CBS <김현정의 뉴스쇼="">김현정의>
■ 방송 : FM 98.1 (07:00~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 안랩 김홍선 대표
악성코드 한 방에 PC 3만 2천여 대가 순식간에 먹통이 돼버렸습니다. 이른바 사이버 대란이 벌어진 건데요. 지금 가장 궁금한 건 두 가지입니다. 첫째, 누가 악성코드를 심었는가? 둘째, 어떤 루트를 이용해서 어떻게 이 악성코드를 심었는가? 일각에서는 대표적인 인터넷보안업체죠. 안랩의 시스템을 이용한 게 아니냐, 이런 얘기도 나오고 있는데 어떻게 된 건지 궁금합니다. 내용이 워낙 복잡해서요. 차근차근 이분에게 직접 들어보죠. 인터넷보안전문업체 안랩의 김홍선 대표가 연결이 돼 있습니다.
김홍선
◇ 김현정> 요즘 고생 많으시죠? 우선 공격받은 PC들은 지금 어느 정도나 정상화가 됐습니까?
◆ 김홍선> 지금 내부사정이라서 저희가 다 알 수는 없고요. 지금 저희가 복구프로그램을 만들어서 일부 성공하고 있고. 그래서 그것들을 가지고 지금 복구 작업을 하고 있고요. 그다음에 서비스 자체는 이미 어제 거의 다 문제없이 동작할 수 있도록, 그렇게 되고 있는 것으로 알고 있습니다.
◇ 김현정> '개인들의 PC는 너무 망가져서 원상태로 돌리는 건 사실상 어렵다.' 이런 얘기도 있던데 어떤가요?
◆ 김홍선> 그런데 저희가 만든 복구프로그램을 해 보니까 웬만하면 살릴 수가 있고요. 두 가지를 살려야 되는데. 이제 부팅이 안 되는 문제하고 데이터를 살리는 문제가 있는데, 두 개를 살릴 수 있을 것 같습니다. 그런데 물론 100% 다 된다고 보장을 할 수는 없겠지만 지금 그것을 배포해서 빠른 속도로 복구할 수 있도록 최선을 다하려고 합니다.
◇ 김현정>그러니까 데이터까지도 살릴 수 있군요?
◆ 김홍선> 저희가 그저께 밤에 만들어서 내부에서 테스트했고, 어제도 실제 고객분들의 PC에서 그것을 적용해서 되는 것을 확인 했고. 그런데 워낙 PC의 종류가 많다 보니까 사양도 다르고, 쓰고 있는 운영체제도 다르고 해서 그것들을 맞추는 게 좀 애로사항이죠.
◇ 김현정> 방법이 없는 건 아니네요. 다행이네요.
◆ 김홍선> 네.
◇ 김현정> 그런데 '금융사까지 해킹을 당해서 2천 4백만여 개의 계좌정보가 흘러들어갔을 가능성이 있다.' 이런 얘기도 나오고요. 내 계좌는 안전한 건가? 걱정하는 분들도 계시던데. 이건 어떻습니까? 확인이 되나요?
◆ 김홍선> 글쎄요. 이번에 공격을 했던 악성코드의 성격은 기존에 디도스라든가 정보를 빼내가는 이런 악성코드하고는 성격이 좀 다릅니다. 어떻게 보면 굉장히 단순한데요. 공격을 받고 내려가는 즉시 하드디스크를 파괴해 버리는, 그냥 어떻게 보면 단순한 공격입니다. 그러니까 여기서 계좌를 빼냈다? 현재까지 발생한 악성코드로만 봐서는 그런 특성은 보이고 있지 않습니다.
◇ 김현정> 해커들이 악성코드를 어떻게 심었는가, 그 방법도 찾아보셨어요?
