러시아 해커, 평창올림픽 2개월 전부터 수백곳 해킹 시도

신진호 2020. 10. 21. 09:11
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

[서울신문]

평창동계올림픽 해커 수배 - 2018년 평창동계올림픽 당시 해킹을 주도했다고 미국 연방수사국(FBI)이 지목한 러시아 해커 6명의 수배 명단. 2020.10.21 EPA 연합뉴스

평창동계올림픽 해커 수배 - 2018년 평창동계올림픽 당시 해킹을 주도했다고 미국 연방수사국(FBI)이 지목한 러시아 해커 6명의 수배 명단. 2020.10.21 EPA 연합뉴스

올림픽 후원사에 가짜 이메일…IT업체 전산망 공격
‘서울버스’, ‘네이버·다음 메일’ 가짜 앱 만들기도

2018년 평창동계올림픽 당시 해킹 사태를 일으킨 것으로 드러난 러시아 군 정보기관 해커들이 올림픽 개막 2개월 전부터 범행을 준비했던 것으로 파악됐다.

이들은 전산망 침입을 시도하고, 가짜 이메일과 악성 모바일 앱 등 다양한 수단을 동원해 수백 곳을 대상으로 정보를 빼내려 한 것으로 드러났다.

20일(현지시간) 미국 법무부가 공개한 공소장에 따르면 미국 당국이 기소한 러시아 해커 6명은 평창올림픽이 열리기 두어 달 전부터 해킹 준비에 착수했다.

IOC의 ‘러시아 도핑 제재’ 직전부터 해킹 준비 착수

이들은 러시아 정부 주도의 도핑 시도와 관련, 국제올림픽위원회(IOC)가 러시아를 제재하기 직전인 2017년 11월 초쯤 범행을 준비, 12월 전후 본격 행동에 나섰다.

주된 대상은 IOC와 평창올림픽 당국, 후원기업인 ‘올림픽 파트너’ 등이었다.

해커들은 IOC와 IOC 위원장이 보내는 것처럼 꾸미는 등 관계기관을 위장한 스피어피싱 이메일을 IOC 위원, 관련 단체, 기업 등 수백 곳에 보냈다. 스피어피싱이란 특정 단체나 개인을 목표로 악성 프로그램을 첨부한 이메일을 발송해 정보를 빼내는 수법이다.

이들은 2017년 12월 4일 올림픽 파트너의 취약점 파악을 위한 온라인 정찰을 한 뒤 6∼7일 ‘추가 협력 제안’이라는 제목의 이메일 28건을 약 220개 주소로 보냈다.

이들은 5개의 올림픽 파트너 측에 약 78개의 한국어 이메일도 보냈다. 옛 국민안전처를 사칭해 악성 파일이 첨부된 ‘속보-지진’이라는 내용도 있었다.

12월 13일에는 대한체육회와 한국올림픽위원회, 한국전력, 공항 등의 웹사이트 취약점 연구에 나섰다.

12월 19일에는 평창올림픽 조직위에 서비스를 제공하는 정보기술(IT) 회사의 전산망 훼손을 시도, 21일쯤 네트워크를 손상하는 데 성공하기도 한 것으로 조사됐다.

또 농림축산식품부 웹사이트를 모방해 만든 서브 도메인 링크 이미지가 포함된 피싱 이메일을 만들고, 한국 국가 대테러 센터가 보내는 것처럼 허위 이메일을 뿌렸다.

해커들은 악성 소프트웨어가 가동되는 모바일 애플리케이션(앱)을 만들기도 했다.

이들은 2017년 12월 11일쯤 ‘서울 버스 트래커’라는 앱을 만들어 앱 스토어에 등록했으나 다운로드가 이뤄지기 전에 탄로가 나면서 사용 정지된 것으로 조사됐다.

12월 25일쯤 이메일 서비스를 모방한 ‘한메일’ 앱도 만들었으나 역시 정지됐다.

이후에도 ‘네이버 메일, 다음 한메일’ 앱을 2018년 1월 6일 공개했지만, 사용이 중단됐다. 다만 이 앱들은 47개 계정 이용자가 설치한 것으로 파악됐다.

해커들은 2018년 1월에는 올림픽 주최 측을 위장해 참가 선수 등에게 ‘호텔 숙박 조건’, ‘호텔 단지의 달라진 생활 조건’ 등이 적힌 스피어피싱 이메일을 보냈다.

개막일 서버 재부팅되고 홈페이지 접속 장애 등 일으켜

올림픽 개막일인 2018년 2월 9일 올림픽 지원 IT 기업 서버와 직원 노트북이 재부팅되는 현상이 일어난 것도 악성코드 침투 결과로 조사됐다.

평창올림픽 개막식 당시 조직위원회와 주요 파트너사들이 사이버 공격을 받고 메인프레스센터에 설치된 IPTV가 꺼지고 조직위 홈페이지에 접속 장애가 발생했다. 국내 서버 50대가 파괴됐고, 총 300대가 영향을 받았다.

이로 인해 조직위 서비스 인증 서버와 데이터베이스 서버가 파괴되면서 수송·숙박·선수촌 관리·유니폼 배부 등 4개 영역 52종의 서비스가 중단됐고, 밤샘 복구작업을 통해 12시간 만에 정상화됐다.

해당 사건을 추적하던 당국은 당시 해킹이 정보 탈취보다는 시스템 파괴를 목적으로 이뤄진 것으로 보인다며, 공격 주체가 “북한은 아닌 것 같다”고 밝힌 바 있다.

평창올림픽 개막 두 달 전 IOC는 2014년 소치동계올림픽에서 국가 차원의 주도로 광범위한 도핑 조작을 일삼은 것으로 드러난 러시아에 올림픽 출전을 금지하는 중징계를 내렸었다. 이 때문에 러시아 선수들은 러시아 국기를 달지 못하고 대신 ‘러시아 출신 올림픽 선수’라는 제한적인 신분으로 출전하게 됐다.

신진호 기자 sayho@seoul.co.kr

▶ 밀리터리 인사이드 - 저작권자 ⓒ 서울신문사 -

Copyright © 서울신문. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
서울신문에서 직접 확인하세요. 해당 언론사로 이동합니다.