평창동계올림픽 조직위원회 오상진 정보통신국장은 지난 2일 서울 한국정보화진흥원 서울사무소에서 열린 과기정통부 정보보호 세미나에서 "공격에 쓰인 악성코드 41종을 확보, 분석한 결과 25개가 실제 시스템 파괴 행위에 활용됐고, 나머지는 사전 준비에 쓰였다"면서 "이런 APT 성향의 공격은 상당히 오래 준비한 악의적인 공격"이라고 분석했다.
그러면서 공격 주체에 대해서는 "북한은 아닌 것 같다"며 "수사가 좀 더 진행돼야 공격자를 알 수 있을 것"이라고 덧붙였다.
지난 2월 9일 평창올림픽 개회식 도중 조직위와 주요 파트너사가 사이버 공격을 받았다. 오후 8시 시작한 공격으로 당시 메인프레스센터에 설치된 IPTV가 꺼지고, 조직위 홈페이지에 접속 장애가 발생했다.
국내 서버 50대(조직위 33개, 파트너사 17개)가 파괴됐고, 특히 조직위 서비스 인증 서버와 데이터베이스 서버가 파괴되면서 수송·숙박·선수촌 관리·유니폼 배부 등 4개 영역 52종의 서비스가 중단됐다.
조직위는 밤샘 복구 작업에 나서 12시간 만인 다음날 오전 7시 50분께 서비스를 정상화했다.
조직위 분석 결과 해커들은 외부 참여업체의 계정을 일부 탈취한 뒤 조직위 시스템으로 잠입, 추가로 조직위 계정을 확보해 공격에 활용한 것으로 파악됐다.
오 국장은 "해커들은 지난해 12월부터 올림픽 파트너사를 공격했다"며 "다양한 업체가 올림픽 준비에 참여하다 보니 높은 수준의 보안이 현장에서 100% 적용되는지 일일이 확인할 수 없었다"고 설명했다.
향후 대책으로는 시스템 내 정상과 비정상 행위를 구분할 수 있는 행위 분석 기반의 보안체계를 꼽았다.
그는 "행위 기반의 방어체계가 있었다면 정상적인 행위처럼 보이지만 사실은 비정상적인 행위를 사전에 차단할 수 있었을 것"이라고 말했다.
gogosing@fnnews.com 박소현 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지