20일 주요 방송사와 은행의 전산망 마비를 일으킨 해킹 공격이 이른바 'APT'(Advanced Persistent Threat) 공격일 가능성이 전문가들에 의해 유력하게 거론되고 있다.
APT 공격은 미리 통신망을 통해 악성코드를 심어 놓고 숨긴 뒤 한동안 시간이 흐른 후 한꺼번에 작동시키는 수법을 이용한다.
기업이나 조직 등 특정 대상을 표적으로 삼고 내부 시스템의 취약점을 이용해 침투한 뒤 한동안 이를 숨겨 놓았다가 주요 정보를 유출하거나 시스템을 무력화하는 데 쓰는 것이다.
이럴 경우 해커가 표적으로 삼은 네트워크에 처음 악성코드를 심을 때는 이메일 첨부 문서파일이나 실행파일을 이용하는 경우가 많다.
기존의 안티바이러스 프로그램에 탐지되지 않도록 악성코드를 제작할 수 있고, 자체 전파하는 바이러스의 경우와 달리 다량의 트래픽을 발생시키는 것도 아니어서 네트워크 관리자의 감시도 쉽게 피할 수 있기 때문이다.
특히 APT 공격이 정보를 빼돌리는 데 쓰이는 경우도 많아 우려를 크게 하고 있다. 일단 이번 공격은 시스템 파일을 지우는 '자폭성' 공격이었지만, 자폭으로 이번 해킹이 외부에 드러나기 전부터 주요 정보 등을 이미 빼돌리고 있었을 가능성을 아예 배제할 수는 없는 상황이다.
APT 공격에 관한 경고는 이미 지난해부터 보안업계에서 나왔다. 특히 특정 문서 포맷의 취약점을 이용한 APT 공격이 정부기관과 정치권을 대상으로 기승을 부리고 있다는 지적과 함께 해커들이 문서 프로그램 등 소프트웨어나 웹 응용프로그램의 업데이트 서버 등을 이용한 악성코드를 유포해 APT 공격을 가할 가능성도 지적됐다.
한 보안업체 관계자는 "정확한 상황이 아직 알려지지 않아 현재 상태로는 추정일 뿐"이라고 전제하고 해커가 트로이목마나 좀비 코드 등 악성코드를 대량으로 뿌려 놓고 특정 시점에 한꺼번에 문제가 발생하도록 터뜨렸을 가능성을 거론했다.
박찬암 라온시큐어 보안기술연구팀장은 이번 사건이 '일종의 파괴 목적'으로 전산망 마비를 기도한 APT 공격이라는 견해를 밝혔다.
그는 "고속도로를 들어 비유하자면 디도스(DDoS)는 고속도로를 자동차로 꽉 막아서 못 가도록 막는 거라면 이번은 아예 고속도로 자체를 파괴해 버리는 방식"이라고 설명했다.
남보현 SGA 엔드포인트 보안사업부문 부장은 소셜네트워크서비스(SNS)나 이메일 등을 통해 악성코드로 연결되는 인터넷주소(URL)를 퍼뜨려 악성코드를 심는 방식으로 이번 공격이 이뤄졌을 가능성도 언급했다.
(서울=연합뉴스)