아시아나항공, 왜 해커의 먹잇감이 됐나?

실시간
뉴스

침해사고/위협동향

아시아나항공, 왜 해커의 먹잇감이 됐나?

디지털데일리 발행일 2017-02-21 08:10:17

최민지

URL복사

[디지털데일리 최민지기자] 아시아나항공 홈페이지가 복면 쓴 사내 사진으로 뒤덮였다. 해커의 농간이었다. 지난 20일 새벽 4시35분경 아시아나항공 홈페이지는 사이버공격을 받아 해당 웹사이트에 접속하면 핵티비즘(Hacktivism)을 연상케 하는 다른 페이지로 연결됐다.

해커들은 금전적 이유 또는 정보 유출만을 사이버공격 목적으로 삼지 않는다. 정치적 메시지 전달, 자신의 실력을 과시하기 위해 해킹을 감행하기도 한다. 이번 사태는 후자 쪽에 가깝다.

이번에 해커는 직접적으로 해당 기업 서버를 타깃하지 않고, DNS(도메인네임시스템)를 통해 공격하는 방식을 택했다. 아시아나항공 홈페이지 IP주소와 도메인(flyasiana.com)을 연결해주는 DNS를 노린 것.

이번 사태로 아시아나항공은 이미지 실추를 겪고 있다. 지난해 7월 아시아나항공은 홈페이지 내 ‘고객센터 FAQ’에서 일부 고객의 여권·주민등록번호 등 개인정보가 포함된 자료를 노출했다. 이에 방송통신위원회는 과태료 1000만원을 부과하며 무방비한 개인정보 관리를 지적한 바 있다.

이후 7개월만에 해커의 공격을 받아 웹사이트가 불통되는 사건이 발생했다. 고객들은 발권·예매 등의 불편을 겪어야만 했다. 미래창조과학부와 한국인터넷진흥원, 경찰은 아시아나항공에 대한 조사를 착수한 상태다.

개인정보 유출 가능성은 낮은 것으로 보인다. 이번 홈페이지 해킹의 범인이라고 스스로 주장하는 해커 ‘Kuroi’SH and Prosox’도 트위터를 통해 “재미삼아 한 공격이며, 고객 정보에는 손대지 않았다”는 트윗을 게시했다. 이 공격자는 2015년부터 구글·나사 홈페이지를 공격한 사진 등 다양한 해킹사례를 소셜네트워크서비스(SNS)에 게재하는 것으로 알려졌다.

◆도메인 보안 논란 수면 위로=도메인기업 후이즈는 DNS 서버 해킹이 아닌 DNS 정보 변조 가능성이 크다고 밝혔다. 사고 당일 ‘flyasiana.com’의 네임서버인 ‘NS01.ASIANAIDT.COM’이 갑자기 ‘ns1-OO.OOOO.com’이라는 정체불명의 네임서버로 변경됐기 때문이다.

정상적인 네임서버 ‘NS01.ASIANAIDT.COM’은 아시아나항공 계열사인 ‘아시아나IDT’의 네임서버다. 변경된 네임서버는 등록자나 관리주체가 확인되지 않는다.

DNS는 도메인을 실제 이용하는데 필요한 모든 정보를 담고 있다. 도메인에 설정된 네임서버 정보를 임의로 변경하면 홈페이지 변조뿐 아니라, 도메인으로 운영 중인 모든 서비스를 중단시키는 피해를 입힐 수 있다.

후이즈 측은 “도메인 등록업체의 등록관리시스템이 해킹됐을 수 있고, 등록업체를 이용하는 아시아나항공 도메인 관리자의 도메인관리 계정이나 e메일 계정이 해킹됐을 수도 있기 때문에 정확한 해킹 경로는 수사기관이 좀 더 파악해야 하겠지만, 일단 도메인 관리상의 보안 취약점이 원인으로 판단된다”고 말했다.

또한, DNS의 핵심 소프트웨어인 ‘바인드’에 대한 보안패치를 제대로 수행하지 않은 것 아니냐는 지적도 제기된다. 통상적으로 1년에 한 두 번씩 바인드 프로그램에 대한 취약점이 공개되는데, 보안패치를 즉각 하지 않을 경우 외부로부터의 위협에 대응하기 어렵다는 설명이다.

