2018.02.13

평창동계올림픽 개막식, 사이버공격 있었다

Ms. Smith | CSO
2018년 평창 동계 올림픽 개막식이 사이버공격으로 타격을 입었다. 이번 올림픽 관계자들이 지난 9일 시작된 2018년 평창동계올림픽 개막식에서 사이버 공격으로 타격을 입었다고 밝혔다.

연합뉴스에 따르면, 신원을 밝히지 않은 공격자가 서버를 해킹했다고 보도했다. 초기에 이 공격으로 인해 메인 프레스센터에 있는 IPTV가 오작동을 일으켰다. 평창올림픽 조직위원회는 더 많은 피해를 막기 위해 외부 네트워크로부터 서버를 차단해 동계 올림픽 웹사이트를 폐쇄했다.

웹사이트가 다운된 상태에서 경기 관람을 예약한 참석자들은 티켓을 인쇄할 수 없었다. 평창 올림픽 경기장에서도 와이파이가 다운됐다. 웹사이트와 기타 시스템들이 완전히 복구되기까지는 약 12시간이 걸렸다.

로이터 통신은 2시간의 개막식을 촬영하기로 되어있던 드론 또한 배치하는 데 실패해 사전 녹화된 영상으로 이를 대신했다고 보도했다. 하지만 드론 배치 문제가 사이버공격으로 인한 문제인지는 분명하지 않다. 국제올림픽위원회(IOC) 대변인은 현장 상황으로 인해 드론 배치가 이뤄지지 않았다고 밝혔다.

지난 10일 평창동계올림픽 조직위원회 성백유 대변인은 사이버공격으로 단정하기에는 너무 이르다고 말했다. 성백유 대변인은 "일부 문제가 중요하지 않은 시스템에 영향을 미쳤지만 이 문제는 어떤 행사에도 방해를 입히지 못했으며, 선수와 관중의 안전과 보안에는 영향을 미치지 않았다"고 말했다.

사이버공격, 확인됐지만 출처와 목적은 미확인
그러나 11일이 되면서 조직위원회 측은 사이버공격을 인정했지만 공격 출처는 밝히지 않았다. 성백유 대변인은 "우리는 이 문제의 원인을 알고 있다. 그러나 이런 류의 문제는 경기 중에 종종 발생한다. 우리는 IOC와 함께 공격 출처를 밝히지 않을 것을 결정했다"고 말했다.

IOC 대변인 마크 아담스는 "안전한 운영을 유지하는 것이 우리의 목표"라고 말했다. 로이터 통신에 따르면, 아담스는 이 상황에서 사이버공격에 대해 말하지 않는 것은 최고 국제 관례임을 이유로 들었다.

아담스는 "우리는 이 문제에 대해 언급하지 않을 것이다. 우리가 이 문제를 얘기하는 일은 없을 것이다. 우리의 시스템과 선수와 관중들이 안전하다는 것을 확신하고 있다"고 말했다.

도핑으로 인해 이번 경기 출전이 금지된 러시아는 해커들이 평창동계올림픽에 대한 보복 공격을 계획하고 있을 지 모르지만 이번 공격에 참가하지 않았다고 부인했다.

평창동계올림픽이 시작되기 며칠 전, 러시아 외무부는 "우리는 서방 언론이 대한민국의 평창동계올림픽 개최와 관련된 해킹 공격이 러시아 소행이라는 주제로 가짜 사건을 계획하고 있다는 것을 알고 있다. 물론 어떤 증거도 제시하지 못할 것"이라고 밝힌 바 있다.

동계올림픽 시작 전, 사이버 위협 경고들
지난 1월, 맥아피 지능형위협연구소(McAfee Advanced Threat Research)는 올림픽 조직을 표적으로 한 스피어피싱 캠페인을 발견했다. 평창동계올림픽과 관련된 제목의 이메일이 평창동계올림픽 관련자들이 임시직원을 채용하는데 사용된 이메일 주소로 보내졌다. 이 이메일에 첨부된 워드 파일을 열면 이미지가 뜨면서 파워셸(PowerShell) 스크립트가 시작되고 서버로 연결된다.

