나무모에 미러 (일반/밝은 화면)
최근 수정 시각 : 2024-10-29 23:38:26

3.20 전산망 마비사태

3·20 사이버 테러에서 넘어옴
주의. 사건·사고 관련 내용을 설명합니다.

사건 사고 관련 서술 규정을 유의하시기 바랍니다.

대한민국의 경제 관련 사건 사고
C: 기업 관련, F: 금융 관련, R: 부동산 관련, I: 외국 및 국제조직 연루, Na: 국가행정조직 연루
{{{#!wiki style="margin:0 -10px -5px;"
{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
{{{#!folding  [ 대한민국 이전 ]
{{{#!wiki style="margin:-5px 0 -5px; font-size:.9em"
조선당백전 사태(1866~1867)F Na
일제강점기토지 조사 사업(1910~1918)R Na 박가분 사건(1930년대)C}}}}}}}}}{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
{{{#!folding  [ ~1990년대 ]
{{{#!wiki style="margin:-5px 0 -5px; font-size:.9em"
광복 ~ 1950년대정판사 위조지폐 사건(1946)F 1.16 국채 파동 사건(1958)F Na
1960년대삼분폭리사건(1964)C Na 사카린 밀수 사건(1966)C Na
1970년대8.3 사채 동결 조치(1972.8.3.)F Na 한독맥주 사건(1976)C F 압구정동 현대아파트 특혜분양 사건(1977)C Na R
1980년대장영자·이철희 금융사기 사건(1982)F 국제그룹 해체 사건(1985)C Na 노스롭 스캔들(1988)C I Na 우지 파동(1989)C Na
1990년대낙동강 페놀 유출사건(1991)C 수서지구 택지 특혜 분양 사건(1991)C Na R 삼풍백화점 붕괴 사고(1995)C Na 노태우 비자금 사건(1995)C F Na 한보 사태(1997)C Na IMF 외환 위기(1997)C F I Na 옷로비 사건(1999)C Na}}}}}}}}}{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
{{{#!folding  [ 2000년대 ]
{{{#!wiki style="margin:-5px 0 -5px; font-size:.9em"
02년신용카드 대란C F 여대생 청부 살인 사건C 한나라당 불법 대선자금 사건F
03년한국농어촌공사 당진지사 횡령사건C국민의 정부 불법 대북송금 사건I Na
04년쓰레기 만두 파동C
05년엄 여인 보험 살인사건F 삼성 X파일 사건C Na 77246 위조지폐 유통사건(~2013.06.)F
06년루보 사태C F 빈센트 앤 코 사기 사건C 바다이야기 사태C Na 박연차 게이트C Na
07년BBK 주가조작 사건C F I Na 한명숙 불법정치자금 수수 사건C Na 노드시스템 사기사건C F I
08년김포 투자금 사기사건F R 멜라민 분유 파동C I 상계동 곗돈 사기사건F R 서드플레이스 공금 횡령 사건C
09년쌍용자동차 사태C Na}}}}}}}}}{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
{{{#!folding  [ 2010년대 ]
{{{#!wiki style="margin:-5px 0 -5px; font-size:.9em"
10년DY 엔터테인먼트 사건C F 도이치방크 옵션 부당거래 쇼크 사태C F I 뚜레쥬르 점주 경쟁사 조작 비방 사건C 함바 게이트F Na
11년부산저축은행 영업정지 사태C F R I NH농협은행 전산 마비 사건C F 삼성전자-Apple 간 특허 소송(~2018)C Na I 다이아몬드 게이트C F Na 가습기 살균제 사망사건C I Na
12년파이시티 인허가 비리 사건C R Na 갤럭시 S III 보조금 대란C F 론스타 게이트C I 거성 모바일 사태C F
13년남양유업 대리점 상품 강매 사건C 금융사·방송사 대규모 전산 마비 사건C F I Na 도나도나 사건C F 홈플러스 경품 추첨 조작 및 고객 개인정보 판매 사건C KT의 무궁화 위성 매각 논란C I Na
