기획
완결
세계는 사이버전쟁 중
사이버 기습에 2012년은 1970년으로 돌아갔다
<16> 사우디아라비아 아람코 해킹(하)
자료는 삭제되고 이메일조차 안돼
5개월 동안 원시적 직장생활 지속
한 해커단체 자신 소행 주장했지만
미국은 공격 배후 이란 지목하기도
샤문(Shamoon)으로 불리는 악성코드는 2012년 8월 15일 사우디아라비아의 최대 기업인 아람코(Saudi Aramco) 본사 직원들의 컴퓨터에서 처음 발견되었다. 샤문은 감염된 컴퓨터 내의 데이터를 삭제한 후 더 이상 그 컴퓨터가 재부팅되지 않게 했다.
1970년대로의 회귀
악성코드에 의한 공격의 대가는 크고 오래 갔다. 사우디 아람코의 IT 담당자는 사이버공간에서의 공습에 대처하기 위해 가장 먼저 회사 내의 컴퓨터와 시스템, 그리고 데이터센터 등 모든 IT기기를 인터넷과 네트워크로부터 분리시켰다. 샤문이 인터넷 또는 네트워크를 통해 다른 컴퓨터와 시스템으로 옮겨가는 것을 막기 위한 적절한 조치였다. 그러나 그 당연한 조치는 세계 최대 정유 기업 아람코의 모든 기능을 마비시켰다.
아람코 회사는 일순간 완전히 오프라인 상태에 놓였다. 마치 전기가 차단되어 암흑 상태에 놓인 도시와도 같았다. 직원들은 어떠한 일도 할 수가 없었다. 업무에 필요한 자료는 샤문에 의해 대부분 완전히 삭제되었다. 다행히 샤문의 공격에 당하지 않은 컴퓨터가 몇몇 있었더라도 더 이상 켤 수 없기에 무용지물이었다. 직원 간 또는 고객과의 연락도 차단되었다. IT기기와 인터넷 없이 전화와 이메일을 주고받을 수 없었다. 수용관리, 물건 수송, 회계처리, 중요 시설물 등의 업무도 컴퓨터와 인터넷 없이 처리할 수 없었다.
아람코의 업무는 10일간 완전히 멈췄다. 아람코는 공식 페이스북 계정을 통해 2012년 8월 26일부로 직원들이 일터로 복귀해 정상적인 업무가 시작되었다고 알렸다. 그들은 주요 내부 네트워크 서비스 모두가 회복되었다고 했다. 그러나, 실제로는 샤문의 공격 이전으로 100% 회복된 것은 아니었다. 공식 발표 후에도 회사의 직원들은 회사 이메일과 내부 네트워크에 여전히 접속 불가했다.
오히려 내부적으로 아람코는 위기를 극복하기 위해 1970년대로의 회귀를 결정했다. 인터넷과 컴퓨터에 의해 대체되어 더 이상 사용되지 않던 타자기와 팩스가 과거의 명성을 찾아 돌아왔다. 아람코는 시중에 있는 타자기와 팩스를 모조리 사모아 직원들의 책상에 올려놓았다. 2012년을 살고 있는 아람코 직원들은 약 40년 전의 업무 환경으로 돌아가 자신의 업무를 수행해야만 했다. 원시적인 직장 생활은 약 5개월 동안이나 계속되었다. 직원들은 사이버 공격에 대한 조사와 보안 조치, 새로운 시스템의 구비가 완벽히 이루어질 때까지 길고 긴 불편한 생활을 참아내야만 했다.
기습의 성공
사우디 아람코가 보안에 완전히 소홀했다는 오해는 말아야 한다. 아람코는 엄청난 회사의 규모만큼이나 잘 갖추어진 산업 통제 시스템을 갖추고 있으며, 회사의 많은 부분이 자동화되어 있었다. 그리고 그들은 이러한 자동화 시스템을 보호하기 위해 그에 상응하는 천문학적 비용을 사이버 보안 활동에 투입했다. 그러나, 공격자는 아람코의 취약한 부분을 공략했다. 보안이 잘 되어 있던 생산 시스템에 비해 보통의 회사 직원들이 근무하는 사무 시스템은 사이버 공격에 취약했다. 그러다 보니 회사의 핵심 네트워크에 대한 피해는 없었다고 주장하는 아람코의 공식적 발표는 맞는 말이기도 했다.
