3.20 전산망 마비사태

덤프버전 :

주의. 사건·사고 관련 내용을 설명합니다.
이 문서는 실제로 일어난 사건·사고의 자세한 내용과 설명을 포함하고 있습니다.


문서가 있는 대한민국의 경제 관련 사건사고 목록
C: 기업 관련, F: 금융 관련, R: 부동산 관련, I: 외국 및 국제조직 연루, Na: 국가행정조직 연루

 [ 대한민국 이전 ] 
대한제국
당백전 사태(1866~1867)F Na
일제강점기
토지 조사 사업(1910~1918)R Na 박가분 사건(1930년대)C
}}}
{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
 [ ~1990년대 ] 
{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
 [ 2000년대 ] 
{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em"
 [ 2010년대 ] 
10년
DY 엔터테인먼트 사건C F 도이치방크 옵션 부당거래 쇼크 사태(11.)C F I 뚜레쥬르 점주의 경쟁사 조작 비방 사건(12.)C 함바 게이트(~2011) Na
11년
부산저축은행 영업정지 사태(2.)C F R I NH농협은행 전산 마비 사건(4.)C F 삼성 Apple 소송전(~2018)C Na I 다이아몬드 게이트(8.)C F Na 가습기 살균제 사망사건(8.)C I Na
12년
갤럭시 S III 보조금 대란(8.)C F 론스타 게이트(11. ~ )C I 거성 모바일 사태(12.)C F
13년
남양유업 대리점 상품 강매 사건(1.)C 금융사·방송사 대규모 전산 마비 사건(3.)C F I Na 도나도나 사건C F 홈플러스 경품 추첨 조작 및 고객 개인정보 판매 사건C 무궁화 위성 매각 논란(11.)C I Na
14년
KB·NH·롯데카드 개인정보 유출 사태(1.)C I F 엘키소프트 제룩스 사건(5.)C 휴대폰 보조금 대란(6.)C F 모뉴엘 사태(10.)C 대한항공 086편 이륙지연 사건(12.)C I
15년
정운호 게이트C Na 성완종 리스트 사건(4.)C F Na 삼성물산·제일모직 합병 논란(5.)C F I 테스코 홈플러스 매각 논란(9.)C I 삼성바이오로직스 분식회계 의혹(9.)C F
16년
대우조선해양 분식회계 사건(3.)C F 파나마 페이퍼스(4.)C F I 전경련의 어버이연합 시위 자금 지원 논란(4.)C NH농협은행 전산조작 사태(~2018)C F 롯데그룹 비자금 조성 의혹 사건(6.)C F 갤럭시 노트7 폭발 사고(8.)C I 엘시티 사업 관련 특혜 및 비자금 조성 논란F Na R 박근혜-최순실 게이트(10.)C F I Na
17년
BBQ발 치킨값 파동(3.)C 검찰 돈봉투 만찬 사건(4.)Na 암호화폐 규제 논란(7.)C F Na 다스 실소유주 논란(10.)C Na 파라다이스 페이퍼스(11.)C F I 비트코인 플래티넘 사건(12.)C F
18년
금융감독원 직원 암호화폐 거래 의혹(1.)C Na 삼성 다스 소송비 대납사건(2.)C F Na 삼성증권 유령주식 사태(4.)C F 금일그룹 전기차 사기 사건C I(5.) 아시아나항공 기내식 공급부족 사태(7.)C I 돈스코이호 사기 사건(7.)C I 미미쿠키 재포장 판매 사건(9.)C 산체스&마이크로닷 부모 사기 사건(11.)F I R
19년
손혜원 부동산 투기 의혹(1.)R 익산 원룸 전세금 사기사건F R(4.) 라임 사태(7.)F K리그 올스타 VS 유벤투스 사기 사건(7.)C F I
}}}
{{{#!wiki style="display: inline-table; min-width:15%; min-height:2em">
 [ 2020년대 ] 
20년
김한근 강릉시장 마블테마파크 사기 의혹 사건(2.)I Na R 한화손해보험 고아 초등학생 상대 구상권 청구 소송 사건(3.)C F KODEX WTI원유선물 스캔들(4.)C F 옵티머스 사태(6.)F 이스타항공 임금체불 사건(6.)C 덮죽 표절 논란(10.)C
21년
신한카드 The More 체리피킹 대란C F 박수홍 횡령 피해 의혹 논란(3. ~)C 한국토지주택공사 직원 부동산 투기 사건(3.)C R KT 인터넷 속도 조작 사건(4.)C 포항 가짜 수산업자 사기 사건(4.)F Na 대구광역시 코로나19 허위 백신 도입 추진 사건(5.)I Na 아프리카TV 코인 게이트(6.)C F 여자친구 팬클럽 멤버십 환불 논란C I(5.) 위버스샵 굿즈 제조국 허위 표기 논란C I(6.) 머지포인트 사태(8.)C F 장릉 검단신도시 아파트 불법건축 논란(9.)C Na R 대장동 개발 사업 논란(9.)Na R 판도라 페이퍼스(10.)C F I 오스템임플란트 횡령 사건(12.)C
22년
삼성 갤럭시 GOS 성능 조작 사건(2.)C I 트위치 스트리머-ALTI NFT 프로젝트 논란(2.)C F I 에이클라 KBO 로비 논란(3.)C 닭고기 가격 담합 적발 사건(4.)C 테라USD·LUNA코인 대폭락 사건(5.)F I 에디슨모터스 주가 조작 사건(7.)C F 철도차량 입찰 담합 적발 사건(7.)C Na 레고랜드 사태(10.)C F Na SK C&C 판교 데이터센터 화재로 인한 인터넷 서비스 장애 사건C 흥국생명 채권사태(10.)C F Na 빌라왕 전세사기 사태(12.)F R
23년
SM엔터테인먼트 경영권 분쟁C F 다크앤다커 애셋 도용 의혹 사건C 2023년 스캠 코인 사기 사건F SG증권 사태F 신한카드 분할결제 제한 사건C F 2023년 새마을금고 뱅크런 사태C F FIFTY FIFTY 전속 계약 분쟁C BNK경남은행 횡령 사건C F 수원 일가족 전세사기 사건R 영풍제지 사태F