14년KB·NH·롯데카드 개인정보 유출 사태C I F 엘키소프트 제룩스 사건C 휴대폰 보조금 대란C F 모뉴엘 사태C 땅콩 회항 사건C I 삼성 AMOLED 리퍼 내부고발 조작사건C
15년정운호 게이트C Na 성완종 리스트 사건C F Na 삼성물산-제일모직 합병 논란C F I 테스코 홈플러스 매각 논란C I 삼성바이오로직스 분식회계 의혹C F
16년대우조선해양 분식회계 사건C F 파나마 페이퍼스C F I 어버이연합 어용시위 논란C Na 울산 고래고기 사건Na NH농협은행 전산조작 사태(~2018)C F 롯데그룹 비자금 조성 의혹 사건C F 갤럭시 노트7 폭발 사고C I 엘시티 사업 관련 특혜 및 비자금 조성 논란C F Na R 박근혜 정부의 최순실 등 민간인에 의한 국정농단 의혹 사건C F I Na
17년BBQ발 치킨값 파동C 검찰 돈봉투 만찬 파문F Na 가상화폐 규제 논란 C F Na 다스 실소유주 논란C Na 파라다이스 페이퍼스C F I 비트코인 플래티넘 사건C F I
18년금융감독원 직원 암호화폐 거래 의혹C Na 삼성 다스 소송비 대납사건C F Na 삼성증권 유령주식 사태C F 금일그룹 전기차 사기 사건C F I 아시아나항공 기내식 공급부족 사태C I 돈스코이호 사기 사건C F I 미미쿠키 재포장 판매 사건C 산체스&마이크로닷 부모 사기 사건F I R
19년손혜원 부동산 투기 의혹R 익산 원룸 전세금 사기사건F R 라임자산운용 환매중단 사태F K리그 올스타 VS 유벤투스 사기 사건(/크리스티아누 호날두 결장 논란)C F I}}}}}}}}}{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
{{{#!folding  [ 2020년대 ]
{{{#!wiki style="margin:-5px 0 -10px; font-size:.9em"
20년강릉 마블테마파크 사기투자 사건I Na R 한화손해보험 고아 초등학생 상대 구상권 청구 소송 사건C F 삼성자산운용 KODEX WTI 구성 무단 변경 논란C F 옵티머스 사태F 이스타항공 임금체불 사건C 덮죽 표절 논란C MBN 종편 설립 자본금 불법 충당 및 회계 조작 적발 사건C F Na
21년신한카드 The More 체리피킹 대란C F 박수홍 횡령 피해 의혹 논란C 한국토지주택공사 직원 부동산 투기 사건C R KT 인터넷 속도 조작 논란C 포항 가짜 수산업자 사기 사건F Na 대구광역시 코로나19 허위 백신 도입 추진 사건I Na 아프리카TV 코인 게이트C F 여자친구 팬클럽 멤버십 환불 논란C I 위버스샵 굿즈 제조국 허위 표기 논란C I 머지포인트 사태C F 왕릉뷰 아파트 논란C Na R 대장동 개발 사업 논란Na R 판도라 페이퍼스C F I 오스템임플란트 횡령 사건C
22년삼성 갤럭시 GOS 성능 조작 사건C I 트위치 스트리머-ALTI NFT 프로젝트 논란C F I 에이클라 KBO 로비 논란C 계육 가격 담합 적발 사건C 테라USD·LUNA코인 사기 사건F I 에디슨모터스 주가 조작 사건C F 철도차량 입찰 담합 적발 사건C Na 레고랜드 사태C F Na 판교 데이터센터 화재 및 전산망 마비 사건C 흥국생명 채권사태C F Na 빌라왕 전세사기 사건F R
23년SM엔터테인먼트 경영권 분쟁C F 다크앤다커 애셋 도용 의혹 사건C 스캠 사기 사건F SG증권 사태F 신한카드 분할결제 제한 사건C F 새마을금고 연쇄 뱅크런 사건C F 검찰 특활비 부정 사용 논란F Na FIFTY FIFTY 전속 계약 분쟁C BNK경남은행 횡령 사건C F 수원 일가족 전세사기 사건R 영풍제지 주가조작 사건F 태영건설 워크아웃 사태C F R 고려아연 경영권 분쟁(~2024)C
24년홍콩 ELS 사태F I 김은혜 모임통장 금융사기 대란F 위너즈 코인 게이트C F 민희진-HYBE 간 ADOR 경영권 분쟁C F 일본 정부의 네이버 LINE 지분 매각 압박C F I Na 해외직구 규제 논란I Na 스테이지엑스의 제4이동통신사 선정 박탈 사건C F Na 대전역 성심당 임대료 갈등C R Na 두산밥캣-두산로보틱스 합병C 큐텐 정산 지연 사태C F}}}}}}}}}
}}}

