[디지털투데이 김태림 기자] 평창동계올림픽 개막식 도중 발생한 사이버 해킹 공격은 장기간에 걸쳐 치밀하게 준비된 지능형지속공격(APT)으로 파악됐다. 공격 주체가 누구인지 아직 밝혀지지 않았지만, 북한은 아닌 것 같다는 의견이 나왔다.

지난 2일 평창동계올림픽 조직위원회 오상진 정보통신국장은 서울 한국정보화진흥원(NIA) 서울사무소에서 열린 과기정통부 정보보호 세미나에서 “공격에 쓰인 악성코드 41종을 확보해 분석한 결과 25개가 실제 시스템 파괴 행위에 활용됐다”며 “이런 APT 성향의 공격은 오랜 기간 준비한 악의적인 공격”이라고 말했다.

이어 오 국장은 “아직 수사가 진행 중이기 때문에 공격 주체가 누구인지 밝혀지지 않았지만, 북한 소행은 아닌 것 같다”고 덧붙였다.

앞서 지난 2월 9일 평창동계올림픽 개회식 도중 조직위원회(조직위)와 주요 파트너사는 사이버 공격을 받았다. 당시 오후 8시경 사이버 공격이 발생, 메인프레스센터에 설치된 인터넷TV(IPTV)가 꺼지고, 조직위 홈페이지가 마비됐다.

오 국장에 따르면 조직위는 해킹 발생 후 와이파이(WiFi) 설비, 홈페이지 등을 빠르게 복구해 공격 후 12시간 만인 다음날 오전 8시경 모든 서버를 정상화했다. 하지만 복구 이후 조사 결과 피해는 예상보다 컸다. 국내 서버 50대(조직위 33개, 파트너사 17개)가 파괴됐고, 운영 시스템 지원 서버 300대 이상이 영향을 받은 것으로 나타났다. 이로 인해 평창올림픽 수송‧숙박‧선수촌관리‧유니폼배부 등 4개 영역 52종의 서비스가 중단됐다.

오 국장은 “해커들이 외부 참여업체의 계정 일부를 탈취한 뒤 조직위 시스템으로 잠입, 조직위 계정을 확보해 해킹을 시도한 것으로 조사됐다”며 “다양한 업체가 올림픽 준비에 참여하다 보니 현장에서 높은 수준의 보안이 100% 적용되는지 일일이 확인할 수 없었다”고 설명했다.

오 국장은 향후 대책으로 시스템 내 정상과 비정상 행위를 구분할 수 있는 행위 분석 기반의 보안체계를 꼽았다.

그는 “해커가 시스템에 들어오기 위해 계정 권한 상승 등 여러 사전 준비를 한다”며 “이런 행위는 정상적인 것처럼 보이지만, 사실은 비정상적인 행위”라고 설명했다. 이어 “행위 기반의 방어체계가 있다면 정상적인 행위처럼 보이지만 사실은 비정상적인 행위를 사전에 차단할 수 있을 것”이라고 강조했다.