2월초, 미국 침해사고대응팀(US-CERT)은 올림픽 참가자들에게 "사이버범죄자가 개인식별정보를 훔치거나 사용자 신용정보를 수집하려고 시도할 수 있음을 경고했다. 또한 모바일 또는 다른 통신을 통해 모니터링할 가능성도 있다고 덧붙였다.

올림픽 경기가 시작되기 직전, 맥아피는 "공격자는 시스템 수준의 데이터를 수집하기 위해 공격자의 서버에 대한 채널을 구축하는데 이전 파일리스 공격과 달리 파워셸 임플란트 방법을 사용한 것이다. 다만 공격자가 피해자의 시스템에 접속권한을 획득한 후 어떤 일을 했는지 알아내지 못했다"고 설명했다.

최신 맥아피 보고서에는 한국어 언어 데이터 수집 임플란트인 골드 드래곤(Gold Dragon)에 대한 추가적인 정보가 있다. 연구원들은 다음과 같은 결론을 내렸다. 

"이번 보고서에서 다루는 임플란트는 파워셸 임플란트가 한번 실행되면 피해자 시스템에 영구적으로 지속한다. 공격자가 파일리스 악성코드를 사용해 초기 진입로를 확보하면 그 다음 2단계로 임플란트가 전달된다. 임플란트의 일부는 한국에만 국한된 한글 워드가 작동하는 경우에만 지속성을 유지한다."

이 임플란트가 발견됨에 따라 이번 사이버공격 운용의 범위를 더 잘 알 수 있었다. 골드 드래곤, 브레이브 프린스(Brave Prince), 고스트419(Ghost419), 러닝랫(RunningRat)은 이전에 알려진 것보다 훨씬 더 광범위하게 활동하고 있음을 보여준다. 이 임플란트를 통해 공격자는 올림픽 기간동안 지속적으로 데이터를 유출할 수 있다. editor@itworld.co.kr  

2018.02.13

평창동계올림픽 개막식, 사이버공격 있었다

Ms. Smith | CSO
2018년 평창 동계 올림픽 개막식이 사이버공격으로 타격을 입었다. 이번 올림픽 관계자들이 지난 9일 시작된 2018년 평창동계올림픽 개막식에서 사이버 공격으로 타격을 입었다고 밝혔다.

연합뉴스에 따르면, 신원을 밝히지 않은 공격자가 서버를 해킹했다고 보도했다. 초기에 이 공격으로 인해 메인 프레스센터에 있는 IPTV가 오작동을 일으켰다. 평창올림픽 조직위원회는 더 많은 피해를 막기 위해 외부 네트워크로부터 서버를 차단해 동계 올림픽 웹사이트를 폐쇄했다.

웹사이트가 다운된 상태에서 경기 관람을 예약한 참석자들은 티켓을 인쇄할 수 없었다. 평창 올림픽 경기장에서도 와이파이가 다운됐다. 웹사이트와 기타 시스템들이 완전히 복구되기까지는 약 12시간이 걸렸다.

로이터 통신은 2시간의 개막식을 촬영하기로 되어있던 드론 또한 배치하는 데 실패해 사전 녹화된 영상으로 이를 대신했다고 보도했다. 하지만 드론 배치 문제가 사이버공격으로 인한 문제인지는 분명하지 않다. 국제올림픽위원회(IOC) 대변인은 현장 상황으로 인해 드론 배치가 이뤄지지 않았다고 밝혔다.

지난 10일 평창동계올림픽 조직위원회 성백유 대변인은 사이버공격으로 단정하기에는 너무 이르다고 말했다. 성백유 대변인은 "일부 문제가 중요하지 않은 시스템에 영향을 미쳤지만 이 문제는 어떤 행사에도 방해를 입히지 못했으며, 선수와 관중의 안전과 보안에는 영향을 미치지 않았다"고 말했다.