파일:external/img.yonhapnews.co.kr/GYH2013032200020004400_P2.jpg
1. 개요2. 상세3. 누구의 소행인가?
3.1. 북한 사이버 공격설3.2. "Whois" 해커 집단 공격 설
4. 정부의 발표5. 이후의 대처
5.1. 책임 공방5.2. 기타

1. 개요

2013년 3월 20일 문화방송, 한국방송공사, YTN 등 주요 방송사와 은행, 카드 회사 등의 전산망이 마비되었던 사건.

2. 상세

2013년 3월 20일 오후 2시 10분경부터 주요 방송사들의 컴퓨터가 일제히 작동을 멈췄다. 직원들의 PC는 정상작동중에 재시작이 필요하다는 안내로 재부팅을 요구하거나 갑자기 재시작되었는데 이후에 부팅이 안되고 작동을 멈춘 채 재부팅하라는 메세지만을 띄우고있는 막장 상황이다.[1] 여러 보도 등을 볼 때 공격의 징조가 보이기 시작한 시각은 좀 더 이른 시각으로 보인다. 오묘하게도 모두 공기업이거나 공기업과 관련된 곳이었고 이 사태를 비껴간 SBSSBS 8 뉴스를 통해 자사에 대한 공격을 방어한 것인지, 아니면 아예 공격 자체가 없었는지를 알아보고 있다고 밝혔다.

비슷한 시간 NH농협은행, 신한은행 서버에도 문제가 생기기 시작했고 얼마 지나지 않아 신한은행 모든 전산이 마비되면서 창구거래, ATM 거래가 모두 중단되었다. 신한은행에 계좌를 둔 체크카드[2]들의 결제도 당연히 멈췄으며 신한은행의 계열사인 제주은행도 당연히 모든 거래가 멈췄다. 농협도 같은 시점에 외부공격에 의한 전산이상을 포착하고 초기단계에 내부 전산망을 직접 차단시키고 모든 거래를 중지시켜서 일부 회원농협의 장애를 제외하면 거래는 정상적으로 이루어졌다. 우리은행악성코드 공격이 아닌 DDoS 공격을 받았으나 내부보안망으로 방어해냈다. 한편 동종업계의 소식을 들은 외환은행 등 타 금융사들도 내부점검과 긴급거래중지 등의 대응을 취했고 농협손해보험 및 농협생명보험의 일부 데이터도 삭제된 것으로 알려졌다. 다만 인터넷 거래는 모든 은행에서 별 탈 없이 이루졌다고 한다.

동시에 LG유플러스의 그룹웨어도 해킹당했다는 사실이 알려졌다. 그룹웨어는 보통 내부 인트라넷으로만 연결되므로 외부 해킹에 의해 장악당한 컴퓨터를 통한 2차 해킹이라는 것이 중론이었다. 문제는 해킹당한 3사가 LG유플러스의 통신망을 이용하고 있었다는 것이 알려지면서 LG유플러스가 해킹당하고 이를 토대로 방송사/은행망 해킹 공격이 이루어진 게 아니냐는 의문이 제기되었다는 점이다.

