|
|
화이트해커 박찬암 "후이즈팀? 교란 목적 속임수"
어제 오후 참 황당한 일이 벌어졌습니다. KBS, MBC, YTN. 이런 방송사와 농협, 신한은행 같은 금융사의 전산망이 완전히 마비된 건데요. 도대체 누가 왜, 이런 일을 벌인 걸까요? 국제해커들의 짓이다, 아니다. 북한일 거다. 여러 관측들이 나오는 가운데 지금 추가 공격 가능성까지 제기가 되고 있습니다. 좀 더 자세히 살펴보고 싶은데요. 어제 이 해킹당한 컴퓨터를 직접 분석하고 온 분입니다. ‘하스타티’ 라는 암호명도 찾아낸 분인데 직접 만나보죠. 해커출신 보안전문가입니다. 박찬암 라온시큐어 보안기술연구팀의 팀장, 연결이 돼 있습니다.  ◇ 김현정> 좀 주무셨어요? 밤새 원인 찾고 복구 작업하시느라 정신이 없으셨죠? ◆ 박찬암> 네. 두 시간 정도 잤습니다. ◇ 김현정> 공격당한 컴퓨터들을 직접 보고 오셨다고요? ◆ 박찬암> 네. 1차적으로는 이제 메일이나 USB 같은 경로를 통해서 사용자 내부 PC를 점령당하고, 그다음에 2차적으로는 업데이트 서버 등을 장악해서 내부에 퍼뜨리는 과정을 거친 것으로 확인되고 있습니다. ◇ 김현정> 지금까지 무슨 사이버대란이다 할 때마다 디도스 공격이었는데, 그것과는 다른 방식인 거예요? ◆ 박찬암> 네. 디도스공격 같은 경우는 특정 서버만을 중지시킨 것이고. 지금과 같은 경우는 각각의 개인 PC들을 다 파괴시키는 종류라서, 이제 공격방법이나 종류가 조금 다른 걸로 나오고 있습니다. ◇ 김현정> 박찬암 팀장께서 분석하신 것을 보니까 ‘여러 지역에 있는 각각 다른 슈퍼들을 일제히 공격한 거나 마찬가지다’ 이런 말씀하셨더라고요. 무슨 의미죠? ◆ 박찬암> 디도스 공격 같은 경우는 대형서버들, 그런 사이트들을 다운시키는 목적이라면 지금과 같은 경우는 개개인의 PC를 노린 거라 관점을 좀 다르게 볼 수 있습니다. ◇ 김현정> 큰 서버 하나를 공격해서 거기에 연결된 것을 피해 입도록 하는 것과 개개의 PC들을 공격하는 건 다르단 말씀이군요? ◆ 박찬암> 네, 맞습니다. ◇ 김현정> 금융사에서는 이런 일이 자주 벌어지고 있고. 하지만 방송사는 지금까지 보안시스템이 잘 돼 있는 줄 알았는데, 이렇게 쉽게 허물어질 수도 있는 건가요? ◆ 박찬암> 기자분들 특성상 중요한 파일이나 아니면 그림파일 등을 많이 받아보고. 또 자료를 많이 열람해 보고 열어보기 때문에 그 사이에 악성코드가 심어져 있는 가능성이 더 높거든요. 그래서 일반 분들보다 더 보안에 노출되어 있다고 볼 수 있습니다. ◇ 김현정> 보안 프로그램으로 그걸 막을 수는 없습니까? ◆ 박찬암> 해킹에 대한 보안이라는 게 100% 막을 수는 없고요. 대신에 이제 그런 위험들을 조금씩 줄여나가는 과정을 거친다고 볼 수 있습니다. 일종의 교통사고를 100% 막을 수 없지만 줄여나가는 과정. ◇ 김현정> 우산을 써도 빗방울은 튈 수밖에 없는데, 얼마나 최대한 우산을 크게 만들어서 막느냐 이 문제군요? ◆ 박찬암> 네. 맞습니다. ◇ 김현정> 누가 했을까. 이제 지금 가장 궁금해 하는 부분은 이 부분인데. 어제 일이 벌어진 후에 ‘후이즈’ 라는 해커그룹이 “본인들 소행이라고 밝혔다”는 뉴스가 나오고 있고요. “그건 또 아닐 거다” 라는 얘기도 나오고. 어떻게 파악하고 계세요? ◆ 박찬암> 일단 만약에 돈 목적이라면 중국이나 그런 쪽에서 게임 같은 것들을 노렸을 텐데. 