파일:external/img.yonhapnews.co.kr/GYH2013032200020004400_P2.jpg
1. 개요
2. 상세
3. 누구의 소행인가?
3.1. 북한 사이버 공격설
3.2. "Whois" 해커집단 공격 설
4. 정부의 발표
5. 이후의 대처
5.1. 책임 공방
5.2. 기타


1. 개요[편집]


2013년 3월 20일 문화방송, 한국방송공사, YTN 등 주요 방송사와 은행, 카드 회사 등의 전산망이 마비되었던 사건.


2. 상세[편집]


2013년 3월 20일 오후 2시 10분경부터 주요 방송사들의 컴퓨터가 일제히 작동을 멈췄다. 직원들의 PC는 정상작동중에 재시작이 필요하다는 안내로 재부팅을 요구하거나 갑자기 재시작이 되었는데 이후에 부팅이 안되고 작동을 멈춘 채 재부팅하라는 메세지만을 띄우고있는 막장 상황이다.[1] 여러 보도 등을 볼 때 공격의 징조가 보이기 시작한 시각은 좀 더 이른 시각으로 보인다. 오묘하게도 모두 공기업이거나 공기업과 관련된 곳이었고, 마비사태에서 비껴간 SBSSBS 8 뉴스를 통해 자사에 대한 공격을 방어한 것인지, 아니면 아예 공격 자체가 없었는지를 알아보고 있다고 밝혔다.

