의 노트북에는 공교롭게도 악성코드를 식별하는 보안프로그램이 설치돼 있지 않았다. 해커들은 한씨의 키보드 입력 내용을 가로채는 '키로깅'을 통해 한씨의 신분을 알아냈다. 이후 상대방이 눈치 못 채게 침입하는 '백도어' 프로그램과 도청 프로그램 등을 설치해 한씨의 일거수일투족을 감시했다. 김영대 서울중앙지검 첨단범죄수사2부장은 "최근 한 달간 키로깅으로 새 나간 정보만 A4용지 1073페이지 분량"이라고 말했다. 여기에는 농협 서버의 ID와 비밀번호도 포함됐다.
검찰 수사결과 한씨의 노트북에서 발견된 악성코드는 81개였다. 이 가운데 서버 삭제 프로그램은 유기적으로 연결돼 1회 명령을 내리면 모든 공격이 순차적으로 자동실행되는 구조였다. 공격 내용도 서버의 모든 데이터를 완전히 삭제하는 강력한 내용이어서 서버 운행중단 외에는 막을 방법이 없었다. 해커들은 악성코드를 통해 범행 당시 농협 서버 587대 가운데 273대가 피해를 입은 것까지 원격 모니터링으로 확인했다.
◆"과거 디도스 공격과 판박이"
검찰은 이번 사건이 북한의 소행으로 결론지어진 2009년 7 · 7 디도스(DDoS · 분산서비스거부) 및 지난 3 · 4 디도스 공격과 해킹 방법에 있어 '판박이'라고 밝혔다. 악성코드 유포지가 웹하드 사이트라는 점,악성코드를 동영상 파일에 숨기지 않고 업데이트 프로그램인 것처럼 위장한 방식이 동일했다. 일부 악성코드 이름은 3 · 4 디도스 때와 같았다. 악성코드들이 발각되지 않도록 암호화하는 방식도 3 · 4 디도스 때와 비슷했다. A로 시작하는 한 암호키는 45자가 모두 동일할 정도였다. 한씨의 노트북에서 발견된 공격명령서버 IP 가운데 1개도 3 · 4 디도스 때 이용된 것과 같았다.
검찰과 수사당국은 지난해 9월 북한이 200여개의 좀비PC로 사이버테러를 시도한 정황을 포착했는데,한씨 노트북의 맥어드레스(랜카드에 부여된 하드웨어 주소)가 이 좀비PC들의 맥어드레스 가운데 하나인 것으로 조사됐다. 맥어드레스는 IP와 달리 바뀌지 않는다. 김 부장검사는 "국가 주요 전산망 관리자들의 PC는 외부에 노출되지 않도록 지침을 정비해야 한다"며 "악성코드 유포경로인 웹하드 사이트에 대한 제도적 대책도 마련돼야 한다"고 지적했다.
농협은 이날 "2015년까지 최고의 보안시스템과 최첨단 방화벽을 갖춘 IT센터 신축과 최신시스템 설치에 4000억원을 투자하는 등 총 5100억원을 보안 강화에 쓸 것"이라고 발표했다.
▶ 좀비PC
해커가 스팸메일 등을 통해 악성코드를 심어놓은 PC.사용자의 의지와 상관없이 해커의 명령에 따라 좀비처럼 움직인다.
▶ 키로깅
사용자가 키보드로 PC에 입력하는 내용을 낚아채는 해킹 기술.
▶ 맥어드레스
네트워크 통신을 위해 랜카드에 부여된 하드웨어주소.IP와 달리 부품을 교체하지 않는 한 바뀌지 않는다.
임도원/이상은 기자 van7691@hankyung.com
검찰이 3일 발표한 '농협 전산망 마비 사건'의 재구성이다. 검찰은 이 해커들의 정체를 북한 정찰총국 소속의 전문가들로 지목했다. 검찰은 이번 사건이 "자본주의의 기본 인프라인 금융기관 시스템 자체를 파괴하는 북한의 타깃형 집중공격"이라며 "북한의 새로운 사이버 공격 방식에 대한 대책이 절실하다"고 밝혔다.
