평창동계올림픽과 동계패럴림픽은 일촉즉발의 한반도 정세를 평화의 장으로 바꾸어놨다는 점 외에, 사이버 보안 분야에서 중요한 시사점이 있다. 올림픽 개막식에 맞춰 시작된 사이버 공격 ‘올림픽 파괴자’이다. 평창동계올림픽 개막식에 맞춰 시스템을 파괴시키고 서비스를 중단시키는 역대 최악의 지능형 타깃 공격이 발생했으며, 평창동계올림픽 조직위원회는 이 공격에 성공적으로 대응해 전 세계 보안 업계의 집중적인 관심을 받았다.

가장 악질적인 사이버 공격 ‘올림픽 파괴자’

과학기술정보통신부는 2일 ‘정보보호 이슈와 동향에 관한 세미나’를 열고 ▲평창동계올림픽 사이버 보안과 시사점 ▲2018 RSA 컨퍼런스를 계기로 본 세계 보안 시장 동향과 분석 및 과제라는 두 가지 주제로 정부 유관기관과 학계, 기자를 대상으로 토론회를 가졌다.

이 자리에서 오상진 평창동계올림픽 조직위원회 정보통신국장은 “역대 모든 올림픽, 월드컵 등 국제적인 스포츠 행사에는 언제나 사이버 공격이 발생했으며, 특히 디도스 공격은 늘 발생하던 것이었다. 그러나 평창동계올림픽에서 발견된 ‘올림픽 파괴자’는 이전 스포츠 행사를 노린 것과 완전히 다른 ‘파괴형’ 공격으로, 역대 발견된 것 중 최악의 공격으로 평가받는다”며 “이번 공격은 매우 오랫동안, 치밀하게 준비하고 계획한 것이라고 분석된다”고 말했다.

모든 시스템 공격 받아…빠른 차단·복구 ‘성공’

오상진 국장은 세미나에서 공격을 탐지하는 순간부터 대응하고 분석하는 모든 과정에 대해 자세히 설명했다. 첫 공격은 2월 9일 오후 8시 개막식과 함께 시작됐다. 개막식 직후부터 올림픽 운영을 위한 모든 시스템이 공격을 받았다. 올림픽 운영을 위한 핵심 시스템의 50여대 서버가 파괴됐다.

조직위는 개막식 직후 가장 먼저 사용하게 될 미디어센터, 선수촌 등의 서비스를 복구한 후 우선순위에 따라 시스템을 복구했다. 10일 새벽 5시 공격에 사용된 핵심 악성코드 2종의 백신을 만들어 시스템에서 악성코드를 제거했으며, 새벽 6시 모든 시스템의 ID/PW를 변경해 추가 공격을 차단했다.

추가공격에 대비하기 위해 유관기관과 참여하는 민간기업 등이 모두 협력해 공격 유형을 분석하고 추가 시스템 보안 조치를 적용했다. 공격 경유지를 차단하고, 백신을 업데이트했으며, 시스템 패스워드 변경과 서버 접속용 모든 VPN 사용자 계정을 초기화했다.

사후 분석 결과, 공격자는 올림픽이 열리기 몇 달 전 부터 조직위원회의 계정을 탈취하고 타깃 맞춤형 악성코드를 개발했던 것으로 드러났다. 공격자는 조직위와 파트너사 시스템 구조를 파악하고 은밀하게 잠입시키는데 성공했으며, 올림픽 개막시에 맞춰 공격을 시작한 것으로 분석됐다.

오상진 국장은 “공격자는 지난해 12월부터 활동을 시작했을 것으로 추정되며, 글로벌 서비스를 위한 CDN 서비스를 교란시키고, 거의 대부분의 서비스를 중단시킬 수 있는 파괴적인 악성 행위를 저질렀다”며 “조직위가 발견한 악성코드는 41종이며, 이 중 상당수가 시스템 파괴를 위한 것이었으며, 나머지는 계정 탈취 등 공격 준비를 위한 것이었다”고 말했다.

철저한 공격 대응 준비로 성공적인 방어

지능적인 타깃 공격에 성공적으로 대응할 수 있었던 배경으로 공격 대응을 위한 정보보호 체계를 충실히 만들었다는 점을 들었다. 조직위는 정부 주요 기관과 지방자치단체, 미간기관, 정보보호 전문위원 등 민·관 협력으로 범국가적인 정보보호체계를 구성·운영했으며, 대회기간에는 범정부 올림픽 침해대응팀(CERT)을 운영해 합동근무하며 종합 상황실을 관리했다.

