시스코 기자간담회서 밝혀…"배후 특정 어려워""암호화폐 피싱용 사이트 기승…IoT 기기 보안 취약" 지난달 9일 평창동계올림픽 개회식 도중 발생한 사이버 공격은 해커가 일부러 피하지 않았다면 최악의 사태로 치달을 수 있었다는 분석이 나왔다.
시스코의 위협 탐지 전문가 조직 탈로스의 얼 카터 연구원은 20일 강남구 아셈타워에서 열린 기자간담회에서 "공격자들이 의도적으로 '맛만 보여주겠다'며 최악의 사태까지 가지 않으려는 행태를 보여준 것 같다"고 말했다.
카터 연구원은 "코드를 분석해보면 파일공유 시스템의 파일만 삭제하고, 실제 시스템에 있는 파일은 삭제하지 말라고 작성돼 있었다"며 "충분히 파괴할 능력이 있었지만, 일부러 그렇지 않은 것"이라고 설명했다.
앞서 평창올림픽 개회식 도중 메인프레스센터에 설치된 IPTV가 꺼지고, 조직위 홈페이지에 접속 장애가 발생하는 피해가 발생했다. 이번 평창올림픽 공격에 활용된 악성코드는 '올림픽 파괴자(Destroyer)'로 명명됐다.
카터 연구원은 "해당 악성코드는 자가전파 기능이 있어 주변 시스템에 자동으로 전파됐다"며 "특히 공격자는 사용자의 자격 정보를 수집하는 데 뛰어나 감염된 시스템의 사용자 정보를 모두 가져갔다"고 분석했다.
이번 공격의 배후로는 러시아와 북한 등이 거론됐지만, 시스코는 배후를 특정하기 쉽지 않다는 입장이다.
카터 연구원은 "공격자가 의도적으로 여러 국가가 가진 특징을 의도적으로 섞어서 공격할 수 있기 때문"이라며 "추가 정보 없이 판단하기 어렵다"고 말했다.
최근 해커들의 주요 타깃으로는 암호화폐와 사물인터넷(IoT) 기기가 꼽혔다.
암호화폐 공격에는 주로 미끼용(피싱) 사이트가 활용됐다. 블록체인과 관련한 피싱 사이트를 만든 뒤 구글 검색 결과에서 상단에 노출해 이용자를 유인하는 방식이다.
시스코가 특정 피싱용 사이트('www.blockchien.info')의 도메인네임서버(DNS) 정보를 분석해보니 수십만명의 이용자가 접속한 것으로 파악됐다. 접속자들은 다른 합법 사이트로 자동 연결돼 정상적인 과정으로 지갑을 만들었지만 이미 해당 지갑은 해커가 컨트롤할 수 있는 상태였다.
분석 결과 해당 공격의 발생지는 우크라이나로 파악됐다. 피해 금액은 3년간 5천만달러(한화 약 535억원)에 달했다.
최근에는 암호화폐 채굴용 악성코드가 기승을 부리고 있다.
카터 연구원은 "채굴용 악성코드는 수익성이 높고 발견될 가능성은 거의 없다"라며 "가상화폐 모네로 채굴용 악성코드가 늘어난 것도 비슷한 맥락"이라고 설명했다.
IoT 보안과 관련해서는 "IoT 기기 하나하나가 침투를 위한 컴퓨터가 될 수 있다"라며 "IoT 기기의 대부분은 보안을 고려하지 않고 저렴한 비용에 역점을 두고 생산된 게 많아 공격에 취약하다"라고 지적했다.
시스코에 따르면 2021년까지 271억개의 기기가 네트워크에 연결될 것으로 예상된다.
카터 연구원은 "모든 사물이 연결되면서 데이터가 공격자의 타깃으로 떠올랐다"며 "IoT 기기 개발 과정에서부터 보안에 신경 써야 한다"고 조언했다.