평창동계올림픽 개막일(2월 9일)에 발생한 사이버 해킹 공격은 미상의 해커 그룹이 장기간에 걸쳐 치밀하게 준비한 지능형지속공격(APT) 방식으로 파악됐다. 다만 공격 주체는 북한이 아닌 것으로 나타났다.
오상진 평창동계올림픽 조직위원회 정보통신국장은 지난 2일 광화문 한국정보화진흥원(NIA) 서울사무소에서 열린 과학기술정보통신부 ‘정보 보호 세미나’에서 이 같은 조사 결과를 공개했다.
오 국장은 “공격에 쓰인 악성코드 41종을 확보해 분석한 결과 25개가 실제 평창동계올림픽 시스템 파괴에 활용됐다”면서 “이러한 성향의 APT 공격은 다른 올림픽 때는 없었던 것으로 오랜 기간 준비된 악의적인 행위”라고 설명했다.
앞서 평창동계올림픽 개회식 도중 조직위원회와 주요 협력사는 사이버 공격을 받았다. 당시 오후 8시 사이버 공격이 시작되면서 메인 프레스센터에 설치된 인터넷 멀티미디어 방송(IPTV)이 꺼지고 조직위 홈페이지에 접속되지 않는 장애가 발생했다. 조직위는 홈페이지와 IPTV 서비스, 와이파이(WiFi) 설비 등을 긴급하게 복구했고 다음날 오전 8시께 모든 서버를 정상화했다.
복구 이후 조사 결과 평창동계올림픽 운영 시스템을 지원하는 서버 300대 이상이 영향을 받은 것으로 확인됐다. 이에 따라 평창동계올림픽 수송·숙박·선수촌 관리·유니폼 배부 등 4개 영역 52종의 서비스가 완전히 차단됐다. 다행히 본격적인 대회 경기가 시작되기 전 복구가 완료돼 운영에 큰 차질은 없었다.
해커 그룹은 외부 참여 업체의 계정을 일부 탈취한 뒤 조직위원회 시스템으로 잠입해 공격한 것으로 파악됐다. 이 과정에서 해커 그룹은 추가 계정을 확보해 공격 범위를 넓혔다.
공격 주체와 목적은 명확히 밝혀지지 않았다. 일부 외신과 보안 업체는 북한을 가장한 러시아 해커 그룹의 공격이라는 분석을 내놓기도 했다. 오 국장은 “북한은 아닌 것 같지만, 수사가 더 진행돼야 명확하게 공격자를 알 수 있다”고 말했다.
평창동계올림픽 조직위원회는 앞으로 국가적 대형 행사를 치를 때 시스템 내 정상·비정상 행위를 구분할 수 있는 보안 체계를 갖춰야 한다고 조언했다. 오 국장은 “해커 그룹이 내부 시스템에 한 번 들어오면 계정의 접근 권한을 올리거나 미리 비밀번호 변경 규칙을 바꾸는 등의 여러 준비를 한다”면서 “이에 대비한 방어 체계를 갖췄더라면 이번 공격도 막을 수 있었을 것”이라고 강조했다.
/지민구기자 mingu@sedaily.com