지난 6월 25일 매일신문·대구일보 등을 상대로 발생한 언론사 해킹에는 내부 제작 프로그램이 악용된 것으로 나타났다. 소프트웨어의 업데이트 기능이 변조돼 악성코드가 전파됐다. 이는 지난 3월 20일 사이버 테러, 나아가 2009년 7월 7일 DDoS 사건과 동일한 공격 패턴이다.
4일 보안 업체인 잉카인터넷에 따르면 지난 6월 25일 언론사들이 피해를 입은 건 내부적으로 활용하는 제작프로그램이 매개로 활용된 게 원인이 됐다. 해커가 프로그램을 수정하거나 개선하는 업데이트 기능을 해킹해 정상 파일이 아닌 악성코드를 내려받도록 한 것이다. 이렇게 전파된 악성코드는 감염된 PC의 데이터를 파괴하도록 동작해 피해를 입혔다.
업데이트 기능을 활용한 공격 수법은 앞서 발생한 사건들에서도 확인된 바 있다. 지난 3월 20일 방송사와 금융사 전산망을 마비시킨 사이버 공격은 보안 업체의 중앙관리서버와 업데이트 기능을 이용했다. 지난 2009년 청와대, 국회 등을 공격한 7·7 DDoS 대란과 2011년 3·3 DDoS 역시 웹하드 업체의 다운로드 프로그램이 변조돼 업데이트 과정에서 악성코드가 유포됐다.
전문가들은 정부 기관, 언론사, 기업 등 특정 대상을 공격할 때 이 같은 수법이 공통적으로 발견된 데 주목하고 있다. 온라인 게임이나 금융정보를 탈취하는 사이버 범죄형 해킹과는 기법과 목적 자체가 다른 만큼 새로운 방식의 대책 마련이 필요하다는 지적이다.
문종현 잉카인터넷 팀장은 “정상적인 프로그램을 고의로 변조하거나 보안 솔루션을 악용하는 때문에 최신 백신이나 보안관제서비스를 이용해도 이를 파악하기란 사실상 불가능하다”며 “해커들이 이런 허점을 노리고 매우 은밀하고 조용하게 공격하고 있다”고 말했다.
업데이트 기능이 악용되는 건 짧은 시간 내 효과를 극대화할 수 있기 때문이다. 탐지에 노출될 위험이 적으면서도 사내 또는 조직 내 한꺼번에 전파가 가능해 피해를 극대화할 수 있다.
지난 3월 20일 보안 프로그램에 이어 언론사의 제작 시스템까지 전혀 예상치 못했던 시스템들의 취약점을 해커들이 이용하면서 해킹의 안전지대는 점차 사라지고 있다.
한편 지난 6·25 사이버테러 발생 이후 공격을 당한 기관은 67개로 집계됐다. 미래창조과학부는 4일 “지난달 25일부터 이달 1일까지 해킹 공격을 당한 기관은 67개며, 복구율은 84% 정도”라고 밝혔다. 6·25 해킹 당일에는 청와대, 국무조정실, 새누리당 등 정부기관·정당 5곳과 언론사 11곳 등 16개 기관의 홈페이지가 변조되거나 접속 장애를 겪는 해킹을 당한 것으로 파악됐다. 서버의 하드가 망가진 기관은 아직 복구가 완료되지 않았으나, 홈페이지 변조나 DDoS 공격 피해를 본 기관은 즉시 복구·차단 조치됐다고 설명했다. 미래부는 “해킹 그룹에 대한 추적 조사는 관계 수사기관에서 집중적으로 진행하고 있다”며 “자세한 내용은 결과가 나오는 대로 공개하겠다”고 밝혔다.
윤건일기자 benyun@etnews.com