보안업계 관계자는 “보안패치를 하지 않아 DNS 서버가 취약해졌을 가능성도 있다”며 “아시아나항공의 하위 도메인들도 모두 해킹당한 것을 봤을 때 DNS 서버를 확실하게 공격했다는 증거”라고 강조했다.

공격자들이 DNS·호스팅 업체를 눈독들이는 이유는 한 번에 많은 타깃을 검색할 수 있어서다. 해당 업체 공격에 성공한다면, 이곳을 이용하는 수많은 고객들에게 접근할 수 있는 경로가 열리는 셈이다. 2013년 청와대와 국무조정실을 비롯해 43여개 민간기관 홈페이지를 변조한 6.25 디도스(DDoS) 사이버공격에서 정부통합전산센터 DNS 서버를 공격한 사례만 봐도 알 수 있다.

이와 관련 또 다른 보안업계 관계자는 “웹서버 또는 DNS 서버를 운영하는 곳은 인터넷을 지원하는 1차 관문이기 때문에 보안에 더 투자하고 신경을 써야 한다”고 꼬집었다.

◆해커들이 노리는 항공사, 보안 철저히 해야=아시아나항공의 경우, 해커가 원하는 페이지로 바꾸는 디페이스(deface) 공격 사례다. 2013년 청와대 해킹 사건 당시 사이트 메인 페이지에 “통일 대통령 김정은 장군님 만세”라는 글씨와 함께 홈페이지가 변조된 것과 같은 경우다.

이러한 디페이스 공격은 보통의 경우 보안투자 규모가 상대적으로 큰 대기업보다 소규모 업체들을 대상으로 주로 실시된다. 하지만, 이번에는 DNS 업체를 통해 우회적으로 아시아나항공에 접근했고 불특정다수가 아닌 특정 타깃을 정한 공격으로 추정된다.

아시아나항공은 한국 사이트뿐 아니라 다국적 언어로 하위 사이트들을 운영하고 있다. 이 사이트들도 모두 해킹 피해를 입었다.

보안업계 관계자는 “이번 해킹 사태의 주범으로 추정되는 해커가 직접적으로 트위터를 통해 아시아나항공을 언급했고, 한국어 서비스뿐 아니라 하위 홈페이지들을 모두 변조한 것을 봤을 때 다국적 서비스를 인지한 것”이라며 “고의적으로 특정 기업을 대상으로 했다고 볼 수 있으며, 자동화 공격은 아닌 것으로 추정된다”고 주장했다.

이어 “아시아나항공뿐 아니라 스페인 이베리아항공에 대해서도 디페이스 공격 관련 문구를 사용한 정황이 확인됐다”며 “다른 항공사 웹페이지에 대해서도 의도적인 해킹을 시도한 것 아니냐는 예측이 나올 수 있다”고 덧붙였다.

항공사 해킹은 이번이 처음은 아니다. 항공사와 공항은 해당 국가를 연상시키는 상징에 가깝다. 사이버공격 후 파장이 클 수밖에 없어, 해커들의 주요 먹잇감 중 하나로 꼽힌다.

이스라엘 엘 알 항공은 아랍계 해커들로부터 공격을 받은 바 있고, 유나이티항공 소속 여객기는 해킹으로 상공에서 기울어지는 아찔한 순간을 맞았다. 말레이시아항공 웹사이트는 IS 추종세력으로 예상되는 해커집단에게 해킹을 당해, 아시아나항공처럼 메인 페이지 화면이 변조됐다.

보안업계 관계자는 “실력을 과시하거나, 정치적 목적을 갖거나, 취약점을 알려주려는 등의 다양한 의도로 해킹을 하는 젊은 세대 공격자들이 많다”며 “국내 소행이 아니라면 사실상 범인을 잡을 확률은 희박하며, 보안에 좀 더 신경을 쓸 수밖에 없다”고 제언했다.

<최민지 기자>cmj@ddaily.co.kr