◆ 김홍선> 지금 계속 찾고 있는데요. 일단 굉장히 고도로 제작된 악성코드고요. 기존 내부 PC를 통해서 그것도 감염시키죠. 기업 내부망에서 보면 자산관리용 서버라는 게 있습니다. 보통 소프트웨어라든가 업데이트 내용을 배포하는 것인데요. 내부 PC를 악성코드에 감염시켜서 그 서버의 권한을 얻어가지고, 악성코드를 그걸 통해 내려 보낸 것으로 보입니다.
◇ 김현정> 예를들어 저희 회사에 만약 100대의 PC가 있다고 하면 그 PC 100대에 보내는 백신을 관리하는 계정이 하나 있는데, 즉 관리자가 하나 있는데. 해커가 그 관리자의 계정을 탈취한 건가요?
◆ 김홍선> 그런 권한을 얻어서 하는 건데, 또 그렇게 안 쓰는 곳도 있습니다. 또 다른 제품을 쓰는 곳도 있거든요. 보통 업데이트 서버라고 그러는데, 그것은 저희가 관리하는 거고요. 그것은 일반 개인들도 하고, 일부 기업도 쓰시는데 그거는 전혀 공격당하지 않았어요. 거기서 간 것은 전혀 문제가 없습니다. 그런데 이제 내부에서 쓰는 PC가 워낙 많다 보니까 또 다른 소프트웨어를 배포하거나 쓰는 용도를 가진 서버가 있습니다. 거기에 접근하는 PC의 권한을 얻어서 그것을 배포한 것으로 보입니다.
◇ 김현정> 쉽게 질문을 드리죠. 지금 일각에서는 ‘안랩의 V3 업데이트 서버를 통해서 악성코드가 유포된 거 아니냐?’ 그러니까 안랩에서 주는 그 백신을 다운 받을 때, 그때 악성코드가 유포되도록 해커들이 뭔가를 조작한 거 아니냐, 이런 얘기도 나오는데 그건 아닌가요?
◆ 김홍선> 안랩이 업데이트 하는 서버는 외부망에 있는데, 말씀드렸듯이 그건 저희가 직접 관리합니다. 그런데 그것이 공격 받은 것은 아닙니다.
◇ 김현정> 안랩이 관리하는 게 공격받은 건 아니라는 말씀이군요?
◆ 김홍선> 네, 그건 아니고요. 그런데 저희가 내부에서 쓰기 위한 자산관리용 서버를 만들어 드립니다.
◇ 김현정> KBS라면 KBS가 쓸 수 있도록 뭔가 프로그램 하나를 설치해 주고, 안랩은 말하자면 거기서 손을 떼는 거죠?
◆ 김홍선> 네. 그렇게 하는데요. 거기서 그 서버의 권한을 얻어가지고서, 그것은 기업 내부에서 관리하시니까 그걸 얻어서 배포한 것이죠.
◇ 김현정> 기업 내부망이 해킹을 당한 거군요?
◆ 김홍선> 네.
◇ 김현정> 기업 내의 관리자 서버가 해킹을 당한 과정이기 때문에 뭔가 안랩에서 컨트롤 할 수 있는 상황은 아니었다는 말씀이군요?
◆ 김홍선> 네. (기업 내 관리자의) 권한을 얻어가지고 했기 때문에.
◇ 김현정> 그런 건 못 막습니까?
◆ 김홍선> 이것도 더 어려운 말이기는 합니다만, 최근 이 공격을 저희가 ‘APT’ 라고 그러는데요. 보통 지금까지의 많은 보안제품들, 그러니까 백신이라든가 방화벽 이런 제품들은 알려진 공격에 대해서만 막는 겁니다. 그런데 지금 같은 경우는 처음으로 만든 거예요. 요즘은 해커들이 새로 제작을 만들어서 하기 때문이죠.
백신이라는 것은 보통 업데이트되는 시간이 있지 않습니까? 그 직전에 바로 (해킹이) 내려가기 때문에 실제로 이런 것은 어떤 패턴, 시그너쳐, 이런 걸로는 막을 수 없고요. 어떤 행위를 갖고 막아야 됩니다. 이런 것들은 또 새로운 기술이나 제품이 필요하고요. 그런 걸 적용했다면 막을 수가 있었죠.