이런 현상들이 동시다발적으로 이루어졌다는 점에서 고의적인 공격 가능성은 거의 확실시되었다. 경찰은 주요 피해기업에 조사인력을 파견했고 군도 정보작전방호태세를 3단계로 격상하여 상황을 예의주시하였다.

특이하게도 이 공격은 디도스 공격이 아니라 악성코드를 통해 이루어진 것으로 추정되었다. # 보안업체 등에서는 사건 전 주부터 MBC.EXE KBS.EXE라는 파일이 돌아다녔다고 밝혔으며 이러한 것이 계획된 고의 공격의 증거인 것으로 보인다.

또 디도스 공격은 아니지만 좀비 PC의 말로처럼 피해 PC들에게 자살 명령을 내리는 코드가 숨겨진 것으로 알려지면서 졸지에 업무가 마비된데다 자료까지 날아가게 생긴 방송사와 주요 기업들은 멘붕에 빠졌다. ##

3. 누구의 소행인가?

최대한 객관적인 자료와 중립적인 자세에서 그동안 판명된 사실을 중심으로 집필할 필요가 있다.

3.1. 북한 사이버 공격설

북한과의 관련성은 밝혀지지 않았으나 외신들의 반응도 그렇고 대체적인 여론은 역시 북한의 소행일 것으로 추측했다. 물론 아직은 심증의 단계였다. 3월 21일 해킹파일이 중국 인터넷망을 통해서 유입된 것으로 밝혀졌다. 따라서 주로 중국 인터넷망으로 해외 인터넷 활동을 하는 북한의 소행일 정황적 가능성이라는 분석이 좀 더 탄력을 얻었다.

하지만 다음날인 3월 22일, 전날 방통위에서 중국발 IP라고 발표했던 IP가 중국 IP가 아닌 농협 내부망에서 사용하는 IP였다는 내용을 발표했다. 방통위 발표 중국 IP로 오인한 것은 국제인터넷주소관리기구(ICANN)가 중국에 할당한 IP와 일치하였기 때문이었는데 이를 제대로 확인하지 않고 성급하게 발표하는 바람에 혼선을 주었다.

다만 방통위는 누가 저 IP에서 최초로 퍼뜨렸는지 알 수 없다면서 여운을 남겨 놨으므로 북한배후설이 완전히 구라로 끝난 것이라고 볼 수는 없었다.

4월 1일 KBS 뉴스광장 보도에서 북한의 해커들과 관련된 증거가 발견되었다고 보도했다. 관련기사

복층 아파트에서 1층은 쓰지 않고 2층 다락방에 틀어박혀서 한 달간 컴퓨터 작업을 벌였다고. 그동안 쓰인 컴퓨터는 최소 다섯 대 이상이라고 한다.

3.2. "Whois" 해커 집단 공격 설

WHOIS라는 해킹 그룹에서 자신들의 소행이라고 주장하였다. #

사태 발생일과 동일한 날 감염된 컴퓨터의 부팅영역 부분이 특정한 16진수의 반복으로 덮어쓰여져 있는데 이 헥스코드를 알파벳으로 변환하면 HASTATI라는 문자열이 나온다. 그외 에도 PRINCPES(프린시페스)라는 문자열이 발견되었는데 하스타티와 프린시페스는 다름아닌 로마군의 1선 대열, 2선 대열을 의미해서 이게 분석된 시점에서 추가 공격이 있을 거라는 심증을 남겼다. #

제3국[3]일 가능성도 있지만 물론 아직은 심증의 단계였다. 둘 다 어디까지나 가설이고 정확한 결과는 나오지 않았다.

다음날인 3월 21일, 이번에 피해를 본 6개 기관의 컴퓨터에서 모두 후이즈 팀의 이름이 들어간 악성 코드가 발견되었다는 보도가 나왔다. 이 보도가 사실이라면 일단 일차적 범인은 후이즈 팀이 확실한 것 같고 남은 것은 후이즈 팀의 정체가 무엇인지, 그리고 북한과의 연계가 있는지를 밝히는 것이 급선무라고 한다.