당국과 사이버 보안 전문가의 조사 결과에 따르면, 공격자는 ‘스피어 피싱 공격(spear phising attack)’으로 아람코의 사무 시스템에 성공적으로 침투했다. 그들은 회사의 정보기술 담당 직원에게 샤문에 감염된 이메일을 발송했다. 해당 직원은 악성코드가 있는 이메일을 의심 없이 열었고, 의도치 않게도 공격자들에게 회사 내부 네트워크로 들어갈 수 있는 권한을 내주게 되었다.
정확한 날짜를 특정할 수 없지만, 공격자들이 침투에 성공한 시기는 대략 2012년 중반 정도로 추정되었다. 공교롭게도 이 시기는 이슬람교를 믿는 사우디아라비아 사람들에게 가장 중요한 종교적 기념일인 라마단 기간(2012. 7. 20 ~ 8. 18)이었다. 공격자들은 의도적으로 보안에 취약한 사무 시스템과 라마단 시기를 선택한 것이다. 공격자가 방법, 장소, 시기 모두에 있어 사이버 기습에 성공한 것이었다.
공격의 배후
2012년 8월 15일 활성화된 샤문의 무서운 공격이 시작되고 얼마 후, 커팅 스워드 오브 저스티스(Cutting Sword of Justice)라는 이름의 단체가 이번 사이버 공격을 자신들의 소행이라고 주장했다. 그 해커 단체는 익명으로 문서를 공유할 수 있는 유명 텍스트 파일 공유사이트인 페이스트빈닷컴(Pastebin.com)을 이용해 자신들의 공격 동기를 밝혔다. 주로 프로그래머들이 컴퓨터 코드의 작성, 보관 및 공유하는 웹사이트이지만, 해커들은 익명성의 보장되는 그곳에 해킹을 통해 얻은 자료를 공유하기도 한다.
커팅 스워드 오브 저스티스는 사우디아라비아를 통치하는 알사우드(Al-saud) 정권의 범죄와 잔혹한 행위에 대한 보복을 사이버 공격의 동기로 밝혔다. 그들은 알사우드가 아람코의 엄청난 오일 머니를 통해 주변 중동 국가들의 무고한 사람들을 피 흘리게 만들었다고 주장했다. 그들은 사우디아라비아 현지시간으로 2012년 8월 15일 11시 08분에 시작된 공격이 수 시간 내에 끝날 것이라 했다. 끝으로 그들은 자신들처럼 독재자에 반대하는 전 세계의 해커 그룹들이 알사우드 정권에 대한 공격에 합류할 것이라는 경고 또한 남겼다.
하지만, 미국의 정보기관 관계자들은 주저하지 않고 공격의 배후로 민간 해커집단이 아닌 이란을 지목했다. 이란이 배후일 것이라는 무수한 정황적 증거들이 넘쳐났을 뿐, 미국 정보기관은 왜 이란이 공격자인지 구체적인 과학적 증거는 밝히지 않았다.
중동을 떠도는 샤문의 망령
아람코에 대한 사이버 공격이 발생한 지 2주도 채 되지 않은 시점에 카타르의 액화천연가스 생산 회사인 라스가스(RasGas)가 유사한 공격을 받았다. 미국은 이 역시도 이란의 소행이라 결론지었다. 이후에도 사우디아라비아에 대한 샤문의 공격은 계속되었다. 공격 방식과 대상이 유사한 진화된 샤문이 2016년과 2018년 여러 석유화학 업체와 조직, 그리고 중앙은행 등 사우디아라비아의 중요 시설과 회사, 정부를 공격했다.
사이버 범죄 아닌 사이버 전쟁
사이버 범죄는 일반적으로 금전적 이익을 목표로 한다. 그러나, 샤문은 직접적인 금전적 이득과 관련 없이 철저히 한 국가의 근본을 흔들려는 거대한 안보적 위협이었다. 악성코드는 사우디아라비아의 알사우드 정권 유지의 핵심인 아람코를 겨냥하여 정교하게 제작되었으며, 오직 사우디아라비아를 중심으로만 지속적으로 활동하고 있다. 즉, 미국 정보기관의 말을 믿는다면, 샤문은 이란이 사우디아라비아와의 사이버 전쟁을 위하여 만든 강력한 무기라 하겠다.