아마 그게 아니라 걸리는 걸 감안하고 파괴를 한 걸 보면 돈 목적보다는 일종의 사이버테러가 가까울 것 같고요. ◇ 김현정> 돈 목적이 아닌 뭔가 혼란을 주기 위한 테러다? ◆ 박찬암> 네, 맞습니다. 후이즈라는 걸 밝힌 건 일종의 혼란이나 그런 것들을 초래하기 위한 속임수에 가깝게 보여지고 있습니다. 예전 같은 경우에는 자기과시를 위해서 뭔가 내가 했다는 걸 많이 나타냈지만 이번 같은 경우에는 그런 과시의 목적으로 보기에는 너무 규모가 크기 때문에 그것과는 거리가 조금 먼 걸로 볼 수 있습니다. ◇ 김현정> 그럼 후이즈라는 그룹이 한 것도 아니라고 보시는 건가요? 그것도 속임수다? ◆ 박찬암> 네. 예를 들어서 어노니머스 같이 전세계적으로 해킹을 하고 다니는 그룹일 경우에는 많이 알려져 있겠지만 지금과 같은 경우, 후이즈라는 거는 거의 이전에는 없었거든요. ◇ 김현정> 이게 유명하지 않은 해킹그룹인데. 전혀 모르던 그룹인가요? 팀장님도? ◆ 박찬암> 네. 저도 처음 들어봤고요. 또 그런 그룹이 하기에는 규모나 이런 면에서 너무 심각한 그런 상황이기 때문에... ◇ 김현정> 뭔가 혼란을 주기 위해서, 혼선을 주기 위해서 급조한 단체가 아닌가 이런 생각을 하시는 거군요? ◆ 박찬암> 네. ◇ 김현정> 북한의 소행이라는 관측도 지금 솔솔 나오고 있는데 그건 어떻게 생각하세요? ◆ 박찬암> 일단 정황상 봤을 때 앞서 말씀드린 것처럼 뭔가 돈을 목적으로 한 것도 아니고, 그렇다고 해서 정보를 계속 절취하는 목적도 아니고. 왜냐하면 정보를 절취하는 목적이었으면 중간에 들킬 것을 감안해서 파괴 시키지는 않았을 것이고요. 그리고 규모면에서도 일종의 장난의 범위는 넘어섰기 때문에. 그런 것을 봤을 때 정황상 북한에 더 가깝지 않나라는 추측은 일단 많이 나오고 있습니다. ◇ 김현정> 박 팀장님도 동의하시는 거예요? 그쪽에 가까울 것이다? ◆ 박찬암> 네. 다른 금전 갈취나 이런 것보다는 훨씬 더 가깝다고 보고 있습니다. ◇ 김현정> 박찬암 팀장은 화이트해커입니다. 그러니까 해커지만 해킹을 선한 목적을 위해서 사용한다, 이렇게 해석을 하면 되는 건가요? ◆ 박찬암> 네. 여러 가지 의미나 유래가 있을 수는 있지만 선한 목적을 가지고 뭔가를 하는 해커, 이런 식으로 많이 알려져 있습니다. ◇ 김현정> 해킹을 연구해서 해킹을 막는 분이다, 이렇게 해석하면 되겠네요. 화이트해커 출신 보안전문가 박찬암 팀장, 지금 연결을 하고 있습니다. 어제 팀장님이 해킹당한 프로그램을 분석하는 과정에서 암호 하나를 찾아내셨어요. ‘하스타티. HASTATI’ 이 특수문자가 예사롭지 않다는 것을 처음 발견하신 분인데 이건 무슨 얘기죠? ◆ 박찬암> 하스타티라는 것을 찾아보면 로마군에 있는 보병대 3개 대열이 있는데, 그중에 맨 앞의 부대가 하스타티고요. ◇ 김현정> 로마군의 첫번째 열, 군대의 첫번째 열이 하스타티다. ◆ 박찬암> 그리고 이후에는 프린키페스, 트리아리 순으로 있는데요. 그래서 그런 것들로 봤을 때 뭔가 추가 공격이 있겠다는 것을 추측 하고, 분석을 계속 하고 있습니다, 가능성을 두고. ◇ 김현정> 추가 공격이 혹시라도 이루어진다면 어떤 곳이 될까. 이것도 추측이 가능합니까? ◆ 박찬암> 공격을 당할 확률 같은 건 줄일 수 있는데. 