11
◇ 김현정> 미국 보안업체인 소포스가 어제 공식 웹진에서 ‘이번 악성코드는 1년 전부터 우리가 탐지하고 있던 거다. 이름도 다크서울이라고 붙여놨었다.’ 이렇게 주장을 하고 있는데 이건 맞는 얘기입니까?
◆ 김홍선> 악성코드가 워낙 많기 때문에. 지금 하루에도 한 15만개씩 나오니까요.
◇ 김현정> 하루에 15만개요?
◆ 김홍선> 네. 평균적으로 많을 때 보통 하루에 15만개씩 나옵니다. 또 비슷한 것도 많고요. 아마 행위에 의해서 어느 정도는 막을 수 있을지 모르겠지만 이 샘플은 처음 나온 것이 맞고요. 그다음에 이것이 하나의 샘플로 구성된 게 아니라 굉장히 여러 개의 악성코드로 연결이 돼 있습니다. 그러니까 하나 잡아서 되는 게 아니라 여러 개가 연결이 돼 있고요. 그다음에 지금은 저희가 샘플을 공유한 상태이기 때문에 다른 백신업체는 이미 업데이트가 다 됐죠. 그러니까 그 전에 잡은 건지, 지금 잡은 건지는 저희가 더 규명하기가 힘들죠.
◇ 김현정> 누구의 소행인가? 이것도 핵심적인 사항인데요. 어제 방통위에 따르면 ‘이 악성파일이 중국을 통해서 유입됐다.’ 따라서 북한의 소행 아니겠느냐? 이렇게 북한의 소행 가능성에 무게를 두고 있습니다. 어떻게 보세요?
◆ 김홍선> 어디서 시행했다는 것은 저희의 권한 밖이거든요. 저희는 벌어진 현상 자체를 분석을 하는 거고, 다른 기관이 있는데.. 저희는 IP 정보를 갖고 있지 못하고요. 어느 IP에서 왔는지 알지 못합니다. 그것은 또 정보를 갖고 있는 권위 있는 기관이나 그런 곳에서 더 분석을 하실 거라고 생각합니다.
◇ 김현정> 결국은 중국에서 도와줘야지만 이게 더 구체적인 수사가 되겠네요?
◆ 김홍선> 네. 그런데 중국에 있다고 해서 중국이라고만 볼 수 없는 게 IP를 거기서 썼다는 것이지, 그 안에 있는 사람들이 했다고 단정 짓기도 쉽지 않기 때문에..
◇ 김현정> 물론 그렇기는 합니다만, 중국이 IP조사할 수 있도록 인터넷망을 열어줘야 되고 그런 건 아닌가요?
◆ 김홍선> 그렇죠. 그러니까 국제적인 협력이 많이 필요하죠.
◇ 김현정> 이 공급자를 잡아내는 데 시간이 얼마나 걸립니까? 보통 이런 일 벌어지고 나면?
◆ 김홍선> 글쎄요. 분석 자체도 굉장히 오래 걸리고. 또 어느 경우에는 데이터가 날아가거나 또는 일부 포맷팅을 다시 해버렸거나 하는 PC들이 있어서 완벽하게 복구하는 것이 가능할까 라고는 고민되겠지만 굉장히 시간 자체가 많이 걸립니다. 그다음에 설사 분석이 됐다 하더라도 외부에 그 소스를 밝히는 데는 아까 말씀하셨던 것처럼 중국이라든지, 그런 여러 가지 국가 간의 협력도 필요하기 때문에 시간은 상당히 소요될 것 같습니다.
◇ 김현정> ‘2차 공격이 있을 것이다.’ 이런 가능성이 지금 초기부터 나오고 있습니다. 하스타티라는 암호가 발견됐는데 그게 로마군대의 제1열을 의미하는 거다, 이런 분석이 나오면서부터 인데요. 전문가 보시기에는 어떠세요?