세계 최대 석유회사는 컴퓨터 대신 타자기와 팩스를 들여오기로 결정했다
자료는 삭제되고 이메일조차 안돼
5개월 동안 원시적 직장생활 지속
한 해커단체 자신 소행 주장했지만
미국은 공격 배후 이란 지목하기도
|
샤문(Shamoon)으로 불리는 악성코드는 2012년 8월 15일 사우디아라비아의 최대 기업인 아람코(Saudi Aramco) 본사 직원들의 컴퓨터에서 처음 발견되었다. 샤문은 감염된 컴퓨터 내의 데이터를 삭제한 후 더 이상 그 컴퓨터가 재부팅되지 않게 했다.
1970년대로의 회귀
악성코드에 의한 공격의 대가는 크고 오래 갔다. 사우디 아람코의 IT 담당자는 사이버공간에서의 공습에 대처하기 위해 가장 먼저 회사 내의 컴퓨터와 시스템, 그리고 데이터센터 등 모든 IT기기를 인터넷과 네트워크로부터 분리시켰다. 샤문이 인터넷 또는 네트워크를 통해 다른 컴퓨터와 시스템으로 옮겨가는 것을 막기 위한 적절한 조치였다. 그러나 그 당연한 조치는 세계 최대 정유 기업 아람코의 모든 기능을 마비시켰다.
아람코 회사는 일순간 완전히 오프라인 상태에 놓였다. 마치 전기가 차단되어 암흑 상태에 놓인 도시와도 같았다. 직원들은 어떠한 일도 할 수가 없었다. 업무에 필요한 자료는 샤문에 의해 대부분 완전히 삭제되었다. 다행히 샤문의 공격에 당하지 않은 컴퓨터가 몇몇 있었더라도 더 이상 켤 수 없기에 무용지물이었다. 직원 간 또는 고객과의 연락도 차단되었다. IT기기와 인터넷 없이 전화와 이메일을 주고받을 수 없었다. 수용관리, 물건 수송, 회계처리, 중요 시설물 등의 업무도 컴퓨터와 인터넷 없이 처리할 수 없었다.
아람코의 업무는 10일간 완전히 멈췄다. 아람코는 공식 페이스북 계정을 통해 2012년 8월 26일부로 직원들이 일터로 복귀해 정상적인 업무가 시작되었다고 알렸다. 그들은 주요 내부 네트워크 서비스 모두가 회복되었다고 했다. 그러나, 실제로는 샤문의 공격 이전으로 100% 회복된 것은 아니었다. 공식 발표 후에도 회사의 직원들은 회사 이메일과 내부 네트워크에 여전히 접속 불가했다.
오히려 내부적으로 아람코는 위기를 극복하기 위해 1970년대로의 회귀를 결정했다. 인터넷과 컴퓨터에 의해 대체되어 더 이상 사용되지 않던 타자기와 팩스가 과거의 명성을 찾아 돌아왔다. 아람코는 시중에 있는 타자기와 팩스를 모조리 사모아 직원들의 책상에 올려놓았다. 2012년을 살고 있는 아람코 직원들은 약 40년 전의 업무 환경으로 돌아가 자신의 업무를 수행해야만 했다. 원시적인 직장 생활은 약 5개월 동안이나 계속되었다. 직원들은 사이버 공격에 대한 조사와 보안 조치, 새로운 시스템의 구비가 완벽히 이루어질 때까지 길고 긴 불편한 생활을 참아내야만 했다.
기습의 성공
사우디 아람코가 보안에 완전히 소홀했다는 오해는 말아야 한다. 아람코는 엄청난 회사의 규모만큼이나 잘 갖추어진 산업 통제 시스템을 갖추고 있으며, 회사의 많은 부분이 자동화되어 있었다. 그리고 그들은 이러한 자동화 시스템을 보호하기 위해 그에 상응하는 천문학적 비용을 사이버 보안 활동에 투입했다. 그러나, 공격자는 아람코의 취약한 부분을 공략했다. 보안이 잘 되어 있던 생산 시스템에 비해 보통의 회사 직원들이 근무하는 사무 시스템은 사이버 공격에 취약했다. 그러다 보니 회사의 핵심 네트워크에 대한 피해는 없었다고 주장하는 아람코의 공식적 발표는 맞는 말이기도 했다.