앞서 말씀드린 것처럼 완전하게 막을 수는 없기 때문에 계속적으로 위험을 줄여나가는 것으로 뭔가 시도를 해야 된다고 생각하고 있습니다. ◇ 김현정> 어떤 곳이 어떤 때에 당할 것인가라는 부분에 대해서는 전혀 알 수 없는 거죠, 전문가들도? ◆ 박찬암> 네, 그게 언제 터질지는 알 수 없죠. ◇ 김현정> 어느 곳이 당할지, 언제 당할지는 알 수 없는 상황. 지금 어느 회사에서 서버를 들여다본다든가 PC를 들여다보면 이게 감염이 됐구나, 안 됐구나 알 수는 없는 건가요? ◆ 박찬암> 해킹이라는 것 자체가 뭔가 피해자한테 들키지 않고 기습적으로 하는 것들이 많기 때문에, 만약에 당하는 사람이나 분석하는 사람이 쉽게 알 수 있으면 그건 제대로 된 해킹의 목적을 달성했다고 보기 힘들거든요. ◇ 김현정> 그럼 해킹이라는 것은 일이 터지고 나서야 아, 당했구나 이걸 알 수 있는 건가요? ◆ 박찬암> 또 어떻게 보면 일부는 미리 알 수도 있지만, 이게 또 일부 같은 경우는 아예 들키지 않고 일종의 완전범죄처럼 나타낼 수도 있습니다. ◇ 김현정> 지금 다시 벌어질 가능성도 있는데 그게 어디가 될지, 언제가 될지는 전문가들도 예측하기가 어렵다고 말씀하셨어요. 그러면 어떻게 지금 막아야 할 것인가, 이 부분인데요. 어떤 대책 세워야 될까요? ◆ 박찬암> 그게 전형적이기는 하지만, 예를 들어서 이메일 같은 경우도 중국어로 왔거나 이상한 의심되는 메일로 오고. 그다음에 첨부파일로 왔을 때 그런 것들을 함부로 열어보지 않는다든가. 아니면 웹서핑 할 때 악성URL이 포함돼서 감염된 경우가 많거든요. 그런 부분이라든가. 그런데 중요한 거는 그런 것 이외에 이번 사건에서는 내부망이 예를 들어서 해킹당한 거면 그와 관련된 서버, 아니면 기타 다른 PC, 네트워크도 똑같이 공격당하고 점령당했을 수 있거든요. 그런 것 때문에 그런 것을 중점적으로 보고, 이 부분에 대한 점검도 필요할 것으로 보여지고 있습니다. ◇ 김현정> 조금 전에 웹서핑을 하다가 URL에 감염이 될 수도 있다고 말씀하셨는데요. 그 말씀은 어떤 사이트에 그냥 들어가기만 해도, 그 주소를 치기만 해도 감염이 될 수 있다는 건가요? 뭘 다운 받지 않아도? ◆ 박찬암> 네. 그런 주소를 들어가기만 해도 감염되는데. 그런 것들이 앞서 말씀드린 최신소프트웨어가 아닌 구버전에서 붙을 경우는 감염당할 확률이 훨씬 더 높아지거든요. 그래서 최신으로 유지하는 게 중요하고. 솔직히 최신으로 유지한다고 해도 100% 막을 수 있는 건 아니에요. 그것도 취약할 수 있지만 어느 정도의 확률을 줄여주는 기능으로 보시면 될 것 같습니다. ◇ 김현정> 좀 의심스러운 주소, 이상한 주소로 연결이 될 것 같으면 눌러서는 안 되겠네요? ◆ 박찬암> 네. 그리고 의심스럽지 않은 공개된 주소라도 그 주소 자체가 해킹 당했을 경우는 또 안심할 수 없기 때문에 지속적으로 사람들은 위험에 노출되어 있다고 볼 수 있습니다. ◇ 김현정> 소프트웨어를 지금 최신 버전으로 바꾸라고 말씀하셨는데. 그 얘기는 보안회사에서 주는 백신이라든지 이런 거 빨리 빨리 다운받아서 업데이트 시켜야 되는 건가요? ◆ 박찬암> 네. 백신도 중요하고. 또 개인이 사용하는 문서작성기나 문서설치프로그램이라든지 그런 것들 등등에서 모든 것들에 대한 버전을 최대한 최신으로 해 주는 게 좋습니다. ◇ 김현정> 버전을 최신으로 업데이트해라, 그게 우리가 할 수 있는 최선이다, 이런 말씀이세요. 오늘 말씀 고맙습니다. 출처: http://www.nocutnews.co.kr/Show.asp?IDX=2439426 |
| 
|