비슷한 시간, NH농협은행, 신한은행 서버에도 문제가 생기기 시작했고 얼마 지나지 않아 신한은행 모든 전산이 마비되며 창구거래, ATM 거래가 모두 중단되었다. 신한은행에 계좌를 둔 체크카드[2]들의 결제도 당연히 멈췄으며 신한은행의 계열사인 제주은행도 당연히 모든 거래가 멈췄다. 농협도 같은 시점에 외부공격에 의한 전산이상을 포착하고 2년 전에 털려서 피본 적이 있기 때문에 초기단계에 내부 전산망을 직접 차단시키고 모든 거래를 중지시켜서 일부 회원농협의 장애를 제외하면 거래는 정상적으로 이루어졌다. 우리은행악성코드 공격이 아닌 DDoS 공격을 받았으나 내부보안망으로 방어해냈다. 한편, 동종업계의 소식을 들은 외환은행 등 타 금융사들도 내부점검과 긴급거래중지 등의 대응을 취했고, 농협손해보험 및 농협생명보험의 일부 데이터도 삭제된 것으로 알려졌다. 다만 인터넷 거래는 모든 은행에서 별 탈 없이 이루졌다고 한다.

동시에 LG유플러스의 그룹웨어도 해킹당했다는 사실이 알려졌다. 그룹웨어는 보통 내부 인트라넷으로만 연결되므로 외부해킹에 의해 장악당한 컴퓨터를 통한 2차 해킹이라는 것이 중론이다. 문제는 해킹당한 3사가 LG유플러스의 통신망을 이용하고 있었다는 것이 알려지면서 LG유플러스가 해킹당하고 이를 토대로 방송사/은행망 해킹 공격이 이루어진거 아니냐는 의문이 생기기도 했다.

이런 현상들이 동시 다발적으로 이루어졌다는 점에서 고의적인 공격 가능성은 거의 확실시 되는 상황. 경찰은 주요 피해기업에 조사인력을 파견했고, 군 또한 정보작전방호태세를 3단계로 격상하여 상황을 예의주시하였다.

특이하게도 이번 공격은 디도스 공격이 아니라 악성코드를 통해 이루어진 것으로 추정되었다. # 보안업체 등에서는 사건 전 주부터 MBC.EXE KBS.EXE라는 파일이 돌아다녔다고 밝히고 있으며 이러한 것이 계획된 고의 공격의 증거인 것으로 보인다.

또한 디도스 공격은 아니지만 좀비 피시의 말로처럼 피해 PC들에게 자살 명령을 내리는 코드가 숨겨진 것으로 알려지고 있어 졸지에 업무가 마비된데다 자료까지 날아가게 생긴 방송사와 주요 기업들은 멘붕에 빠졌다. ## 기사 송고와 방송편집이 한창 진행 중인 컴퓨터의 MBR을 순간적으로 모두 날려 봤습니다.


3. 누구의 소행인가?[편집]


최대한 객관적인 자료와 중립적인 자세에서 현 시점에서 판명된 사실을 중심으로 집필할 필요가 있다.

3.1. 북한 사이버 공격설[편집]


북한과의 관련성은 아직 밝혀지지 않았으나 외신들의 반응도 그렇고 대체적인 여론은 역시 북한의 소행일 것으로 추측했다. 물론 아직은 심증의 단계. 3월 21일 해킹파일이 중국 인터넷망을 통해서 유입된 것으로 밝혀졌다. 따라서 주로 중국 인터넷망으로 해외 인터넷 활동을 하는 북한의 소행일 정황적 가능성이라는 분석이 좀 더 탄력을 얻었다.

하지만 다음날인 3월 22일, 전날 방통위에서 중국발 IP라고 발표했던 IP가 중국 IP가 아닌 농협 내부망에서 사용하는 IP였다는 내용을 발표했다. 방통위 발표 중국IP로 오인한 것은 국제인터넷주소관리기구(ICANN)가 중국에 할당한 IP와 일치하였기 때문이었는데 이를 제대로 확인하지 않고 성급하게 발표하는 바람에 혼선을 주었다.

다만 방통위는 누가 저 IP에서 최초로 퍼뜨렸는지 알 수 없다면서 여운을 남겨놨으므로 북한배후설이 완전히 구라로 끝난 것이라고 볼 수는 없다. to be continued

4월 1일 KBS 뉴스광장 보도에서 북한의 해커들과 관련된 증거가 발견되었다고 보도했다. 관련기사
복층 아파트에서 1층은 쓰지 않고 2층 다락방에 니트처럼틀어박혀서 한 달간 컴퓨터 작업을 벌였다고. 그 동안 쓰인 컴퓨터는 최소 다섯 대 이상이라고 한다.

