협력사 PC 1대 삼킨 해커, 회사 전체 서버 순식간에 박살

  • ▲ ⓒ뉴데일리경제DB.
    ▲ ⓒ뉴데일리경제DB.


    해커들의 공격이 갈수록 무자비해지고 있다. 컴퓨터 한 대를 해킹해 필요한 정보를 얻은 뒤, 범죄 흔적을 감추려 회사 내 모든 컴퓨터와 전산망을 박살내기도 한다.

    알고도 막을 수 없는 공격을 퍼붓는가 하면 보안담당자 스스로 해커에게 길을 터주도록 유도하기까지 한다.

    8일 상명대학교 지식보안경영학과 유진호 교수에 따르면 회사 보안 담당자도 모르는 아이피(IP)가 회사 서버와 연결돼 있는 경우가 많다. 일부 협력업체들이 발품을 팔지 않고 편하게 일하기 위해 뚫어놓은 서버일 가능성이 크다.

    용역을 자체 발주하는 회사 내 사업부는 보통 별도 서버를 갖고 있는데 이 서버를 협력업체가 유지·보수한다는 명목으로 관리면서 본인들만의 포트(port)를 열어둘 때도 있다.

    해커들은 이 같은 허술함을 놓치지 않는다. 협력업체 컴퓨터를 타고 회사 내부로 진입할 절호의 기회라는 걸 해커들은 잘 알고 있다.

    이런 식으로 회사 내 컴퓨터가 해커에 의해 노출되면 회사 전체 컴퓨터는 물론 전산실 자체가 순식간에 초토화될 수 있다.

    거대한 작업을 위해 해커에게 필요한 건 단 한 대의 컴퓨터 뿐이다. 회사 내 컴퓨터 한 대만 뜻대로 조절할 수 있게 되면 나머지 컴퓨터나 서버를 망가뜨리는 일은 식은 죽 먹기와 같다.

    2009년 이후 해커들의 수법은 날로 정교해지고 있다. 특정 목표물이 정해지면 조직적인 형태로 장기간에 걸쳐 공격을 감행한다. 좀비PC가 대표적 예다.

    해커는 손에 집어넣은 한 대의 컴퓨터를 좀비PC로 만들어 오랜 시간 동안 잠복시키면서 회사 전체 컴퓨터와 전산 시스템을 관찰한다.

    그런 다음 보안 담당자 또는 서버 관리자가 누군지 파악해낸다. 정보가 포착되면 곧바로 이들 관리자 컴퓨터로 갈아탄 뒤 회사 전체 전산망을 갈아엎어 버린다.

    좀비PC가 회사 내 모든 컴퓨터와 전산망을 통째로 먹어치우는 이유는 흔적을 남기지 않기 위해서다. 이렇게 당하고 나면 해커의 존재를 알 길은 없어진다.

    운 좋게 좀비PC를 발견해낸다고 해도 해커를 잡기는 어렵다. 이 PC에는 명령 서버가 없기 때문이다.

    좀비PC는 컴퓨터 한 대 속에 숨어있다 순간적으로 잠시 자리를 옮긴다. 명령을 받기 위해 '숙주서버'가 있는 곳으로 이동하는 것이다. 숙주서버는 여러 곳에 존재한다.

    좀비PC는 이들 숙주서버 모두로부터 명령을 받아온 뒤 '명령어가 모여 퍼즐처럼 맞춰지는' 시점에 공격을 개시한다. 이처럼 복잡한 형태로 작업을 하기 때문에 해커의 존재가 쉽게 드러나지 않는 것이다.

    지난 2011년의 농협 전산망 마비도 이와 같은 공격에 속수무책으로 당한 사례 중 하나다. 당시에도 협력업체 소유 노트북을 빼앗은 해커가 이 노트북에 '슈퍼 쥐(좀비PC)'를 심은 뒤 농협 원장 데이터를 모두 날려버렸다.

    유진호 교수는 "불특정다수를 대상으로 공격하는 웜이나 바이러스는 많이 줄고 있다. 디도스(DDoS)라고 해도 공격받는 콘트롤 앤 커멘드(CNC) 서버를 잘라주면 공격이 멈췄다"며 "하지만 날로 해커들의 공격이 날카로워지면서 이제는 개개인의 피씨 관리가 정말 중요한 시대가 됐다"고 말했다.

    이어 "기업 서버 내 모든 아이피를 보안담당자가 직접 일일이 들어가 보는 등 확인하는 습관이 중요하다"면서 "신입직원부터 사장까지 전 직원을 대상으로 한 보안 점검도 필요하다"고 조언했다.

    해커가 노리는 순간은 또 있다. 보안담당자를 코너에 몰아놓고 그 틈을 타 공격하는 방법이다.

    예를 들어 해커는 특정 회사 전산망을 공격, 홈페이지가 마비될 때까지 트래픽을 폭주시킨다.

    이렇게 되면 보안담당자는 난처한 상황에 몰린다. 홈페이지를 복구하라는 고객들의 불만 전화가 빗발치기 때문이다. 대부분 보안담당자들은 일시적으로 방화벽을 열게 된다.

    전체 서버는 공격을 막아낼 수 있음에도 고객 요구에 밀려, 복구가 될 때까지 임시로 보호막을 해제하는 셈이다. 이는 해커가 그린 그림대로 보안담당자가 행동하는 꼴이 된다.

    유진호 교수는 "홈페이지 마비 시 보안담당자를 압박해 '서버 임시 개방'을 유도하는 회사의 정책에도 문제가 있다"면서 "중요한 회사 정보가 외부로 새나가지 않도록 보안담당자에게 많은 권한과 힘을 실어줘야 한다"고 강조했다.