사이버공격, 확인됐지만 출처와 목적은 미확인
그러나 11일이 되면서 조직위원회 측은 사이버공격을 인정했지만 공격 출처는 밝히지 않았다. 성백유 대변인은 "우리는 이 문제의 원인을 알고 있다. 그러나 이런 류의 문제는 경기 중에 종종 발생한다. 우리는 IOC와 함께 공격 출처를 밝히지 않을 것을 결정했다"고 말했다.

IOC 대변인 마크 아담스는 "안전한 운영을 유지하는 것이 우리의 목표"라고 말했다. 로이터 통신에 따르면, 아담스는 이 상황에서 사이버공격에 대해 말하지 않는 것은 최고 국제 관례임을 이유로 들었다.

아담스는 "우리는 이 문제에 대해 언급하지 않을 것이다. 우리가 이 문제를 얘기하는 일은 없을 것이다. 우리의 시스템과 선수와 관중들이 안전하다는 것을 확신하고 있다"고 말했다.

도핑으로 인해 이번 경기 출전이 금지된 러시아는 해커들이 평창동계올림픽에 대한 보복 공격을 계획하고 있을 지 모르지만 이번 공격에 참가하지 않았다고 부인했다.

평창동계올림픽이 시작되기 며칠 전, 러시아 외무부는 "우리는 서방 언론이 대한민국의 평창동계올림픽 개최와 관련된 해킹 공격이 러시아 소행이라는 주제로 가짜 사건을 계획하고 있다는 것을 알고 있다. 물론 어떤 증거도 제시하지 못할 것"이라고 밝힌 바 있다.

동계올림픽 시작 전, 사이버 위협 경고들
지난 1월, 맥아피 지능형위협연구소(McAfee Advanced Threat Research)는 올림픽 조직을 표적으로 한 스피어피싱 캠페인을 발견했다. 평창동계올림픽과 관련된 제목의 이메일이 평창동계올림픽 관련자들이 임시직원을 채용하는데 사용된 이메일 주소로 보내졌다. 이 이메일에 첨부된 워드 파일을 열면 이미지가 뜨면서 파워셸(PowerShell) 스크립트가 시작되고 서버로 연결된다.

2월초, 미국 침해사고대응팀(US-CERT)은 올림픽 참가자들에게 "사이버범죄자가 개인식별정보를 훔치거나 사용자 신용정보를 수집하려고 시도할 수 있음을 경고했다. 또한 모바일 또는 다른 통신을 통해 모니터링할 가능성도 있다고 덧붙였다.

올림픽 경기가 시작되기 직전, 맥아피는 "공격자는 시스템 수준의 데이터를 수집하기 위해 공격자의 서버에 대한 채널을 구축하는데 이전 파일리스 공격과 달리 파워셸 임플란트 방법을 사용한 것이다. 다만 공격자가 피해자의 시스템에 접속권한을 획득한 후 어떤 일을 했는지 알아내지 못했다"고 설명했다.

최신 맥아피 보고서에는 한국어 언어 데이터 수집 임플란트인 골드 드래곤(Gold Dragon)에 대한 추가적인 정보가 있다. 연구원들은 다음과 같은 결론을 내렸다. 

"이번 보고서에서 다루는 임플란트는 파워셸 임플란트가 한번 실행되면 피해자 시스템에 영구적으로 지속한다. 공격자가 파일리스 악성코드를 사용해 초기 진입로를 확보하면 그 다음 2단계로 임플란트가 전달된다. 임플란트의 일부는 한국에만 국한된 한글 워드가 작동하는 경우에만 지속성을 유지한다."

이 임플란트가 발견됨에 따라 이번 사이버공격 운용의 범위를 더 잘 알 수 있었다. 골드 드래곤, 브레이브 프린스(Brave Prince), 고스트419(Ghost419), 러닝랫(RunningRat)은 이전에 알려진 것보다 훨씬 더 광범위하게 활동하고 있음을 보여준다. 이 임플란트를 통해 공격자는 올림픽 기간동안 지속적으로 데이터를 유출할 수 있다. editor@itworld.co.kr  

X