3.2. "Whois" 해커집단 공격 설[편집]


WHOIS라는 해킹그룹에서 자신들의 소행이라고 주장하였다. 이딴놈들한테는 몽둥이가 약이다.

사태 발생일과 동일한 날 감염된 컴퓨터의 부팅영역 부분이 특정한 16진수의 반복으로 덮어쓰여져있는데, 이 헥스코드를 알파벳으로 변환하면 HASTATI라는 문자열이 나온다. 그외에도 PRINCPES(프린시페스)라는 문자열이 발견되었는데 하스타티와 프린시페스는 다름아닌 로마군의 1선 대열, 2선 대열을 의미해서 이게 분석된 시점에서 추가 공격이 있을거라는 심증을 남겼다. #

제3국[3]일 가능성도 있지만 물론 아직은 심증의 단계. 둘 다 어디까지나 가설이고, 아직 정확한 결과는 나오지 않았다.

다음날인 3월 21일, 이번에 피해를 본 6개 기관의 컴퓨터에서 모두 후이즈 팀의 이름이 들어간 악성 코드가 발견되었다는 보도가 나왔다. 이 보도가 사실이라면 일단 일차적 범인은 후이즈 팀이 확실한 것 같고, 남은 것은 후이즈 팀의 정체가 무엇인지, 그리고 북한과의 연계가 있는지를 밝히는 것이 급선무라고 한다.


4. 정부의 발표[편집]


4월 10일, 정부는 이 사태가 북한 정찰총국의 소행이라고 발표하였다. # 북한이 2월 악성코드를 직접 심은 것이라고 한다. 정부는 2월 하순 북한측이 우회 접속 경로로 피해 업체에 악성코드를 심은 사실을 파악했다고 한다. 후이즈 팀은 북한의 소속은 아니지만 북한의 청부를 받고 이런 일을 했을 가능성이 있거나, 혹은 아예 후이즈로 위장하여 악성코드를 심은 짓일 수도 있다.


5. 이후의 대처[편집]



5.1. 책임 공방[편집]



파일:external/image.ahnlab.com/0911273056133166.jpg

서로의 책임을 묻기 위해 자산관리 서버가 보안업체의 기술적 문제로 털렸다 VS 기업이 관리하는 '서버 계정' 관리를 허술하게 했다는 의견이 팽팽히 대립하고 있었으나 4월 9일 mbc의 보도에 의하면 소프트 포럼(Softforum)[4]이라는 제 3자가 튀어나왔다. 드라마 유령에서의 사건실제로 일어났습니다.

사건 발생 하루가 지난 상황에선, 방송통신위원회에서는 업데이트 서버를 통한 악성코드 유포를 원인으로 지목했다. # 이로 인해 공격당한 회사가 보안을 맡긴 업체 하우리, 안랩의 업데이트 서버가 통로가 되었다는 보도가 이루어졌다. # 하지만 해당 업체들에서는 업데이트 서버 해킹이 아닌 해당 악성코드가 백신 프로그램의 구성모듈로 위장해서 들어갔다고 밝혔다. #[5]

그러나 기사내용이 심히 부실하다. 당장 어떤 업데이트 서버가 털렸는지 명확히 밝히지 않았다. 만일 기업뿐만 아니라 인터넷 상에 연결된 모든 클라이언트의 업데이트를 담당하는 안랩이나 하우리 마스터 서버가 털렸다면 V3나 바이로봇 제품군을 이용하는 모든 시스템[6]이 피해를 입는 범국가적 재앙이 일어났을 터이므로[7] 마스터 서버가 털렸을 가능성은 굉장히 희박하다.

그리고 방송통신위원회, 경찰청, 한국인터넷진흥원 등으로 구성된 민·관·군 합동대응팀은 21일 브리핑에서 농협시스템을 분석한 결과 내부에서 사용중인 IP(101.106.25.105)가 백신 소프트웨어(SW)배포 관리 서버 (자산관리 서버, Policy Server)에 접속, 악성파일을 배포했음을 확인했다. 라고 발표했다.

