국내 대표적인 해킹 사례

한국에서 국가 단위의 해킹 피해가 처음으로 발생된 시기는 바이러스를 이용해 개인 PC를 타깃으로 삼은 1999년의 체르노빌 바이러스 사건이었고, 네크워크를 이용하는 웜바이러스 공격은 2003년 웜 바이러스 사건 이후라고 보고 있다.

 

국내 주요 정부기관, 은행, 포털 등에서 최근 10년 동안 벌어진 전산망 마비 사태의 직접적인 공격방법은 크게 디도스(DDoS, 분산서비스거부) 공격과 해킹에 의한 악성코드 유포로 나눌 수 있다. 디도스는 수많은 개인용 컴퓨터(좀비PC)에 악성코드를 주입하여 공격 대상 사이트에 대량의 트래픽을 발생시켜 접속 장애와 기능정지를 목표로 하는 행위이고, 해킹은 특정 전산시스템에 침투해 악성코드를 감염시킨 뒤 기능을 마비시키거나 자료를 몰래 빼내는 것이다. 여기서는 국내에서 발생한 중요한 바이러스와 해킹에 의한 사이버 공격사례를 알아본다.

 

1. 체르노빌 바이러스

 

1999년 4월 26일 발생된 국가적 차원의 컴퓨터 바이러스 대란이었다. 개발자인 대만인 대학생 프로그래머 첸잉후오의 이름 첫 글자를 딴 CH 바이러스는 전국적으로 110만대 이상의 PC를 못쓰게 만들었다.

 

CH 바이러스는 마이크로소프트 원도에 감염되는 컴퓨터 바이러스로, 체르노빌 또는 스페이스필러 바이러스로도 불리었다.

 

"체르노빌 바이러스"라는 이름은 이 바이러스가 활동하는 날짜인 4월 26일이 구 소련에서 체르노빌 원자력 발전소 사고가 일어난 날짜와 우연히 일치했기 때문이다. CH 바이러스는 PC의 바이오스를 파괴하여 시동 자체를 불가능하게 만들었다. 소프트웨어로 바이오스 정보를 바꿀 수 있는 PC의 약점을 이용한 것이다.

 

이것은 1998년 6월에 한 PC 통신 자료실에 올라온 동영상 뷰어인 "무비 플레이어 1.46"을 통해 감염되기 시작하였다. 1998년 9월 야마하는 자사의 CD-R400 드라이브에 대한 펌웨어 업데이트를 실시하였다. 이 업데이트 파일속에 감연된 바이러스가 포함되었고, 이것이 확상되어 1999년 4월 26일의 바이러스 대란으로 이어진 것이다. CH는 초보자들이 사용하는 개인용 컴퓨터를 파괴하는 바이러스로 윈고 9x(95, 98, Me) 운영체제에만 영향을 주기 때문에 현재에는 그리 큰 영향을 미치지 않는다. 2002년 12월에 CH, 1106이라 불리는 변종 바이러스가 나타났지만 그리 심각한 편은 아니었다.

 

2. 1.25 대란

 

2003년 1월 25일 마이크로소프트의 데이터베이스 소프트웨어인 'SQL 서버'가 공격당하면서 인터넷을 마비시킨 이른다 '1.25 대란'이 발생했다. '슬래머 웜 바이러스'라고 불리는 이 웜 바이러스로 인해 전 세계에 인터넷 접속장애를 호소하는 신고가 폭주했고, 불과 수 십분 만에 전 세계 7만 5000여개의 시스템이 사고를 당했다.

 

한국에서는 보유중인 컴퓨터서버의 10%에 달하는 8,800여개의 서버가 공격당하면서 7시간 동안 전국적으로 인터넷이 두절되는 등 국가적 혼란 사태가 나타났다. 한국의 피해가 가장 컸던 것은 정보통신사업자들의 보안의식이 결여됐기 때문이라는 분석이 나왔다. MS가 배포한 보안패치만 업데이트했더라도 충분히 막을 수 있는 사건이어서 정보기술 강국이라는 자존심에도 큰 상처를 입었다.

 

1.25 대란 이후 인터넷 이상 징후를 모니터링하고 대응할 수 있는 '인터넷침해대응센터(KISC)'가 설립돼 모니터링 체계가 구축됐고 정보통신망법이 개정되는 등 법체계도 정비됐다.

 

 

3. 주요 정보 유출사건

 

2007년 7월 D사 고객상담 관리 시스템을 해커가 공격하여 회원 7천여명의 주민등록번호가 포함된 개인정보를 빼내는 사고가 발생했다.

 

2009년 2월 5일에는 유명 온라인 오픈마켓 A사의 이용자 1천 81만명의 이름, 아이디, 주민등록번호, 주소, 전화번호 등의 개인정보가 유출되었고 100만명의 계좌번호도 유출되는 사고가 발생하였다.

 

2008년 9월에는 G가의 개인정보 1,125만 건이 유출되었고, 2011년 4월에는 H캐피털의 고객 개인정보 175만 건이 유출되었다.

 

이후에도 비슷한 사건들이 계속 일어나다가 2011년 8월 N사의 개인 홈피 정보가 해킹당하여 무려 3,500만 건의 개인정보가 유출되는 최악의 사고가 발생하고 말았는데 2012년 4월 법원은 해당회사는 상대로 한 "회원의 개인정보 유출사건과 관련"해 피해자에게 위자료를 지급하라는 최초의 판결을 내렸다.

 

이후에도 개인정보 유출은 계속되었다. 2011년 11월 N사의 게임 사이트에서 개인정보 1,320만 건이 유출되었고, 2012년 2~7월 사이에는 K통신사의 휴대전화 개인정보 870만 건이 유출되었다.