또한 사전에 충분한 대응훈련을 거쳤는데, 복수의 기관과 전문기업, 화이트해커 등을 통해 여러 차례 침투테스트를 실시했고, 정보보호 체계와 시스템에 대한 사전진단과 영향평가 등을 실시했다.

재해복구(DR) 훈련도 여러차례 실시하면서 비상상황에 대비했다. 주센터 장애 시 보조센터로 서비스를 이관하는 훈련을 진행해 실제 공격으로 시스템이 파괴된 상황에서도 서비스 중단을 최소화하고 복구할 수 있었다.

오상진 국장은 “실제로 진행된 공격은 훈련 상황보다 훨씬 더 악의적인 것이었지만, 여러 차례 테스트와 훈련을 통해 쌓은 경험으로 성공적으로 시스템을 복구하고 서비스를 유지할 수 있었다. 공격 당시 심각한 위기상황에 부딪혔지만, 대부분의 대회 관계자도 인지하지 못할 만큼 신속하게 서비스를 복구하고 성공적으로 공격에 대응할 수 있었다”고 밝혔다.

오 국장은 “아쉬운 점이 있다면 공격자가 공격을 준비하는 단계에서 탐지할 수 있는 기술이 미비했다는 것이다. 사후 분석 결과, 공격자는 정상적인 행위를 위장해 계정을 탈취하고 시스템에 잠입했던 것으로 알려졌는데, 정밀한 행위기반 분석 기술이 있었다면 사전에 탐지할 수 있었을 것이라고 본다”고 말했다.

그는 “올림픽을 타깃으로 하는 개최국 정부와 기업만으로 대응할 수 없다. 전 세계 다양한 파트너와 함께 진행되는 만큼 모든 참여 주체들이 투명하게 위협 정보를 공유하고 정보보호 체계를 만들어야 한다. 이번 ‘올림픽 파괴자’ 공격 역시 수많은 파트너 중 일부의 계정이 탈취되면서 진행된 것으로 파악된다. 향후 올림픽이나 국제 스포츠 경기를 진행할 때 모든 참여자들이 투명하게 위협 정보를 공유하고 공동 대응하는 방법이 필요할 것으로 생각한다”고 말했다.

국내 보안 스타트업, 국제 무대서 ‘인정’

한편 지난 4월 미국 샌프란시스코에서 열린 국제 정보보호 세미나 ‘RSA 컨퍼런스 2018’에서 다뤄진 이슈 중 우리나라 보안 업계에서 주목할만한 이슈를 발표하는 자리에서 오진영 한국인터넷진흥원 보안사업단장은 “이번 RSA 컨퍼런스에서는 보안 오케스트레이션과 자동화, 내부자 위협 대응을 위한 행위분석 기술, EDR과 엔드포인트 보안, 하드웨어 보안과 보안 내재화 등에 대한 이슈가 관심을 끌었다. 특히 올해 행사에서는 이전보다는 현실적인 보안 위협에 대한 논의가 중점적으로 이뤄졌다”고 말했다.

이번 행사에서 주목할만한 점은 전 세계 스타트업을 소개하는 전시회 ‘얼리 스테이지 엑스포’에 국내 기업 6곳이 선정됐다는 것이다. eWBM, 인사이너리, 엠시큐어, 시큐레터, 스틸리언, 수안시큐리티 등이 전시에 참여해 국내 기업의 글로벌 경쟁력을 인정받았다.

김정삼 과기정통부 정보보호정책관은 “스타트업을 보면 보안의 질서가 바뀌고 있다는 것을 느낄 수 있다. 클라우드, IoT로 보안의 주요 흐름이 바뀌고 있어 우리나라 기업들도 충분한 시장 진출 기회를 가질 수 있다고 본다”고 밝혔다.

주제 발표 후 이어진 토론에서 류재철 충남대학교수는 “컨퍼런스 중 한 게임 시나리오 작가가 게임 시나리오를 위해 뇌 구조를 연구하는다는 내용의 세션 발표를 한 것이 주목됐다. 게임과 뇌 과학은 직접적인 연관이 없는 것 처럼 보이지만 결국은 연관이 된다. 보안 역시 직접 관련이 없는 것처럼 보이는 기술들이 융합해 차세대 기술로 발전해야 한다”며 “국내 보안 시장도 융합형으로 나아가야 할 것”이라고 주장했다.