◆7개월 동안 키보드 해킹,도청
검찰에 따르면 이번 사건은 북한이 7개월가량 장기간 치밀하게 준비해 저지른 '사이버테러'다. 해커는 수십 명이 동원됐다. 이들은 한씨가 사용하는 웹하드 사이트에 업데이트 프로그램으로 위장한 악성코드를 유포했다. 한씨는 별다른 의심없이 다운로드 받았고,그의 노트북에는 공교롭게도 악성코드를 식별하는 보안프로그램이 설치돼 있지 않았다. 해커들은 한씨의 키보드 입력 내용을 가로채는 '키로깅'을 통해 한씨의 신분을 알아냈다. 이후 상대방이 눈치 못 채게 침입하는 '백도어' 프로그램과 도청 프로그램 등을 설치해 한씨의 일거수일투족을 감시했다. 김영대 서울중앙지검 첨단범죄수사2부장은 "최근 한 달간 키로깅으로 새 나간 정보만 A4용지 1073페이지 분량"이라고 말했다. 여기에는 농협 서버의 ID와 비밀번호도 포함됐다.
검찰 수사결과 한씨의 노트북에서 발견된 악성코드는 81개였다. 이 가운데 서버 삭제 프로그램은 유기적으로 연결돼 1회 명령을 내리면 모든 공격이 순차적으로 자동실행되는 구조였다. 공격 내용도 서버의 모든 데이터를 완전히 삭제하는 강력한 내용이어서 서버 운행중단 외에는 막을 방법이 없었다. 해커들은 악성코드를 통해 범행 당시 농협 서버 587대 가운데 273대가 피해를 입은 것까지 원격 모니터링으로 확인했다.
◆"과거 디도스 공격과 판박이"
검찰은 이번 사건이 북한의 소행으로 결론지어진 2009년 7 · 7 디도스(DDoS · 분산서비스거부) 및 지난 3 · 4 디도스 공격과 해킹 방법에 있어 '판박이'라고 밝혔다. 악성코드 유포지가 웹하드 사이트라는 점,악성코드를 동영상 파일에 숨기지 않고 업데이트 프로그램인 것처럼 위장한 방식이 동일했다. 일부 악성코드 이름은 3 · 4 디도스 때와 같았다. 악성코드들이 발각되지 않도록 암호화하는 방식도 3 · 4 디도스 때와 비슷했다. A로 시작하는 한 암호키는 45자가 모두 동일할 정도였다. 한씨의 노트북에서 발견된 공격명령서버 IP 가운데 1개도 3 · 4 디도스 때 이용된 것과 같았다.
검찰과 수사당국은 지난해 9월 북한이 200여개의 좀비PC로 사이버테러를 시도한 정황을 포착했는데,한씨 노트북의 맥어드레스(랜카드에 부여된 하드웨어 주소)가 이 좀비PC들의 맥어드레스 가운데 하나인 것으로 조사됐다. 맥어드레스는 IP와 달리 바뀌지 않는다. 김 부장검사는 "국가 주요 전산망 관리자들의 PC는 외부에 노출되지 않도록 지침을 정비해야 한다"며 "악성코드 유포경로인 웹하드 사이트에 대한 제도적 대책도 마련돼야 한다"고 지적했다.
농협은 이날 "2015년까지 최고의 보안시스템과 최첨단 방화벽을 갖춘 IT센터 신축과 최신시스템 설치에 4000억원을 투자하는 등 총 5100억원을 보안 강화에 쓸 것"이라고 발표했다.
▶ 좀비PC
해커가 스팸메일 등을 통해 악성코드를 심어놓은 PC.사용자의 의지와 상관없이 해커의 명령에 따라 좀비처럼 움직인다.
▶ 키로깅
사용자가 키보드로 PC에 입력하는 내용을 낚아채는 해킹 기술.
▶ 맥어드레스
네트워크 통신을 위해 랜카드에 부여된 하드웨어주소.IP와 달리 부품을 교체하지 않는 한 바뀌지 않는다.
임도원/이상은 기자 van7691@hankyung.com