 

 

4. 7.7 대란 (7.7 디도스 공격)

 

7.7 대란은 2009년 7월 7일 청와대, 국회, 국방부, 외교통상부, 한나라당, 조선일보, 옥션, 농협, 신한은행, 외환은행, 네이버 등 국내 11곳과 미국 백악관과 국무부를 포함한 외국 14곳등 25개 사이트를 대상으로 벌였던 대표적인 디도스 공격이었다. 이때 공격에 활용된 개인용 컴퓨터는 2만 3,000대에 달했고 피해액만 500억원이 넘는 것으로 추산되고 있다.

 

이 공격은 여러 단계를 거쳐 진행되었다. 최초의 공격은 미국 사이트들을 대상으로 이루어졌기 때문에, 미국에서는 7월 4일을 1차 공격으로, 한국에서는 7월6일 ~ 7일을 1차 공격으로 보고 있다.

 

7.7 대란이 국가적으로 큰 피해를 입힌 것은 정부의 초기대응 실패가 원인이라는 분석이 나왔다. 주무부서인 방송통신위원회는 사고 발생 이후 6시간이 지나서야 '주의'경보를 내렸다. 웹사이트 장애의 원인 파악에 보통 2시간 정도가 걸린다는 점을 감안할 때, 너무 늦게 대처했기 때문이다. 그나마 1.25 대란 이후 개인과 기업들의 보안의식이 커지면서 더 이상의 확산을 막을 수 있었던 게 다행이었다.

 

 

5. 3.4 디도스 공격

 

2011년 3월 3일을 기점으로 디도스공격(DDoS)을 실시하여 한국의 주요 정부기관, 포털 사이트, 은행 사이트 등을 일시적으로 두 차례 마비시킨 대형 사건이다. 이것은 7.7 디도스 공격보다 진화된 형태였다는 평가를 받고 있다.

 

국내 파일 공유 사이트들을 통해 악성코드에 감염된 좀비 피시 2만 천여 대가 공격의 주범이었지만 피해는 그리 크지 않았다. 2009년 디도스 대란 이후 '국가 사이버 안전체제'가 구축되면서 KISA를 중심으로 방송통신위원회, 국가정보원, 국방부 등 정부 기관과 백신프로그램, 이동통신업체 등 민간 사업자들을 실시간으로 연결해 주는 시스템이 만들어진 덕분이다.

 

 

6. 농협 사태

 

2011년 4월에 농협 전산망과 서버가 공격을 당하면서 '사이버보안에 완벽은 없다'는 교훈을 다시금 일깨워준 사건이었다. 해킹의 매개체는 농협 전산센터의 서버관리와 유지보수를 담당했던 업체 엔지니어의 노트북인 것으로 밝혀졌다.

 

해커들은 2010년 9월 4일 국내 웹하드 사이트에 접속한 해당 엔지니어의 노트북에 악성코드를 주입하여 좀비 피씨로 만든 뒤, 7개월 동안 정보를 분석하여 공격용 프로그램 81개를 설치하고, 13개 나라에서 27개 아이피주소를 이용하여 공격을 실시하였다. 그 결과 총 587대의 서버 중 273대를 파괴하여 현금인출기사용과 인터넷뱅킹을 중단시킨 우리나라 금융업무사상 초유의 사태였다.

 

 

7. 선거관리위원회 서버 공격

 

이것은 서울시장 보궐 선거일이던 2011년 10월 26일, 중앙선거관리위원회 홈페이지가 디도스 공격을 받아 정지된 사건이다.

 

당시 시민들은 중앙선관위 홈페이지에서 투표소를 확인하려 했지만, 오전 6시 15분부터 8시 32분까지 접속하지 못했고, 이 공격은 오전 9시 이후에 다시 중단됐다. 시민들은 SNS를 통해 지역별 투표소 정보를 공유하여 투표소로 가야 했고, 투표소 위치 변경으로 인한 혼선과 맞물리면서 디도스 공격이 투표 방해를 하려는 목적이 아니였냐는 의혹을 낳았다.

 

 

8. 3.20 전산대란

 

3.20 전산대란은 2013년 3월 20일 한국의 주요 언론과 은행 그리고 기업의 전산망이 마비되고, 다수의 컴퓨터가 악성코드에 감염되어 피해를 입은 사건이다.

 

KBS, 신한은행 등의 주요방송국과 은행을 목표호 한 대규모 사이버 공격이었으며, 그 방식은 7.7 대란과 같은 디도스 공격이 아니라 컴퓨터 시스템을 삭제하는 악성코드를 인터넷을 통해 침투시키는 해킹수법이었다.

 

사후 평가를 통해 3.20 전산 대란은 지능형 APT(지속보안위협)공격이라고 분석되어졌다. 같은 시간대에 주요 금융사와 언론사의 내부 전산망을 타깃으로 공격이 이루어졌기 때문이다.

 

APT 공격은 보통 대규모 데이터 유출을 목표로 하는 경우가 많기 떄문에 정밀한 체크가 필요하다. 실제로 이날 전상장애가 발생한 일부 은행에서, PC에 보관된 파일이 삭제되는 현상이 확인돼 초비상이 걸리기도 했다. 개인, 기업 고객 정보가 외부로 유출될 가능성이 높았기 때문이다.

 

3.20 전산 대란으로 3만 2천여 대의 시스템이 악성코드에 감염된 것으로 알려졌다. 방송통신위원회는 브리핑에서 특정 조직에 트로이 목마를 통해 사전에 유입된 악성코드로 공격한 것으로 추정된다고 밝혔다.

 

 

 

 

 

출처 : "정보보안 및 인터넷해킹과 방어기술"