2018 평창동계올림픽 개막일에 발생한 사이버 공격은 해커들이 장기간에 걸쳐 준비한 지능형지속공격(APT)으로 파악됐다.

평창동계올림픽 조직위원회 오상진 정보통신국장은 2일 한국정보화진흥원 서울사무소에서 열린 과학기술정보통신부 정보보호 세미나에서 이같이 밝히며 “해커들은 시스템을 사전에 파악한 후 정보 탈취보다는 시스템 파괴를 목적으로 공격했다”라고 설명했다. 오 국장은 “공격에 쓰인 악성코드 41종을 확보해 분석한 결과 25개가 실제 시스템 파괴 행위에 활용됐고 나머지는 사전 준비에 쓰였다”며 “이런 APT 성향의 공격은 이전 올림픽 때는 없는 것으로 알고 있다. 상당히 오래 준비가 됐고 악의적인 공격이었다”고 분석했다.

공격 주체에 대해서는 “북한은 아닌 것 같다”면서도 “수사가 좀 더 진행돼야 공격자를 알 수 있을 것”이라고 언급했다.


앞서 지난 2월9일 평창올림픽 개회식 도중 조직위원회와 주요 파트너사들이 사이버 공격을 받았다. 오후 8시 시작한 공격으로 당시 메인프레스센터에 설치된 IPTV의 전원이 꺼지고, 조직위 홈페이지에 접속 장애가 발생하는 등의 피해가 발생했다. 드러나지 않은 피해는 이보다 더욱 컸다. 조직위 33개를 포함한 국내 서버 50대가 파괴됐고 총 300여대가 영향을 받았다. 당시 조직위 서비스 인증 서버와 데이터베이스 서버가 파괴되면서 수송·숙박·선수촌 관리·유니폼 배부 등 4개 영역 52종의 서비스가 중단됐다.

조직위는 밤샘 복구 작업에 나선지 12시간 만인 다음날 오전 7시 50분께 서비스를 정상화했다. 복구 과정에서 데이터센터를 완전히 차단하고, 전체 시스템의 비밀번호를 바꿔야 했다. 다행히도 올림픽 운영에 큰 차질은 없었다.

조직위 분석 결과 해커들은 외부 참여업체의 계정을 일부 탈취한 뒤 조직위 시스템으로 잠입해 조직위 계정을 확보하고 이 계정을 공격에 활용한 것으로 파악했다. 오 국장은 “해커들은 작년 12월부터 올림픽 파트너사를 공격해왔다”며 “다양한 업체가 올림픽 준비에 참여하다 보니 높은 수준의 보안이 현장에서 100% 적용되는지 일일이 확인할 수 없었다”고 밝혔다.

오 국장은 이 같은 해킹의 대책으로 시스템 내 정상과 비정상 행위를 구분할 수 있는 행위 분석 기반의 보안체계를 꼽았다. 그는 해커가 시스템에 들어오면 비밀번호 변경 규칙을 바꾸는 등 비정상적인 행위를 한다며 “행위 기반의 방어체계가 있었다면 공격을 막을 수 있었을 것”이라고 아쉬워했다. 오 국장은 “다행히 재해복구 훈련을 두 번 한 게 유효했다”며 “앞으로 최악의 시나리오를 가정한 재해복구 체계를 마련할 필요가 있다”고 강조했다.

/장아람인턴기자 ram1014@sedaily.com