기업같이 인터넷과 단절된 대규모 폐쇄 네트워크가 있는 경우, 자산관리 서버를 지정해서 해당 서버가 특정 포트를 이용해 메인 업데이트 서버와 연결되어 업데이트 파일을 받아온 뒤, 각 클라이언트 PC로 배포한다.[8] 이번 사건은 해당 서버를 해킹해서 관리자 권한을 탈취했거나 농협 전산 사고 처럼 서버를 조작하는 컴퓨터에서 관리자 계정을 탈취한 뒤, 업데이트 할 파일을 자신들이 만들어놓은 악성코드를 업데이트 파일명과 동일하게 이름을 만들어 바꿔치기 해 뿌리도록 한 것이다.

공격 수법은 사건 발생일 이전까지 정상파일로 위장한 악성코드가 백신의 구성모듈으로 위장해서 방송사와 금융회사로 침투해서 대기타고 있다가, 사건 발생일에 명령을 받아 전산망 마비를 일으키고 마스터 부트 영역(MBR) 파괴, 드라이브 파티션 정보 파괴의 증상을 발생시킨 지능형지속공격(APT)으로 보인다. 확실한 공격을 위해 각 기업마다 다른 악성 코드를 유포하여 사용한것도 확인되었다. #

무결점 검사를 하지 않아서 이런 사태가 벌어졌다는 의견이 있으나, 무결점 검사는 클라이언트에서 위변조가 발생하면 서버의 자료를 가지고 하는 것이다. 일단 자산관리서버의 관리자 권한이 탈취되어 패치관리시스템이 위조되어 버리면, 안랩 마스터 서버와 직접 연결할 수 없는 기업 내의 시스템은 무결점 검사로는 답이 없다.

보안업체의 해명으로는 "해당 기업에서 관리하는 자산관리 서버(혹은 업데이트관리서버 - PMS) 관리자 계정이 탈취당했고, 자산관리 서버는 보안솔루션 서비스를 받는 기업 내에 있으니 우리 책임이 아니다" 라고 하는 상황. 이와 별개로 합동조사팀은 해당 서버가 보안 업체에서 구축한 시스템 상의 허점 때문에 뚫린 것이 아닌지 조사하였다.

MBR을 삭제시도하려는 의심행위 동작을 감지할 수만 있었다면 이 사태까지 이어지진 않았을 것이라는 점에서 아쉽긴 하다. 로 끝날 줄 알았으나...

4월 9일 mbc 보도에 의하면 소프트포럼의 업데이트 서버의 관리자 계정이 탈취당해 악성코드가 삽입되었다. 이 말은 인터넷뱅킹, 전자상거래, 민원업무를 한번이라도 했다면 백도어가 설치되어 있다는것.[9] 그리고 안랩은 괜히 까였다... 국가정보원 주재로 민관 긴급대책회의를 열고 제큐어웹 대처 방안 등을 논의할 예정일 정도로 사태는 심각하다. 2013년 6월 KISA에서는 제큐어웹의 보안취약점으로 인해 원격실행, 좀비pc에 악용될수 있다고 경고했다. 게다가 "해당 취약점을 악용한 침해사고가 발생하고 있어, 적극적인 대처 필요" 라고 한다. KISA 제큐어웹 취약점 공지

5.2. 기타[편집]


  • 마비사태로 지연된 업무를 처리하기 위해 농협은행과 신한은행 등은 업무시간을 각각 17시, 18시 등으로 연장하였다.

  • 신한은행 전산망이 뻗어버리면서 신한은행에 계좌가 연결된 신한 나라사랑카드를 통한 결제가 완전히 먹통이 되어 현금을 가지고 있지 않았던 국군 장병들이 불편을 겪었다.

  • 2013.03.21 01:08 기준 iMBC.com과 YTN.co.kr은 복구되었지만 KBS.co.kr은 불통이었다. 계속 공격을 받아서 마비상태인게 아니고 KBS 측에서 웹서버를 막아뒀기 때문이다.

