• 3.20 전산망 마비 사태의 전말
    중앙보안관제 시스템의 재앙
        2013년 03월 21일 12:31 오전

    Print Friendly

     

    * 오늘 사상 초유의 방송사와 은행 일부의 전산망이 마비되는 사태가 발생했다. 이에 대해 북한의 소행부터 전문해킹그룹의 테러 등 온갖 설들이 난무한다. <레디앙>은 관련 사태에 대해 자문을 받아왔던 IT전문가의 사태에 대한 분석글을 기고 받아 게재한다. <편집자>
    ———————

    오늘 오후 2시 경 KBS MBC YTN 신한은행 농협 등에서 발생된 동시다발 파티션 파괴와 리붓은 어디선가 한 날 한 시에 원격파일전송 및 실행이 이루어졌음을 의미한다.

    일단 방송사 금융사의 전 직원 PC가 한 날 한 시에 동시에 내려앉았기 때문에 사용자가 악성코드를 잘못 눌렀다가 당한 것이라 이야기하는 건 논리적으로 맞지 않으니 상상의 범위에서 제껴두자.

    누가 그 짓을 했을까? TV조선이 “북한이 컴퓨터를 다 조종하는 이 무서운 상황!” 하고 외친 것처럼 북한이 그랬을까? 그랬다고 치자. 광의적 개념에서의 종북주의자가 되지 않기 위해서라도 당장 오늘부터 우리는 북한이 그랬다는 믿음을 가지기로 하자. 그럼 북한은 어떻게 이 컴퓨터들을 한방에 다 조종했을까?

    일반적으로 기업체 보안관제 프로그램 또는 백신에이전트 프로그램(이하 에이전트 프로그램)들은 중앙서버로부터 파일도 전송받고 관리자 권한으로 원격 실행시키기도 한다.

    사실 이러한 관제체계가 수립된 것은 개별 PC의 백신 프로그램이나 업무용 프로그램을 자동설치/업데이트하고자 하는 수요에서 시작된 것이다.

    여기에 기술상의 뿌리가 같기 때문에 특정PC의 문서를 가져오거나, 해당 직원이 열람한 인터넷 사이트 목록을 확보하거나, 다운로드받은 파일을 열어보거나, 작업 중인 화면을 엿보는 것 또한 가능해 많은 기업들이 노동 감시의 이점까지 고려하여 너도나도 전직원 PC에 설치하고 있는 실정이다.

    이 에이전트 프로그램들이 직원 PC에 설치되면 관제 메인 중앙서버의 관리하에 놓이게 되는데 이 중앙서버에서 업무용 프로그램이 아닌 하드디스크 데이터를 파괴하는 프로그램을 전송하고, 실행토록 명령한 뒤, 재부팅까지 시킨 것이 이번 사건의 전말이다.

    이들 관제 메인 서버들은 또다른 총관제 서버의 관제를 받게 되며 이 먹이사슬의 맨 끝에는 각 보안업체(안랩, 하우리 등)의 중앙 서버가 위치해 있다.

    이들 업체들의 중앙서버에는 각 회사별, 기관별 PC의 IP와 사용자 정보, 설치된 프로그램, 방문한 인터넷 사이트 목록 등 모든 정보가 ‘악성코드 침입 감시’를 이유로 감시된다.

    바로 이 서버에서 KBS MBC YTN 신한은행 농협 등을 콕 찍어 하드디스크 데이터를 날려버리는 프로그램을 전송하고 실행시킨 뒤 재부팅 명령을 내린 것이 확실하다.

    이 짓을 누가 했는지는 사실 해당 보안업체 서버에만 기록이 남아있을 것이다. 그리고 해당 업체들은 ‘보안업체’로서의 자존심이 걸려있기 때문에 사건이 발생된 즉시 자신들에게 남겨진 기록을 삭제하는 것이 얼마든지 가능하다. 따라서 누구의 소행인지는 신속하게 해당 업체들의 관제서버 하드디스크를 확보하지 않은 이상 확실한 증거는 찾아내기 힘들다.

    자. 여기서부터는 가능성을 전제로 한 픽션이다. 위와 같다면 주요 메이저 언론들이 ‘북한 소행일 것이다’ ‘북한 소행이 틀림없다’ 라고 말을 지어내는 것도 얼마든지 가능하다.