당국과 사이버 보안 전문가의 조사 결과에 따르면, 공격자는 ‘스피어 피싱 공격(spear phising attack)’으로 아람코의 사무 시스템에 성공적으로 침투했다. 그들은 회사의 정보기술 담당 직원에게 샤문에 감염된 이메일을 발송했다. 해당 직원은 악성코드가 있는 이메일을 의심 없이 열었고, 의도치 않게도 공격자들에게 회사 내부 네트워크로 들어갈 수 있는 권한을 내주게 되었다.
정확한 날짜를 특정할 수 없지만, 공격자들이 침투에 성공한 시기는 대략 2012년 중반 정도로 추정되었다. 공교롭게도 이 시기는 이슬람교를 믿는 사우디아라비아 사람들에게 가장 중요한 종교적 기념일인 라마단 기간(2012. 7. 20 ~ 8. 18)이었다. 공격자들은 의도적으로 보안에 취약한 사무 시스템과 라마단 시기를 선택한 것이다. 공격자가 방법, 장소, 시기 모두에 있어 사이버 기습에 성공한 것이었다.
공격의 배후
2012년 8월 15일 활성화된 샤문의 무서운 공격이 시작되고 얼마 후, 커팅 스워드 오브 저스티스(Cutting Sword of Justice)라는 이름의 단체가 이번 사이버 공격을 자신들의 소행이라고 주장했다. 그 해커 단체는 익명으로 문서를 공유할 수 있는 유명 텍스트 파일 공유사이트인 페이스트빈닷컴(Pastebin.com)을 이용해 자신들의 공격 동기를 밝혔다. 주로 프로그래머들이 컴퓨터 코드의 작성, 보관 및 공유하는 웹사이트이지만, 해커들은 익명성의 보장되는 그곳에 해킹을 통해 얻은 자료를 공유하기도 한다.
커팅 스워드 오브 저스티스는 사우디아라비아를 통치하는 알사우드(Al-saud) 정권의 범죄와 잔혹한 행위에 대한 보복을 사이버 공격의 동기로 밝혔다. 그들은 알사우드가 아람코의 엄청난 오일 머니를 통해 주변 중동 국가들의 무고한 사람들을 피 흘리게 만들었다고 주장했다. 그들은 사우디아라비아 현지시간으로 2012년 8월 15일 11시 08분에 시작된 공격이 수 시간 내에 끝날 것이라 했다. 끝으로 그들은 자신들처럼 독재자에 반대하는 전 세계의 해커 그룹들이 알사우드 정권에 대한 공격에 합류할 것이라는 경고 또한 남겼다.
하지만, 미국의 정보기관 관계자들은 주저하지 않고 공격의 배후로 민간 해커집단이 아닌 이란을 지목했다. 이란이 배후일 것이라는 무수한 정황적 증거들이 넘쳐났을 뿐, 미국 정보기관은 왜 이란이 공격자인지 구체적인 과학적 증거는 밝히지 않았다.
중동을 떠도는 샤문의 망령
아람코에 대한 사이버 공격이 발생한 지 2주도 채 되지 않은 시점에 카타르의 액화천연가스 생산 회사인 라스가스(RasGas)가 유사한 공격을 받았다. 미국은 이 역시도 이란의 소행이라 결론지었다. 이후에도 사우디아라비아에 대한 샤문의 공격은 계속되었다. 공격 방식과 대상이 유사한 진화된 샤문이 2016년과 2018년 여러 석유화학 업체와 조직, 그리고 중앙은행 등 사우디아라비아의 중요 시설과 회사, 정부를 공격했다.
사이버 범죄 아닌 사이버 전쟁
사이버 범죄는 일반적으로 금전적 이익을 목표로 한다. 그러나, 샤문은 직접적인 금전적 이득과 관련 없이 철저히 한 국가의 근본을 흔들려는 거대한 안보적 위협이었다. 악성코드는 사우디아라비아의 알사우드 정권 유지의 핵심인 아람코를 겨냥하여 정교하게 제작되었으며, 오직 사우디아라비아를 중심으로만 지속적으로 활동하고 있다. 즉, 미국 정보기관의 말을 믿는다면, 샤문은 이란이 사우디아라비아와의 사이버 전쟁을 위하여 만든 강력한 무기라 하겠다.
 |
필자 박동휘 소령은 육사 61기로 졸업·임관 후 美 워싱턴대에서 사이버전쟁과 전략에 관한 연구로 박사 학위를 받았다. 현재 육군3사관학교 군사사학과 학과장으로 근무하고 있다.
오늘의 뉴스
Hot Photo News
많이 본 기사
이 기사를 스크랩 하시겠습니까?