  • MBC는 전산망 마비로 인해 문자 사연이나 라디오 플레이어 사연을 받지 못하니 실시간 사연을 팩스, 또는 휴대전화로 받아서 라디오 방송을 했다.[10]

  • KBS는 PC스크린에 대본을 띄우질 못해 DJ 옆에 작가들이 붙어앉아 실시간으로 대본을 써서 방송했다고 한다.
KBS 각종 방송을 볼 수 있는 페이지인 K.KBS.CO.KR 이나, 아이폰 앱 K FOR Iphone참고 안드로이드 앱인 K참고 등이 전산망 장애로 막혔다는 메세지를 볼 수 있었으나, 이는 3월 25일 00시를 기준으로 정상 작동되었다. TV는 없고 스마트폰과 태블릿밖에 없던 이들에겐 이마저도 불능이 되자 한동안 충격을 일으켰으나, 3월 25일자를 기준으로 정상 작동되었다.

  • 2013.03.20 YTN의 전산망 마비로 정상적인 TPEG 정보 송출을 하지 못하여 YTN TPEG을 사용하던 파인드라이브 일부 제품에서 문제가 발생하였다. 정상적이지 못한 데이터를 수신하여 DMBD.EXE 오류 및 제품이 멈추는 등의 여러 문제가 다수 발생하는 것. 그리고 다음날인 21일 파인드라이브는 YTN TPEG 서비스를 YTN이 정상화될 때까지 일시 중단시켰다. 그후 3월 22일 오전 5시 30분 부터 YTN TPEG이 복구되어 CTT, CTT-sum, RTM은 정상 송출 중이나 www.4drive.co.kr은 아직 접속이 불가능하다. 3월 29일 드디어 4drive 사이트로 접속이 가능해졌다. 그리고 TPEG은 뉴스를 제외한 나머지 기능들이 정상화 되었다고 한다.


파일:크리에이티브 커먼즈 라이선스__CC.png 이 문서의 내용 중 전체 또는 일부는 2023-10-18 06:13:19에 나무위키 3.20 전산망 마비사태 문서에서 가져왔습니다.

[1] 마스터 부트 레코드, MBR이 파괴된 것으로 보인다.[2] 신한카드, 삼성카드, 롯데카드[3] ("whois")의 화면으로 쓰인 해골 사진 템플릿은 과거 유럽 등의 외국 해커들도 썼다.[4] 보안 프로그램 제조회사이다. Xecureweb이라는 프로그램을 한 번쯤은 들어보았을 것이다.[5] MBC와 신한은행, 농협이 안랩의 보안 솔루션인 V3를 이용하고 있으며, KBS와 YTN은 하우리의 바이로봇을 이용중인 것으로 확인되었다.[6] 국내 상당수의 공공기관과 기업들이 안랩과 하우리의 솔루션을 이용하는데, 이는 국내 업체라는 점이 크다.[7] 사실은 업데이트에 인증서 확인 과정이 있으므로 바이러스는 설치되지 않는다. 이를 무력화시킬 방법이 있다면 또 몰라도.[8] 인터넷 말고도 악성코드가 유포되는 경로는 매우 많기 때문에 폐쇄 네트워크에 물려있는 시스템이라도 백신은 필요하다.[9] 'xecureweb (제큐어웹)' 엑티브X 보안프로그램은 현재 금융권 절반 이상이 쓰고 있고 2천만대 가량의 일반 PC에 깔려있다. 인터넷에서 결제를 하려할때 시계 옆에서 회색 자물쇠 아이콘으로 나타나는 그 프로그램.[10] 최초 테러 당시 생방송중이었던 MBC FM4U두시의 데이트 주영훈입니다에서도 방송 도중 관련 소식을 전했으며, mini 게시판, 문자 게시판을 컴퓨터로 보지 못해 스마트폰을 보면서 방송하고 있다고 밝혔다. 진행자 주영훈도 이런 식으로 방송하는 건 처음(...)이라며 황당해했다.