아주경제 한준호 기자 = 북한이 국내 전산망을 뚫고 대기업과 공공기관, 정부부처에서 대량의 자료를 빼내면서 대규모 사이버공격을 준비했지만, 경찰과 민간기업의 협력으로 큰 피해를 막은 것으로 나타났다. 특히 경찰의 지원 속에서 SK가 보여준 수준 높은 보안 전문 역량은 민관 협력의 중요성을 다시 한번 일깨웠다는 평가다. 

SK주식회사 C&C는 이번 해킹 시도를 인지한 직후 사이버 테러 등 국가 안보와 직결되는 문제로 인식해 최정예 인력으로 구성된 침해사고 대응 TF를 즉각 가동한 것으로 뒤늦게 밝혀졌다

SK주식회사 C&C가 가동한 TF는 해당 해킹이 상용 소프트웨어인 TCO!Stream의 결함으로 발생했다는 사실을 밝혀내 소프트웨어 일괄 설치, 제어 솔루션인 TCO!Stream를 사용하는 160여개의 정부기관 및 기업의 피해 예방이 가능했다. 

이번 공격은 지난 2013년에 발생한 3.20사태와 유사한 지능형 지속공격 해킹(APT)으로 해킹 패턴(악성 코드 패턴)을 바꿔가며 진행하는 APT 공격을 바로 알기란 매우 어렵다. 정상적인 루트로 들어와 정상적인 소프트웨어의 기능을 활용한 해킹은 탐지가 어려운 것으로 알려져 있다.

이날 경찰이 밝힌 해킹이 시작된 인터넷 프로토콜(IP)은 평양 류경동 소재로 확인됐으며, 평양 류경동 해커조직은 TCO!STtream의 결함을 이용해 정상적인 경로로 들어와 해킹했다. TCO!Stream의 정상적인 파일 배포∙원격 제어 기능을 활용해 자료를 탈취한 것이다.

평양 류경동 해커 조직은 외부에서 PC에 접근할 수 있도록 사전 인가된 관문인 ‘포트 정보’와 TCO!Stream 기능을 작동시키는 ‘키(프로토콜) 정보’가 소프트웨어적 취약점으로 외부에 노출될 수 있다는 점을 지능적으로 찾아냈다. 이 과정에서 SK주식회사 C&C의 TF의 전문보안기술 역량이 이번 사태 해결에 큰 도움이 됐다는 후문이다. 

SK주식회사 C&C의 정보보호 전문가들과 인포섹 침해사고 대응팀 등 5명의 보안 전문 인력들은 해킹 인지 2일만에 TCO!Stream의 서버 OS메모리 영역에서 악성코드를 지운 흔적을 찾아냈다.

TCO!Stream의 SW취약점 탐지, 분석후 실제 해킹 툴까지 직접 만들어 제시함으로써 TCO!Stream 제작사인 미디어랜드의 효과적인 소프트웨어 보안 취약점 패치를 이끌낼 수 있었다. 

이번 해킹 방어에 투입됐던 Top-Cert들은 지난 2013년 3.20사태, 6.25사이버테러 등 대형 사이버 해킹에 대한 진단 및 취약점 분석, 해킹 피해 대응을 지원한 전문 보안 인력들이다. 이들은 3.20사태 당시 피해 기업에 투입돼 백신 업데이트 솔루션에 별도의 인증없이 악성코드를 백신 업데이트 서버에 올릴 수 있다는 취약점을 찾아냈고, 6.25 사이버테러 때는 피해 신문사 서버에서 디스크 파괴 악성 코드를 찾아내 삭제하고 디스크 복구를 진행한 바 있다.

보안업계 전문가들은 이번 사이버 해킹 테러 방지와 관련해 "APT 공격은 더욱 정교해 질 것이고 이의 대응은 점점 더 힘들어 질 것” 이라며 “이번 사례처럼 경찰의 지속적인 사이버 테러 감시와 기업의 높은 보안 대응 역량을 결합한 총체적 대응 체제를 갖춰야 한다”고 말했다.