2013.03 "3.20 전산망 대란"

3.20 전산망 대란을 일으킨 해커조직의 실체가 북한 정찰총국으로 드러나 사실상 충격과 불안을 가져오고 있다.
그리고 이제 사이버전이라는 용어에 점점 더 익숙해져야 할 시대에 우리는 살아갈 것이다.

나는 개인적인 소견으로 '홍커'+북한의 소행이라고 생각했는데, 북한의 단독소행이니 참으로 놀랍다.
아울러 북한에 대해 경각심을 조금 더 가지게 되었다. 무기(미사일,대공화기 등) 말고 인적 인프라가 이렇게나 앞서 있다니..
참고로 이런 동시다발 적인 대규모 해킹은 개인이 하기에는 사실상 불가능하다. 타킷을 정하고 오랜동안 정보 수집부터해서 해킹에 필요한 기술을 가진 인력, 외적 인프라는 단체나, 그룹, 기관이 아니면 하기 힘든 사실이다. 현재 오픈 된 해커 그룹 중, 이런 실력과 인적,외적 인프라를 가지고 있는 단체는 기실 몇개 되지 않는다.

간단히 정리해 보면
-. 어나니머스 - 워낙 유명한 핵타비즘(정치적인 성향을 띄는) 해커단체이다. 하지만 우리나라와 국제적, 정치적으로 충돌이 없기에 아닐 것이라 판단. 이번 북한의 서버를 해킹하여 우리민족끼리 명단을 확보했다고 주장하는 단체이기도 하다.
-. 카오스 컴퓨터 클럽 - 독일의 유명한 해커 단체. 하지만 이 녀석들도 최근엔 잠잠하다.
-. 홍커 - 중국의 핵타비즘 단체, 미국, 일본 과도 몇 번 사이버 전쟁도 감행할 만큼 많은 해커들과 인프라를 갖춘 조직(개인적으로 향후 가장 많은 충돌을 일으킬 가능성이 있는 단체. 우리와 중국 및 일본은 사회, 경제, 문화적인 역학 구조가 많기 때문에 갈등도 그 만큼 있을 수 밖에 없다)

잠깐 나왔던 whois라는 해킹단체는 어중이 혹은 미끼, 연막탄이라고 생각했다.(사실 업계에 있는 사람이라면 뻥카라고 생각할 것이다. 왜냐하면 이런 국가망을 흔드는 해킹 사건은 쪼랩 및 초짜는 하지 못한다. 오픈되지도 않은 재야의 고수단체라면 분명히 우리나라 말고 이전 국제 분쟁이나 어떤 이슈 혹은 위키디피아에서라도 한번 쯤 언질이 되어 있었어야 했다)

각설하고, 3.20 전산망 대란을 어떻게 발생 시켰고, 그 과정으로 어떤 준비를 했으며, 그리고 대책은 무엇인지 알아보자.

1. HOW?

이번 공격은 가능한 한 필요한 모든 정보를 수집해 중요한 정보를 구분하고, 그 대상을 가려 공격한 치밀함을 보여준 공격이다.덧붙이자면, 이런 유형의 공격을 APT 공격(지능형지속보안위협) 이라고 한다.
아래 그림을 참조하여 간단한 설명을 덧 붙히면

                                                               <3.20 전산망 대란의 공격 구성도>

a. 웹 서버를 해킹한 뒤 악성코드를 심는다.
    정보수집(Foot printing 이라고도 한다) 방법으로는 누구나 접근이 쉬운 날씨 관련 사이트나 주요 방송사 site 게시판을 이용했다. 이는 사이트에 로그인만 하면 누구나 글을 남길 수 있는 게시판의 쉬운 접근성을 악용한 것이고, 웹 사이트 방문자에게는 악성코드에 쉽게 감염될 수 있고, 많은 사람들이 이용해서 감염 유포지로도 제격인 셈이다.

 웹 서버에 해킹에는 다양한 방법이 있지만(SQL injection, 파일 업로드 취약점, XSS, 디렉토리 목록화 등) 게시판의 취약점을 노린 해커는 웹 서버를 해킹해서 악성코드 유포페이지를 만들고, 악성코드를 심은 것이다. 여기서는 국내 웹사이트의 웹 AcitveX 모듈의 업데이트 경로를 변조하는 방법을 사용했다. 즉 변조된 웹사이트의 방문자는 업데이트 실행 시 악성코드에 감염된다.

b. 악성코드에 감염된 PC는 해커의 1차 C&C 서버로 이동하여 통신한다. 그렇다면 왜 C&C 서버로 이동하나? C&C 서버는 해커가 교신하는 서버로 명령.제어할 수 있다.(한마디로 원격으로 좀비PC를 관리하고 공격 명령을 내리는 서버. 즉 해커는 C&C서버에 명령만 내리면 좀비 PC가 들이  C&C서버에 접속해서 명령을 수행한다.)

c. 해커는 C&C 서버를  1,2 차로 나누었는데 그 이유는 기밀 정보를 구분하고 그에 맞는 악성 코드를 유포해 수집하는데 이용했다. 즉 중요 정보를 보유한 PC에 대해서는 정보수집 악성코드와 백신 중앙관리 서버와 DB서버를 포트 스캔 할 수 있는 악성코드를 1차 C&C 서버에서 추가 유포한 것이다.

d. 추가 유포된 악성코드에 감염된 PC는 2차 C&C 서버와 접속하게 되고, 이를 통하여 해커는 메인 업데이트 서버 위치(그림에서 중앙관리서버)를 파악하고, 업데이트 서버의 취약점을 이용해 업데이트 파일을 악성코드로 변조시켰다.
왠만한 기관이나 기업들은 각각의 전산망에 Anti-virus 서버를 두어, 클라이언트 PC들이 그 서버로 최신 변경된 업데이트 파일을 적용시킬 수 있또록 한다)
결국, 변조된 악성코드는 백신 에이전트 업데이트 서버에서 각 개인의 PC로 전송 배포되고, 해커의 명령에 따라 작동하면서 정해진 시간에 하드디스크를 파괴한 것이다.

 

2. 대책 및 방지책

이번 3.20 전산망 대란은 C&C 서버를 이용해 악성코드란 무기를 사용한 사이버전의 모습을 가감 없이 보여줬다.
이미 북한의 동일 해커조직은 2007년 부터 치밀한 사전계획 하에 공격해 왔다. 따라서 추후 다른 사이버전이 발생할 수 있는 확률이 높고, 이에 대비할 수 있는 대책으로는 아래와 같다.

a. 보안전문가 양성
b. 기업/기관 내 보안 교육 및 인식 강화
c. 위험등급이 높은 악성코드를 전문적으로 추적, 분석해 정보를 공유할 수 있는 체계 혹은 시스템 인프라 구축
d. 사이버전에 대비한 별도 기관 신설

출처 :

1. http://www.boannews.com/media/view.asp?idx=35578&kind=0

2. http://news.chosun.com/site/data/html_dir/2013/04/09/2013040902268.html?news_Head1

3. http://www.boannews.com/media/view.asp?idx=35599&kind=0.

3. List of Hacker group : ☞ 클릭

4. 3.20 전산망 대란 北 해킹의 추정 증거는 ? ☞ 클릭