프린트 미리보기
기획
완결
세계는 사이버전쟁 중
사이버 기습에 2012년은 1970년으로 돌아갔다
입력
2021.
04.
23
16:06
업데이트
2021.
04.
23
16:08
<16> 사우디아라비아 아람코 해킹(하)
자료는 삭제되고 이메일조차 안돼
5개월 동안 원시적 직장생활 지속
한 해커단체 자신 소행 주장했지만
미국은 공격 배후 이란 지목하기도
샤문(Shamoon)으로 불리는 악성코드는 2012년 8월 15일 사우디아라비아의 최대 기업인 아람코(Saudi Aramco) 본사 직원들의 컴퓨터에서 처음 발견되었다. 샤문은 감염된 컴퓨터 내의 데이터를 삭제한 후 더 이상 그 컴퓨터가 재부팅되지 않게 했다.
1970년대로의 회귀
악성코드에 의한 공격의 대가는 크고 오래 갔다. 사우디 아람코의 IT 담당자는 사이버공간에서의 공습에 대처하기 위해 가장 먼저 회사 내의 컴퓨터와 시스템, 그리고 데이터센터 등 모든 IT기기를 인터넷과 네트워크로부터 분리시켰다. 샤문이 인터넷 또는 네트워크를 통해 다른 컴퓨터와 시스템으로 옮겨가는 것을 막기 위한 적절한 조치였다. 그러나 그 당연한 조치는 세계 최대 정유 기업 아람코의 모든 기능을 마비시켰다.
아람코 회사는 일순간 완전히 오프라인 상태에 놓였다. 마치 전기가 차단되어 암흑 상태에 놓인 도시와도 같았다. 직원들은 어떠한 일도 할 수가 없었다. 업무에 필요한 자료는 샤문에 의해 대부분 완전히 삭제되었다. 다행히 샤문의 공격에 당하지 않은 컴퓨터가 몇몇 있었더라도 더 이상 켤 수 없기에 무용지물이었다. 직원 간 또는 고객과의 연락도 차단되었다. IT기기와 인터넷 없이 전화와 이메일을 주고받을 수 없었다. 수용관리, 물건 수송, 회계처리, 중요 시설물 등의 업무도 컴퓨터와 인터넷 없이 처리할 수 없었다.
아람코의 업무는 10일간 완전히 멈췄다. 아람코는 공식 페이스북 계정을 통해 2012년 8월 26일부로 직원들이 일터로 복귀해 정상적인 업무가 시작되었다고 알렸다. 그들은 주요 내부 네트워크 서비스 모두가 회복되었다고 했다. 그러나, 실제로는 샤문의 공격 이전으로 100% 회복된 것은 아니었다. 공식 발표 후에도 회사의 직원들은 회사 이메일과 내부 네트워크에 여전히 접속 불가했다.
오히려 내부적으로 아람코는 위기를 극복하기 위해 1970년대로의 회귀를 결정했다. 인터넷과 컴퓨터에 의해 대체되어 더 이상 사용되지 않던 타자기와 팩스가 과거의 명성을 찾아 돌아왔다. 아람코는 시중에 있는 타자기와 팩스를 모조리 사모아 직원들의 책상에 올려놓았다. 2012년을 살고 있는 아람코 직원들은 약 40년 전의 업무 환경으로 돌아가 자신의 업무를 수행해야만 했다. 원시적인 직장 생활은 약 5개월 동안이나 계속되었다. 직원들은 사이버 공격에 대한 조사와 보안 조치, 새로운 시스템의 구비가 완벽히 이루어질 때까지 길고 긴 불편한 생활을 참아내야만 했다.
기습의 성공
사우디 아람코가 보안에 완전히 소홀했다는 오해는 말아야 한다. 아람코는 엄청난 회사의 규모만큼이나 잘 갖추어진 산업 통제 시스템을 갖추고 있으며, 회사의 많은 부분이 자동화되어 있었다. 그리고 그들은 이러한 자동화 시스템을 보호하기 위해 그에 상응하는 천문학적 비용을 사이버 보안 활동에 투입했다. 그러나, 공격자는 아람코의 취약한 부분을 공략했다. 보안이 잘 되어 있던 생산 시스템에 비해 보통의 회사 직원들이 근무하는 사무 시스템은 사이버 공격에 취약했다. 그러다 보니 회사의 핵심 네트워크에 대한 피해는 없었다고 주장하는 아람코의 공식적 발표는 맞는 말이기도 했다.
