5개월 동안 인터넷 대신 타자기와 수기 작업

사건 터지자 제일 먼저 투자한 건 ‘사람’

[보안뉴스 문가용] 3년 전 세계에서 가장 큰 기업 중 하나가 대규모 사이버 공격을 받았다. 하지만 최악의 사태는 면할 수 있었다. 발 빠른 복구 작업이 빛을 발했기 때문이다. 당시 보안 복구 작전을 진두지휘한 크리스 쿠베카(Chris Kubecka)는 “복구, 가능합니다”라고 짧게 그때를 회상했다. “당시 공격을 받았던 건 사우디 아람코(Saudi Aramco)라는 세계 최대의 원유 수출회사였습니다. 사고가 발생하고 나서 호출을 받은 제가 해야 할 일은 아프리카, 유럽, 중동에 퍼져 있는 사우디 아람코 사무실 및 지사를 보호하는 거였습니다.”

당시 사우디 아람코를 침투했던 멀웨어는 아람코 본사에 있던 3만 5천 여대의 컴퓨터 하드드라이브를 일부 혹은 전부 삭제하는 기능을 가지고 있었다. 처음 회사 시스템이 뭔가 잘못됐다고 인지하기 시작한 건 2012년 8월 15일로 당시 직원들은 파일이 하나하나 사라지고 있으며 시스템도 하나하나 꺼져가기 시작했다고 증언한다. “커팅소드오브저스티스(Cutting Sword of Justice)라는 해킹 단체가 자신들의 소행이라고 밝혔습니다. 이 공격은 몇 시간 동안 지속됐고 이유는 사우디 아람코가 사우디 아라비아의 왕족과 결탁해 있기 때문이라고 했습니다.”

이상이 발견되자 IT 부서의 직원들이 제일 먼저 한 일은 시스템과 데이터센터를 분리해 내는 것이었다. 멀웨어의 추가 활동을 막기 위한 것이었다. 당시 전문가들은 이 멀웨어를 디스트랙(Distrack) 혹은 샤문(Shamoon)이라고 불렀다. 즉 모든 시스템이 인터넷과 단절되었으며 이는 곧 회사 전체가 오프라인 상태가 되었다는 것과 동일하다.

“현대 사무 환경에서 인터넷이 끊긴 걸 상상할 수 있습니까? 이메일도 안 되고, 전화도 안 되고, 아무런 자료도 찾을 수 없게 되는 겁니다.” 다행히 석유의 생산 자체에는 큰 지장이 없었다. 다만 그 외 나머지 모든 일들은 컴퓨터 이전 시대로 돌아가야만 했다. “종이로 모든 걸 해결했죠. 공급자 관리, 물건 수송 관리, 정부 및 협력 업체들과의 계약서 처리 등 하나부터 열까지 전부요. 그때 저희는 타자기를 들여와 사용했습니다. 오랜만에 팩스도 사용했고요. 당시 팩스기기 구하는 게 무척 어려웠던 기억이 납니다.”

IT 시스템의 셧다운이란 또 지불 시스템의 변화도 의미했다. “석유를 채워줘야 할 차들은 줄을 서 있는데, 그들에게서 돈을 받을 수가 없었습니다. 저희가 돈을 필요한 곳에 낼 수도 없었고요. 석유가 아무리 많으면 뭐합니까. 돈이 유통되지 않으면 모든 것이 멈추죠. 저희가 세계 석유 공급의 10%를 책임지고 있는데, 여기에 갑작스런 위기가 닥친 겁니다.”

재밌는 건 평소 사우디 아람코라는 회사가 산업 통제 시스템 보안에 엄청나게 투자를 해오고 있었다는 것. “하지만 생산 시스템에 비해 상대적으로 사무 환경 시스템은 취약했던 거죠. 그걸 해커들이 노린 것이고, 제대로 먹혔습니다.”

보안에 관심이 적지 않았던 회사라 수사에도 적잖은 투자와 협조가 이루어졌다. 하지만 모든 의문이 깨끗하게 사라진 건 아니다. 아직도 해결되지 않는 의문들이 있다. “일단 당시 공격이 이루어진 시기에 대한 의문이 있습니다. 라마단 기간이라는, 이슬람 문화권을 노리는 공격자라면 당연히 생각해봄직한 시기에 실제 공격이 일어났는데요, 아직도 최초의 스피어피싱 공격은 언제 일어났는지는 밝혀지지 않았습니다. 언제 어떤 공격을 했길래 실제 공격이 라마단에 딱 맞게 이뤄졌는지가 신기했고, 아직도 궁금합니다.”

