백신 프로그램을 주요 기관과 기업에 깔았는데, 알고 보니 이 프로그램을 통해 정보가 빠져나갔다. 지난해 방영된 소지섭·엄기준 주연의 SBS 드라마 ‘유령’에 등장한 신종 해킹 수법이다. 믿는 도끼에 발등을 찍힌 셈이다. 당시 안랩은 이 드라마의 보안 기술 자문을 담당했다. 그런데 얄궂게도 이번 사이버 테러에서는 보안업체 안랩과 하우리의 백신 관리 서버가 악성파일이 뿌려지는 통로가 됐다. 농협·신한은행·MBC는 안랩, YTN은 하우리의 백신을 쓴다. KBS는 양사 제품을 모두 사용하고 있다.
방패는 왜 틈새가 됐을까. 이번 해킹에 악용된 패치관리시스템(PMS)은 백신이나 문서프로그램 같은 기업의 업무용 소프트웨어를 관리하는 서버다. 악성코드는 날마다 수많은 변종이 등장하기 때문에 백신은 이를 걸러낼 수 있도록 주기적으로 최신 패치를 해야 한다. 그런데 PC 사용자들은 백신을 업데이트하라는 공지가 와도 무시하기 일쑤다. 그래서 중앙에서 한 번에 업데이트해 주는 것이 PMS다. 보안업체가 관리하는 메인 서버와 기업마다 있는 내부 서버로 구성된다. 보안업체의 메인 서버에서 기업 서버로 패치 내용을 보내주면 기업 서버에 연결된 수많은 PC에 한꺼번에 이를 전송하는 것이다.
편리한 만큼 해커에게도 매력적인 표적이다. PMS만 장악하면 모든 PC에 악성코드를 심을 수 있다. 2011년 네이트 해킹 때도 소프트웨어 업체 이스트소프트의 업데이트 서버가 악성코드의 통로가 됐다. 해커는 악성코드를 직원의 PC에 심어 회원 3500만 명의 개인정보를 빼갔다.
안랩은 21일 “악성코드 통로에 안랩의 패치관리 서버가 이용된 것은 사실이지만 내부 서버 관리는 개별 기업의 책임”이라고 주장했다. 내부 서버 관리자의 아이디와 패스워드가 유출돼 정상적인 패치파일 대신 악성코드가 올라간 것은 제품의 문제가 아니라는 것이다. 하우리도 “보안업체로서 책임을 통감하지만 개별 서버는 고객사가 각자 운영한다”고 선을 그었다. 막을 방법이 없는 걸까. 안랩 측은 “기업 서버 담당자가 아이디와 비밀번호를 자주 바꾸고 지능형지속공격(APT)에 당하지 않도록 방지용 솔루션을 구축하는 등의 노력과 비용을 더 들여야 한다”고 말했다.
하지만 보안업체에 책임을 묻는 견해도 있다. 백신도 하나의 소프트웨어이기에 자체 취약성을 끊임없이 분석하고 이를 보완했어야 한다는 것이다. 익명을 요구한 한 보안 전문가는 “관리 서버는 연결된 PC에 전송하는 파일을 점검하게 돼 있다”며 “서버에서 이런 과정도 없이 곧바로 내부 PC들에 악성코드를 전송했다는 것 자체가 보안 취약점”이라고 지적했다. 이번 악성코드가 고난도가 아니라는 분석도 뼈아프다. 일부 해외 보안업체는 “이번 에 쓰인 악성코드는 우리가 1년 전에 찾아내 방지한 것”이라고 주장했다. 안랩 등에서 기업 서버에 악성파일 점검 시스템만 제대로 설치했어도 막을 수 있었다는 얘기다.
심서현 기자
[관계기사]
▶ "해킹 중국 IP, 내부직원이 사용한 사설 IP"
▶ 사이버테러 2차 공격? 지상파 방송 美웹사이트 해킹 당해
▶ 유엔이 경고했던 사이버 전쟁, 한반도 현실이 되다
▶ 해킹 쇼크 이튿날에도…은행들, 급여이체 앞두고 '긴장'
▶ '무차별 살포' 악성코드 304개 발견…추가피해 우려
방패는 왜 틈새가 됐을까. 이번 해킹에 악용된 패치관리시스템(PMS)은 백신이나 문서프로그램 같은 기업의 업무용 소프트웨어를 관리하는 서버다. 악성코드는 날마다 수많은 변종이 등장하기 때문에 백신은 이를 걸러낼 수 있도록 주기적으로 최신 패치를 해야 한다. 그런데 PC 사용자들은 백신을 업데이트하라는 공지가 와도 무시하기 일쑤다. 그래서 중앙에서 한 번에 업데이트해 주는 것이 PMS다. 보안업체가 관리하는 메인 서버와 기업마다 있는 내부 서버로 구성된다. 보안업체의 메인 서버에서 기업 서버로 패치 내용을 보내주면 기업 서버에 연결된 수많은 PC에 한꺼번에 이를 전송하는 것이다.
편리한 만큼 해커에게도 매력적인 표적이다. PMS만 장악하면 모든 PC에 악성코드를 심을 수 있다. 2011년 네이트 해킹 때도 소프트웨어 업체 이스트소프트의 업데이트 서버가 악성코드의 통로가 됐다. 해커는 악성코드를 직원의 PC에 심어 회원 3500만 명의 개인정보를 빼갔다.
안랩은 21일 “악성코드 통로에 안랩의 패치관리 서버가 이용된 것은 사실이지만 내부 서버 관리는 개별 기업의 책임”이라고 주장했다. 내부 서버 관리자의 아이디와 패스워드가 유출돼 정상적인 패치파일 대신 악성코드가 올라간 것은 제품의 문제가 아니라는 것이다. 하우리도 “보안업체로서 책임을 통감하지만 개별 서버는 고객사가 각자 운영한다”고 선을 그었다. 막을 방법이 없는 걸까. 안랩 측은 “기업 서버 담당자가 아이디와 비밀번호를 자주 바꾸고 지능형지속공격(APT)에 당하지 않도록 방지용 솔루션을 구축하는 등의 노력과 비용을 더 들여야 한다”고 말했다.
하지만 보안업체에 책임을 묻는 견해도 있다. 백신도 하나의 소프트웨어이기에 자체 취약성을 끊임없이 분석하고 이를 보완했어야 한다는 것이다. 익명을 요구한 한 보안 전문가는 “관리 서버는 연결된 PC에 전송하는 파일을 점검하게 돼 있다”며 “서버에서 이런 과정도 없이 곧바로 내부 PC들에 악성코드를 전송했다는 것 자체가 보안 취약점”이라고 지적했다. 이번 악성코드가 고난도가 아니라는 분석도 뼈아프다. 일부 해외 보안업체는 “이번 에 쓰인 악성코드는 우리가 1년 전에 찾아내 방지한 것”이라고 주장했다. 안랩 등에서 기업 서버에 악성파일 점검 시스템만 제대로 설치했어도 막을 수 있었다는 얘기다.
심서현 기자
[관계기사]
▶ "해킹 중국 IP, 내부직원이 사용한 사설 IP"
▶ 사이버테러 2차 공격? 지상파 방송 美웹사이트 해킹 당해
▶ 유엔이 경고했던 사이버 전쟁, 한반도 현실이 되다
▶ 해킹 쇼크 이튿날에도…은행들, 급여이체 앞두고 '긴장'
▶ '무차별 살포' 악성코드 304개 발견…추가피해 우려