러 해커, 평창올림픽 두 달 전부터 해킹 시도

2018년 평창동계올림픽 당시 해킹 사태를 일으킨 러시아 군 정보기관 해커들은 개막 두 달여 전부터 범행을 준비한 것으로 나타났습니다.

이들은 전산망 침입을 시도하고 가짜 이메일과 악성 모바일 앱 등 다양한 수단을 동원해 수백 곳을 대상으로 정보를 빼내려 한 것으로 드러났습니다.

현지시간으로 어제(20일) 미국 법무부가 공개한 공소장에 따르면 미 당국이 기소한 러시아 해커 6명은 평창올림픽이 열리기 두어 달 전부터 해킹 준비에 착수했습니다.

이들은 국제올림픽위원회, IOC가 러시아 정부 주도의 도핑 시도와 관련, 러시아를 제재하기 직전인 2017년 11월 초쯤 범행을 준비하고 12월 전후 본격 행동에 나섰습니다.

주된 대상은 IOC와 평창올림픽 당국, 후원 기업인 '올림픽 파트너' 등이었습니다.

해커들은 IOC와 IOC 위원장이 보내는 것처럼 꾸미는 등 관계 기관을 위장한 스피어 피싱 이메일을 IOC 위원, 단체, 기업 등 수백 곳에 보냈습니다.

스피어 피싱은 특정 단체나 개인을 목표로 악성 프로그램을 첨부한 이메일을 발송해 정보를 빼내는 수법입니다.

이들은 2017년 12월 4일 올림픽 파트너의 취약점 파악을 위한 온라인 정찰을 한 뒤 6∼7일 '추가 협력 제안'이라는 제목의 이메일 28건을 약 220개 주소로 보냈습니다.

12월 13일에는 대한체육회와 한국올림픽위원회, 한국전력, 공항 등의 웹사이트 취약점 연구에 나섰습니다.

12월 19일에는 평창올림픽 조직위에 서비스를 제공하는 정보기술 회사의 전산망 훼손을 시도, 21일쯤 네트워크를 손상한 것으로 조사됐습니다.

또 농림축산식품부 웹사이트를 모방해 만든 서브 도메인 링크 이미지가 포함된 피싱 이메일을 만들고, 한국 국가 대테러 센터가 보내는 것처럼 허위 이메일을 뿌렸습니다.

해커들은 악성 소프트웨어가 가동되는 모바일 애플리케이션을 만들기도 했습니다.

이들은 2017년 12월 11일쯤 '서울 버스 트래커' 앱을 만들어 앱 스토어에 등록했으나 다운로드가 이뤄지기 전에 탄로 나 사용 정지된 것으로 조사됐습니다.

12월 25일쯤 이메일 서비스를 모방한 '한메일' 앱도 만들었으나 역시 정지됐고, 이후 '네이버 메일, 다음 한메일' 앱을 2018년 1월 6일 공개했지만, 사용이 중단됐습니다.

다만, 이 앱은 47개 계정 이용자가 설치한 것으로 파악됐습니다.

해커들은 2018년 1월에는 올림픽 주최 측을 위장해 참가 선수 등에게 '호텔 숙박 조건', '호텔 단지의 달라진 생활 조건' 등이 적힌 스피어 피싱 이메일을 보냈습니다.

올림픽 개막일인 2018년 2월 9일 올림픽 지원 IT 기업 서버와 직원 노트북이 재부팅되는 현상이 일어난 것도 악성코드 침투 결과로 조사됐습니다.