국제올림픽위원회(IOC) 정보기술(IT) 파트너 기업 프랑스 아토스(Atos)가 평창 동계올림픽 개막식 직전에 해킹을 당했다. 평창 동계올림픽 개막식에 발생한 사이버 공격과 연관됐을 가능성이 있다. 아토스는 평창 동계올림픽 클라우드 인프라 사업자다.
사이버스코프는 지난해 12월 아토스 네트워크가 침해 사고를 당했다고 밝혔다. 평창 동계올림픽은 최초의 클라우드 컴퓨팅 올림픽이다. 지금까지 올림픽은 주로 개최 도시에 인터넷데이터센터(IDC)를 구축했지만 이번에는 아토스가 네덜란드에서 경기 결과 위주의 IDC를 운영하고 있다. 국내외 IDC는 전용선으로 연결된다. 국내는 경기 운영, 해외는 경기 결과 서비스를 각각 담당한다.
사이버스코프는 글로벌 악성코드 분석 서비스 '바이러스토털'에 올라온 내용을 증거로 제시했다. 2월 9일 발견된 악성코드 올림픽 파괴자(Olympic Destroyer)의 초기 샘플이 12월 프랑스와 루마니아에서 바이러스토털에 업로드됐다. 아토스 본사는 프랑스에 있다. 아토스 보안팀은 루마니아에서 근무한다. 바이러스토털에 올라온 악성코드 올림픽파괴자의 샘플에는 아토스의 직원 자격 증명이 포함됐다.
사이버스코프는 해커가 어떻게 올림픽 관련 직원으로부터 많은 정보를 불법으로 입수했는지는 불분명하지만 주요 공급망 IT 기업을 침범, 정찰을 수행한 것으로 분석했다. 공격자는 메인 표적에 침투하기 위해 공급망 가운데 가장 약한 곳을 해킹하는 수법을 쓴다.
악성코드 올림픽파괴자는 스스로 퍼지는 웜처럼 작동한다. 다른 시스템에 접속하기 전에 사용자 계정을 훔치는 검색을 자동화했다. 공격자는 악성코드를 제한된 환경에서 효과 높게 감염시키는 방법을 이용했다. 사이버스코프는 올림픽 등 대형 스포츠 행사에서 데이터를 파괴하는 악성 행위는 게임 운영에 심각한 혼란을 초래한다고 설명했다.
사이버스코프는 아토스 측이 올림픽 사건과 관련된 조사를 하고 있다고 전했다. 아토스 대변인은 “평창 동계올림픽 개막식에서 기술 사건 발생 후 철저하게 조사하고 있다”면서 “보안 파트너인 맥아피 어드밴스트 위협 리서치와 함께 악성코드를 파악, 관련 당국과 협조할 계획”이라고 밝혔다.
시스코 탈로스팀은 악성코드 올림픽파괴자의 분석 결과 공격자가 원격 관리 도구 'PsExec'같이 정상 소프트웨어(SW)를 사용해 은밀히 침해했다고 분석했다. 올림픽파괴자는 파괴형 악성코드로, 섀도 복사본과 이벤트 로그를 삭제하고 PsExec와 윈도 관리 도구 'WMI' 등 정상 프로그램을 사용해 네트워크 안을 이동하면서 컴퓨터를 불능 상태로 만들었다. 탈로스는 악성코드 내 하드코딩 된 자격 증명이 사용된 것으로 미뤄 개막식 공격 이전에 올림픽 인프라가 이미 침해됐을 가능성이 있다고 밝혔다. 탈로스는 개막식 동안 평창 동계올림픽 조직위원회를 혼란스럽게 하는 것이 이번 공격의 동기라고 분석했다.
김인순 보안 전문기자 insoon@etnews.com