◆ 김홍선> 저도 그걸 봤고요. 저희도 많이 긴장을 했는데, 그래서 지금 계속 변종을 보고 있습니다. 변종은 현재까지는 그렇게 많이 나오고 있지 않지만 아마 오늘 정도까지는 좀 봐야겠습니다. 그런데 중요한 것은 디도스가 됐건 정보유출사건이 됐건 이와 같은 사이버테러가 됐건 간에 악성코드를 통해서 유입돼서 하는 건 비슷하거든요.
결국 그 보안시스템이라는 것은 하나이기 때문에. 이것이 이번과는 전혀 다른 형태의 공격을 준비하는 예비동작일 경우에는 변종도 아니고, 새로 제작된 게 들어올 수도 있고, 아마 타깃도 다른 기관이 될 수 있고요. 그래서 그런 관점에서는 이번에 좀 더 경각심을 가지고 계속 예의 모니링을 해야 된다고 생각합니다.
◇ 김현정> ‘이번 전산망 마비 때도 아주 장기간에 걸쳐서 계획됐다.’ 이런 분석들도 나오고 있던데 맞나요?
◆ 김홍선> 제작된 악성코드의 구성이라든가, 또 그것을 봤을 때는 충분히 그것이 맞는 것 같고요. 또 APT라는 자체가 아주 오랜 기간 그 타깃한 기관에 대해 분석을 해서 공격을 하기 때문에 그 자체만으로도 결코 단시일 내에 할 수 있는 공격은 아니라고 생각을 합니다.
◇ 김현정> 여러 사람에 의해서 됐을 것이다, 라는 것도 동의하십니까?
◆ 김홍선> 그럴 수 있다고 생각합니다.
◇ 김현정> 그래서 북한이라는 얘기가 자꾸 나오는 모양이에요?
◆ 김홍선> 그런 조직은 여러 군데가 있기 때문에 거기에 대해서는.. 단정지을 수 없다고 생각합니다.
◇ 김현정> 지금 이 순간에도 악성코드들이 컴퓨터에 침투하고 있을 수도 있는 거네요, 그렇게 장기간에 걸쳐서 이루어진다면?
◆ 김홍선> 지금 이 순간도 악성코드는 곳곳에 침투하고 있습니다. 하루에 15만개가 나올 정도니까요. 그러니까 어떤 경우는 거의 같은 공간 안에서 해커랑 저희 보안요원이 같이 전쟁도 하고, 그야말로 거의 전쟁상태라고 할 수도 있죠. 그런데 물론 모든 기관이나 기업이 같은 상태는 아니지만, 어쨌든 지금 이것은 우리의 현안인 것 같습니다.
◇ 김현정> 마지막으로 짧게 질문을 드립니다. 예방하기 위해서 개개인들이 할 수 있는 것, 손쉬운 방법은 뭐가 있을까요?
◆ 김홍선> 일단 기존백신이라든가 보안제품들을 잘 사용하시고, 보통 웹사이트나 이런 데 들어가서도 악성코드를 다운로드 받을 수 있으니까 항상 PC 관리 철저히 하시고요. 각 기업이나 기관에서는 이렇게 새로운 신종공격을 하는 것을 염두에 두시고. 또 이런 새로운 기술 또는 새로운 제품을 통해서 보안체계를 여러 단계로 강화하는 것을 강구하셔야 될 것 같습니다.[BestNocut_R]
◇ 김현정> 백신은 어디 가서 받아야 되나요. 가장 좋은 건?
◆ 김홍선> 저희도 지금 최신 백신으로 하고 있고, 전용백신도 출시됐고. 그래서 최신 것을 업데이트 하시면 이번 공격에 대한, 또 관련된 변종이나 이런 건 다 치료하실 수 있습니다.
◇ 김현정> 예, 안랩에도 있구요. 또 '보호나라(bohonara.or.kr)'사이트를 통해서 정부가 무료로 배포도 하고 있습니다. 여기까지 말씀 듣겠습니다. 고맙습니다.
[CBS 라디오 '김현정의 뉴스쇼' 홈페이지 바로가기]