당국과 사이버 보안 전문가의 조사 결과에 따르면, 공격자는 ‘스피어 피싱 공격(spear phising attack)’으로 아람코의 사무 시스템에 성공적으로 침투했다. 그들은 회사의 정보기술 담당 직원에게 샤문에 감염된 이메일을 발송했다. 해당 직원은 악성코드가 있는 이메일을 의심 없이 열었고, 의도치 않게도 공격자들에게 회사 내부 네트워크로 들어갈 수 있는 권한을 내주게 되었다.
정확한 날짜를 특정할 수 없지만, 공격자들이 침투에 성공한 시기는 대략 2012년 중반 정도로 추정되었다. 공교롭게도 이 시기는 이슬람교를 믿는 사우디아라비아 사람들에게 가장 중요한 종교적 기념일인 라마단 기간(2012. 7. 20 ~ 8. 18)이었다. 공격자들은 의도적으로 보안에 취약한 사무 시스템과 라마단 시기를 선택한 것이다. 공격자가 방법, 장소, 시기 모두에 있어 사이버 기습에 성공한 것이었다.
공격의 배후
2012년 8월 15일 활성화된 샤문의 무서운 공격이 시작되고 얼마 후, 커팅 스워드 오브 저스티스(Cutting Sword of Justice)라는 이름의 단체가 이번 사이버 공격을 자신들의 소행이라고 주장했다. 그 해커 단체는 익명으로 문서를 공유할 수 있는 유명 텍스트 파일 공유사이트인 페이스트빈닷컴(Pastebin.com)을 이용해 자신들의 공격 동기를 밝혔다. 주로 프로그래머들이 컴퓨터 코드의 작성, 보관 및 공유하는 웹사이트이지만, 해커들은 익명성의 보장되는 그곳에 해킹을 통해 얻은 자료를 공유하기도 한다.
커팅 스워드 오브 저스티스는 사우디아라비아를 통치하는 알사우드(Al-saud) 정권의 범죄와 잔혹한 행위에 대한 보복을 사이버 공격의 동기로 밝혔다. 그들은 알사우드가 아람코의 엄청난 오일 머니를 통해 주변 중동 국가들의 무고한 사람들을 피 흘리게 만들었다고 주장했다. 그들은 사우디아라비아 현지시간으로 2012년 8월 15일 11시 08분에 시작된 공격이 수 시간 내에 끝날 것이라 했다. 끝으로 그들은 자신들처럼 독재자에 반대하는 전 세계의 해커 그룹들이 알사우드 정권에 대한 공격에 합류할 것이라는 경고 또한 남겼다.
하지만, 미국의 정보기관 관계자들은 주저하지 않고 공격의 배후로 민간 해커집단이 아닌 이란을 지목했다. 이란이 배후일 것이라는 무수한 정황적 증거들이 넘쳐났을 뿐, 미국 정보기관은 왜 이란이 공격자인지 구체적인 과학적 증거는 밝히지 않았다.
중동을 떠도는 샤문의 망령
아람코에 대한 사이버 공격이 발생한 지 2주도 채 되지 않은 시점에 카타르의 액화천연가스 생산 회사인 라스가스(RasGas)가 유사한 공격을 받았다. 미국은 이 역시도 이란의 소행이라 결론지었다. 이후에도 사우디아라비아에 대한 샤문의 공격은 계속되었다. 공격 방식과 대상이 유사한 진화된 샤문이 2016년과 2018년 여러 석유화학 업체와 조직, 그리고 중앙은행 등 사우디아라비아의 중요 시설과 회사, 정부를 공격했다.
사이버 범죄 아닌 사이버 전쟁
사이버 범죄는 일반적으로 금전적 이익을 목표로 한다. 그러나, 샤문은 직접적인 금전적 이득과 관련 없이 철저히 한 국가의 근본을 흔들려는 거대한 안보적 위협이었다. 악성코드는 사우디아라비아의 알사우드 정권 유지의 핵심인 아람코를 겨냥하여 정교하게 제작되었으며, 오직 사우디아라비아를 중심으로만 지속적으로 활동하고 있다. 즉, 미국 정보기관의 말을 믿는다면, 샤문은 이란이 사우디아라비아와의 사이버 전쟁을 위하여 만든 강력한 무기라 하겠다.