하지만 그런 의문들을 모두 해결하는 것보다 회사 시스템을 재가동시키는 게 급선무였다. 아람코 측에서는 국제적인 전문가들을 다 끌어 모았다. 쿠베카 자신도 네덜란드에서 한창 활동 중에 제안을 받았다고 한다. 아람코의 요청으로 사우디 아라비아로 날아온 전문가들은 새롭게 사이버 보안 팀을 만들고 작전지휘본부까지 마련했다. 회사 시스템을 계속해서 감시하고 공부해가면서 최대한 빠르게 아람코의 네트워크 환경을 이해했고, 이해가 선결되고 나서는 ‘보안’을 보다 능동적으로 해나가기 시작했다.

“제일 먼저는 아람코 사내 IT 부서와의 긴밀한 협력 체계를 만들었습니다. IT 기술과 정보보안 기술은 완전히 다르지만, 완벽한 보안이란 건 IT 기술과 보안 기술 모두를 요하는 거니까요.” 하지만 그것만으로 지워진 시스템들이 다시 복구될 리는 없었다. “당시 상황에서 복구란 엄청나게 값비싼 작업이었습니다. 일단 세계 곳곳에서 전문가들을 모아서 보안 센터를 따로 만든 것부터가 이미 천문학적이라고 할 수 있는 투자였죠. 하지만 아무리 생각해보아도 그건 굉장히 현명한 일이었습니다. 보안은 사람이 하는 것이기 때문입니다. 사람에 아끼는 건 매우 우매한 짓입니다.”

물론 작은 회사들에게 이런 여유가 없는 걸 쿠베카도 잘 이해하고 있다. “아람코야 워낙 돈이 많았던 곳이라 최대한 많은 인원을 빠르게 불러 모을 수 있었죠. 하지만 해킹 사건들이 전부 이렇게 호화로운 라인업이 필요한 건 아닙니다. 중요한 건 ‘사람이 필요하다’는 걸 이해하고 있어야 한다는 거죠. 투자 가능한 금액이 얼마인가 파악해서 그 안에서 가장 알맞은 사람을 먼저 세운다는 건 문제 해결의 첫 걸음입니다.”

또 중요한 건 ‘협업을 원활하게 하는 환경 조성’이라고 쿠베코는 강조한다. “그때로 돌아갈 수 있으면 좀 더 잘 할 수 있었겠다 싶은 게 바로 협업 부분입니다. 이는 아람코의 기업 환경을 잘 이해하지 못해서 생긴 문제이기도 합니다. 기업마다 각자의 분위기란 게 있거든요. 결정이 내려지는 과정이라든가 하는 것들이요. 그런 걸 좀 더 잘 이해했다면 어땠을까 하는 아쉬움이 있습니다.”

사우디 아람코의 연간 수익은 한 국가가 한 해 동안 걷는 세금과 비슷하다고 한다. 복구 작업이 성공적일 수 있었던 건 그런 혜택 받은 환경 덕분이기도 하다. “새로운 하드드라이브를 사고, 새로운 컴퓨터를 만 단위로 구매하는 게 이들에게는 푼돈 쓰는 거였죠. 아시아, 아프리카, 유럽에 있는 지부에 급한 일이 있을 땐 사설 비행기에 직원을 태워서 파견보내기도 했습니다. 사실 당시 아람코가 컴퓨터를 굉장히 많이 갑작스레 사들인 덕분에 세계 시장에서 컴퓨터 값이 살짝 올랐습니다. 2012년 9월부터 2013년 1월 사이에 컴퓨터를 구매하신 분들은 아람코 때문에 조금 손해를 봤다고 해도 전혀 과장이 아닙니다.”

하지만 작은 회사라면 어떻게 대처해야 할까? “아람코는 돈이 있었으니 컴퓨러를 그렇게 대량으로 사들인 거지만, 사실 멀웨어에 의해 삭제된 하드웨어를 포맷해서 새롭게 사용할 수도 있었습니다. 다만 사용이 가능한 하드웨어를 골라내는 작업에 시간이 들긴 합니다.” 아람코는 돈보다는 시간이 중요하다고 판단한 것.

그렇게 돈을 쓰고 시간을 아껴도 사우디 아람코의 사무 시스템이 다시 온라인화 되기까지는 5개월이 걸렸다. 5개월 동안 세계 최대의 석유회사가 잠시 느린 가동을 할 수밖에 없게 된 것이다. “복구에 성공하긴 했다는 것에 의의가 있습니다. 돈을 쏟아 붓고 여러 전문가들이 모였지만 쉽지 않은 작업이었고요. 중요한 건 돈 대신 시간을 조금 더 투자해도 복구가 가능하다는 교훈을 얻은 겁니다. 회사 전체 시스템을 오프라인화 해서 사업을 진행한 결정, 알맞은 전문가를 급하게 불러모았다는 것이 복구에 큰 도움이 되었다는 건 변함이 없습니다. 돈은 속도만 높였을 뿐입니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>