    북한 소행이 되는 순간 이들 보안업체들에게는 면죄부가 주어진다. 마치 농협전산망 마비사건이 북한 소행이 되면서 그간 농협에서 돈을 못 뺀 시민들의 불편함에 대한 농협의 책임이 깨끗하게 사라졌던 것처럼 말이다.

    각 보안업체 서버로부터 전송된 잘못된 관제명령으로 전국 방송사 기자, PD, 작가들의 모든 작업물이 날아가 패닉에 빠지는 초유의 사태에 대한 천문학적인 손해배상 책임을 보안업체들이 순순히 받아 들일리 만무하다.

    대권을 노리는 안철수씨가 만들었던 안랩은 더더욱 발등에 불이 떨어졌을 것이다. 더구나 전국에 뿌려진 업무용PC 관제에이전트 덕에 전국 모든 언론노동자들의 노동감시가 가능한 훌륭한 체계를 국가가 쉽사리 포기하기도 아까울 것이다.

    자, 그 보안업체 관계자들과 방송통신위원회, 국방부, 국가정보원, 청와대 등이 모여 한 자리에서 지금 대책회의를 하고 있다. 그들은 무엇을 원하겠는가? 우리가 상상할 수 있는 그 범위의 결정이 또다시 내려질 것이다.

    마치 수년 전 농협전산망 마비사태 때 ‘과거 북한이 해왔던 공격 수법과 비슷한 것으로 보아 이번 농협 전산망 마비도 북한 체신국의 사이버공격임이 틀림없다’ 라고 발표한 것처럼 말이다.

    중앙관제 중앙 감시 중심의 기업보안체계의 취약성이 이번 사건의 근본적인 원인이다. 중앙 관제 서버에서 마음대로 프로그램을 설치하게끔 PC의 주요 권한을 통째로 넘겨버리는 현재의 보안관리체계, 이를 통해 노동감시또한 가능해졌음에도 어느 누구도 막지 않고 방관한 것이 이번 사건의 근본 원인이다.

    테크노크라시=기술지배는 먼 미래의 이야기가 아니다. 지금 당장 우리 앞에 나타나있다. 그리고 그 기술지배의 최상위 권한을 공격자가 탈취한 것이 이번 사건의 전말이다. 그 공격자가 북한이었든, MBR를 덮어씌운 라틴어 문구 HASTATI 처럼 로마 군대였든, Whois 해커팀이었든 그건 중요하지 않다.

    그런 원격제어가 가능케 한 중앙 보안관제체계가 이 사태의 책임을 져야하며 이 체계를 도입한 자들이 날라간 하드디스크에 대한 최종적인 책임을 져야할 것이다. 북한인지 누군지 알 수 없는 허공에 탓해보았자 앞으로도 계속 이와 같은 취약성 하의 공격은 계속될 것이다. 그럼에도 국가와 주요 매체들은 북한을 내세우며 우리의 시선을 다른 곳으로 돌리려 하고 있다.

    북한이 했든지 북한이 하지 않았든지 이 사건은 사이버테러가 맞다. 하지만 누가 집 열쇠를 훔쳤냐를 찾기 전에, 누가 집 열쇠를 빼앗겼냐를 먼저 생각해야 한다.

    <p.s.1> 에이전트를 관제하는 업데이트 서버가 악성코드를 배포한 것이라는 방통위의 발표가 저녁 7시에 있었다. 거 봐라.

    방송통신위원회는 “피해 기관으로부터 채증한 악성코드를 초동 분석한 결과, 업데이트 관리서버(Patch Management System)을 통해 유포가 이뤄진 것으로 추정하고 있다”며 “부팅영역(Master Boot Record)을 파괴시킨 것으로 분석하고 있다”고 설명했다. – zdnet

    <p.s.2.> 백신프로그램이 뭔 짓을 하는지 다시 읽어보시라고 링크를 투척한다. (관련 링크)

    <p.s.3.> 느닷없이 야근하며 고생하고 있을 안랩과 하우리 IT 노동자들과 난데없이 모든 문서를 날려먹은 방송사 기자, PD, 작가 노동자 여러분들에게 위로를 보냅니다.

    필자소개
    개발자

    페이스북 댓글