세계 최대 석유회사는 컴퓨터 대신 타자기와 팩스를 들여오기로 결정했다
자료는 삭제되고 이메일조차 안돼
5개월 동안 원시적 직장생활 지속
한 해커단체 자신 소행 주장했지만
미국은 공격 배후 이란 지목하기도
|
샤문(Shamoon)으로 불리는 악성코드는 2012년 8월 15일 사우디아라비아의 최대 기업인 아람코(Saudi Aramco) 본사 직원들의 컴퓨터에서 처음 발견되었다. 샤문은 감염된 컴퓨터 내의 데이터를 삭제한 후 더 이상 그 컴퓨터가 재부팅되지 않게 했다.
1970년대로의 회귀
악성코드에 의한 공격의 대가는 크고 오래 갔다. 사우디 아람코의 IT 담당자는 사이버공간에서의 공습에 대처하기 위해 가장 먼저 회사 내의 컴퓨터와 시스템, 그리고 데이터센터 등 모든 IT기기를 인터넷과 네트워크로부터 분리시켰다. 샤문이 인터넷 또는 네트워크를 통해 다른 컴퓨터와 시스템으로 옮겨가는 것을 막기 위한 적절한 조치였다. 그러나 그 당연한 조치는 세계 최대 정유 기업 아람코의 모든 기능을 마비시켰다.
아람코 회사는 일순간 완전히 오프라인 상태에 놓였다. 마치 전기가 차단되어 암흑 상태에 놓인 도시와도 같았다. 직원들은 어떠한 일도 할 수가 없었다. 업무에 필요한 자료는 샤문에 의해 대부분 완전히 삭제되었다. 다행히 샤문의 공격에 당하지 않은 컴퓨터가 몇몇 있었더라도 더 이상 켤 수 없기에 무용지물이었다. 직원 간 또는 고객과의 연락도 차단되었다. IT기기와 인터넷 없이 전화와 이메일을 주고받을 수 없었다. 수용관리, 물건 수송, 회계처리, 중요 시설물 등의 업무도 컴퓨터와 인터넷 없이 처리할 수 없었다.
아람코의 업무는 10일간 완전히 멈췄다. 아람코는 공식 페이스북 계정을 통해 2012년 8월 26일부로 직원들이 일터로 복귀해 정상적인 업무가 시작되었다고 알렸다. 그들은 주요 내부 네트워크 서비스 모두가 회복되었다고 했다. 그러나, 실제로는 샤문의 공격 이전으로 100% 회복된 것은 아니었다. 공식 발표 후에도 회사의 직원들은 회사 이메일과 내부 네트워크에 여전히 접속 불가했다.
오히려 내부적으로 아람코는 위기를 극복하기 위해 1970년대로의 회귀를 결정했다. 인터넷과 컴퓨터에 의해 대체되어 더 이상 사용되지 않던 타자기와 팩스가 과거의 명성을 찾아 돌아왔다. 아람코는 시중에 있는 타자기와 팩스를 모조리 사모아 직원들의 책상에 올려놓았다. 2012년을 살고 있는 아람코 직원들은 약 40년 전의 업무 환경으로 돌아가 자신의 업무를 수행해야만 했다. 원시적인 직장 생활은 약 5개월 동안이나 계속되었다. 직원들은 사이버 공격에 대한 조사와 보안 조치, 새로운 시스템의 구비가 완벽히 이루어질 때까지 길고 긴 불편한 생활을 참아내야만 했다.
기습의 성공
사우디 아람코가 보안에 완전히 소홀했다는 오해는 말아야 한다. 아람코는 엄청난 회사의 규모만큼이나 잘 갖추어진 산업 통제 시스템을 갖추고 있으며, 회사의 많은 부분이 자동화되어 있었다. 그리고 그들은 이러한 자동화 시스템을 보호하기 위해 그에 상응하는 천문학적 비용을 사이버 보안 활동에 투입했다. 그러나, 공격자는 아람코의 취약한 부분을 공략했다. 보안이 잘 되어 있던 생산 시스템에 비해 보통의 회사 직원들이 근무하는 사무 시스템은 사이버 공격에 취약했다. 그러다 보니 회사의 핵심 네트워크에 대한 피해는 없었다고 주장하는 아람코의 공식적 발표는 맞는 말이기도 했다.