4. 정부의 발표

4월 10일, 정부는 이 사태가 북한 정찰총국의 소행이라고 발표하였다. # 북한이 2월 악성코드를 직접 심은 것이라고 한다. 정부는 2월 하순 북한측이 우회 접속 경로로 피해 업체에 악성코드를 심은 사실을 파악했다고 한다. 후이즈 팀은 북한의 소속은 아니지만 북한의 청부를 받고 이런 일을 했을 가능성이 있거나 아예 후이즈로 위장하여 악성코드를 심은 것일 수도 있다.

5. 이후의 대처

5.1. 책임 공방

파일:external/image.ahnlab.com/0911273056133166.jpg

서로의 책임을 묻기 위해 자산관리 서버가 보안업체의 기술적 문제로 털렸다 VS 기업이 관리하는 '서버 계정' 관리를 허술하게 했다는 의견이 팽팽히 대립하고 있었으나 4월 9일 mbc의 보도에 의하면 소프트 포럼(Softforum)[4]이라는 제3자가 튀어나왔다. 드라마 유령에서의 사건이 실제로 일어난 것이다.

사건 발생으로부터 하루가 지나면서 방송통신위원회에서는 업데이트 서버를 통한 악성코드 유포를 원인으로 지목했다. # 이로 인해 공격당한 회사가 보안을 맡긴 업체 하우리, 안랩의 업데이트 서버가 통로가 되었다는 보도가 이루어졌다. # 하지만 해당 업체들에서는 업데이트 서버 해킹이 아닌 해당 악성코드가 백신 프로그램의 구성모듈로 위장해서 들어갔다고 밝혔다. #[5]

그러나 기사 내용이 심히 부실하다. 당장 어떤 업데이트 서버가 털렸는지 명확히 밝히지 않았다. 만일 기업뿐만 아니라 인터넷 상에 연결된 모든 클라이언트의 업데이트를 담당하는 안랩이나 하우리 마스터 서버가 털렸다면 V3나 바이로봇 제품군을 이용하는 모든 시스템[6]이 피해를 입는 범국가적 재앙이 일어났을 터이므로[7] 마스터 서버가 털렸을 가능성은 굉장히 희박하다.

그리고 방송통신위원회, 경찰청, 한국인터넷진흥원 등으로 구성된 민·관·군 합동대응팀은 21일 브리핑에서 농협시스템을 분석한 결과 내부에서 사용 중인 IP(101.106.25.105)가 백신 소프트웨어(SW)배포 관리 서버 (자산관리 서버, Policy Server)에 접속, 악성파일을 배포했음을 확인했다고 발표했다.

기업같이 인터넷과 단절된 대규모 폐쇄 네트워크가 있는 경우 자산관리 서버를 지정해서 해당 서버가 특정 포트를 이용해 메인 업데이트 서버와 연결되어 업데이트 파일을 받아온 뒤 각 클라이언트 PC로 배포한다.[8] 이 사건은 해당 서버를 해킹해서 관리자 권한을 탈취했거나 농협 전산 사고처럼 서버를 조작하는 컴퓨터에서 관리자 계정을 탈취한 뒤 자신들이 만들어 놓은 악성코드를 업데이트 파일명과 동일하게 이름을 만들어 바꿔치기해 뿌리도록 한 것이다.

공격 수법은 사건 발생일 이전까지 정상파일로 위장한 악성코드가 백신의 구성모듈으로 위장해서 방송사와 금융회사로 침투해서 대기타고 있다가 사건 발생일에 명령을 받아 전산망 마비를 일으키고 마스터 부트 영역(MBR) 파괴, 드라이브 파티션 정보 파괴의 증상을 발생시킨 지능형지속공격(APT)으로 보인다. 확실한 공격을 위해 각 기업마다 다른 악성 코드를 유포하여 사용한 것도 확인되었다. #

무결점 검사를 하지 않아서 이런 사태가 벌어졌다는 의견이 있었지만 무결점 검사는 클라이언트에서 위변조가 발생하면 서버의 자료를 가지고 하는 것이다. 일단 자산관리서버의 관리자 권한이 탈취되어 패치관리시스템이 위조되어 버리면 안랩 마스터 서버와 직접 연결할 수 없는 기업 내의 시스템은 무결점 검사로는 답이 없다.

보안업체의 해명에 따르면 "해당 기업에서 관리하는 자산관리 서버(혹은 업데이트관리서버 - PMS) 관리자 계정이 탈취당했고 자산관리 서버는 보안솔루션 서비스를 받는 기업 내에 있으니 우리 책임이 아니다" 라고 했다. 이와 별개로 합동조사팀은 해당 서버가 보안 업체에서 구축한 시스템 상의 허점 때문에 뚫린 것이 아닌지 조사하였다.

MBR을 삭제 시도하려는 의심행위 동작을 감지할 수만 있었다면 이 사태까지 이어지진 않았을 것이라는 점에서 아쉽긴 하다로 끝날 줄 알았으나...

4월 9일 mbc 보도에 의하면 소프트포럼의 업데이트 서버의 관리자 계정이 탈취당해 악성코드가 삽입되었다. 이 말은 인터넷뱅킹, 전자상거래, 민원업무를 한 번이라도 했다면 백도어가 설치되어 있다는 것이다.[9] 국가정보원 주재로 민관 긴급대책회의를 열고 제큐어웹 대처 방안 등을 논의할 예정이었을 정도로 사태는 심각했다. 2013년 6월 KISA에서는 제큐어웹의 보안취약점으로 인해 원격실행, 좀비pc에 악용될수 있다고 경고했다. 게다가 "해당 취약점을 악용한 침해사고가 발생하고 있어, 적극적인 대처 필요" 라고 한다. KISA 제큐어웹 취약점 공지

5.2. 기타



[1] 마스터 부트 레코드, MBR이 파괴된 것으로 보인다.[2] 신한카드, 삼성카드, 롯데카드[3] ("whois")의 화면으로 쓰인 해골 사진 템플릿은 과거 유럽 등의 외국 해커들도 썼다.[4] 보안 프로그램 제조회사이다. Xecureweb이라는 프로그램을 한 번쯤은 들어보았을 것이다.[5] MBC와 신한은행, 농협이 안랩의 보안 솔루션인 V3를 이용하고 있으며 KBS와 YTN은 하우리의 바이로봇을 이용하는 것으로 확인되었다.[6] 대한민국의 상당수의 공공기관과 기업들이 안랩과 하우리의 솔루션을 이용하는데 이는 한국 업체라는 점이 크다.[7] 사실은 업데이트에 인증서 확인 과정이 있으므로 바이러스는 설치되지 않는다. 이를 무력화시킬 방법이 있다면 또 몰라도.[8] 인터넷 말고도 악성코드가 유포되는 경로는 매우 많기 때문에 폐쇄 네트워크에 물려있는 시스템이라도 백신은 필요하다.[9] 'xecureweb(제큐어웹)' 엑티브X 보안프로그램은 당시 금융권 절반 이상이 쓰고 있었고 2천만대 가량의 일반 PC에 깔려 있었다. 인터넷에서 결제를 하려고 할때 시계 옆에서 회색 자물쇠 아이콘으로 나타나는 그 프로그램.[10] 최초 테러 당시 생방송 중이었던 MBC FM4U두시의 데이트 주영훈입니다에서도 방송 도중 관련 소식을 전했으며 mini 게시판, 문자 게시판을 컴퓨터로 보지 못해 스마트폰을 보면서 방송하고 있다고 밝혔다. 진행자 주영훈도 이런 식으로 방송하는 건 처음(...)이라며 황당해했다.