당국과 사이버 보안 전문가의 조사 결과에 따르면, 공격자는 ‘스피어 피싱 공격(spear phising attack)’으로 아람코의 사무 시스템에 성공적으로 침투했다. 그들은 회사의 정보기술 담당 직원에게 샤문에 감염된 이메일을 발송했다. 해당 직원은 악성코드가 있는 이메일을 의심 없이 열었고, 의도치 않게도 공격자들에게 회사 내부 네트워크로 들어갈 수 있는 권한을 내주게 되었다.
정확한 날짜를 특정할 수 없지만, 공격자들이 침투에 성공한 시기는 대략 2012년 중반 정도로 추정되었다. 공교롭게도 이 시기는 이슬람교를 믿는 사우디아라비아 사람들에게 가장 중요한 종교적 기념일인 라마단 기간(2012. 7. 20 ~ 8. 18)이었다. 공격자들은 의도적으로 보안에 취약한 사무 시스템과 라마단 시기를 선택한 것이다. 공격자가 방법, 장소, 시기 모두에 있어 사이버 기습에 성공한 것이었다.
공격의 배후
2012년 8월 15일 활성화된 샤문의 무서운 공격이 시작되고 얼마 후, 커팅 스워드 오브 저스티스(Cutting Sword of Justice)라는 이름의 단체가 이번 사이버 공격을 자신들의 소행이라고 주장했다. 그 해커 단체는 익명으로 문서를 공유할 수 있는 유명 텍스트 파일 공유사이트인 페이스트빈닷컴(Pastebin.com)을 이용해 자신들의 공격 동기를 밝혔다. 주로 프로그래머들이 컴퓨터 코드의 작성, 보관 및 공유하는 웹사이트이지만, 해커들은 익명성의 보장되는 그곳에 해킹을 통해 얻은 자료를 공유하기도 한다.
커팅 스워드 오브 저스티스는 사우디아라비아를 통치하는 알사우드(Al-saud) 정권의 범죄와 잔혹한 행위에 대한 보복을 사이버 공격의 동기로 밝혔다. 그들은 알사우드가 아람코의 엄청난 오일 머니를 통해 주변 중동 국가들의 무고한 사람들을 피 흘리게 만들었다고 주장했다. 그들은 사우디아라비아 현지시간으로 2012년 8월 15일 11시 08분에 시작된 공격이 수 시간 내에 끝날 것이라 했다. 끝으로 그들은 자신들처럼 독재자에 반대하는 전 세계의 해커 그룹들이 알사우드 정권에 대한 공격에 합류할 것이라는 경고 또한 남겼다.
하지만, 미국의 정보기관 관계자들은 주저하지 않고 공격의 배후로 민간 해커집단이 아닌 이란을 지목했다. 이란이 배후일 것이라는 무수한 정황적 증거들이 넘쳐났을 뿐, 미국 정보기관은 왜 이란이 공격자인지 구체적인 과학적 증거는 밝히지 않았다.
중동을 떠도는 샤문의 망령
아람코에 대한 사이버 공격이 발생한 지 2주도 채 되지 않은 시점에 카타르의 액화천연가스 생산 회사인 라스가스(RasGas)가 유사한 공격을 받았다. 미국은 이 역시도 이란의 소행이라 결론지었다. 이후에도 사우디아라비아에 대한 샤문의 공격은 계속되었다. 공격 방식과 대상이 유사한 진화된 샤문이 2016년과 2018년 여러 석유화학 업체와 조직, 그리고 중앙은행 등 사우디아라비아의 중요 시설과 회사, 정부를 공격했다.
사이버 범죄 아닌 사이버 전쟁
사이버 범죄는 일반적으로 금전적 이익을 목표로 한다. 그러나, 샤문은 직접적인 금전적 이득과 관련 없이 철저히 한 국가의 근본을 흔들려는 거대한 안보적 위협이었다. 악성코드는 사우디아라비아의 알사우드 정권 유지의 핵심인 아람코를 겨냥하여 정교하게 제작되었으며, 오직 사우디아라비아를 중심으로만 지속적으로 활동하고 있다. 즉, 미국 정보기관의 말을 믿는다면, 샤문은 이란이 사우디아라비아와의 사이버 전쟁을 위하여 만든 강력한 무기라 하겠다.
| |
필자 박동휘 소령은 육사 61기로 졸업·임관 후 美 워싱턴대에서 사이버전쟁과 전략에 관한 연구로 박사 학위를 받았다. 현재 육군3사관학교 군사사학과 학과장으로 근무하고 있다.