Day 47: 실무 사례 #7 - 3.20 사이버테러 (2013)
[ 1. 사건 개요 ]
기본 정보
- 피해 기관 : 방송사 3곳 (KBS, MBC, YTN), 금융사 3곳 (신한은행, 농협, 제주은행)
- 발생 시기 : 2013년 3월 20일
- 사건 유형 : APT 공격 + 데이터 파괴 + 동시 다발 테러
- 마비 기간 : 약 2 - 3일
- 피해 규모 : 약 48,000대 PC 및 서버 파괴
사건 요약
- 북한 해커 조직으로 추정되는 공격자가 방송사 3곳과 금융사 3곳을 동시에 공격하여 약 48,000대의 PC와 서버를 파괴했다.
- 악성코드가 동시에 실행되어 MBR (Master Boot Record)를 파괴하고 데이터를 삭제했다.
- 방송은 일부 중단되었고, 은행 영업은 2 - 3일간 마비되었다.
- 2011년 농협 사건에 이은 대규모 사이버테러로 국가 안보 차원의 대응이 필요함을 보여준 사건이다.
[ 1.1 상세 경위 ]
공격 시점 : 2013년 3월 20일 오후 2시 (동시 다발)
공격 대상
- 방송사 : KBS (한국방송공사), MBC (문화방송), YTN (연합뉴스TV)
- 금융사 : 신한은행, 농협은행, 제주은행
공격 방법
1. 사전 침투 (수개월 전)
- APT 공격으로 내부망 침투
- 백도어 설치, 관리자 권한 탈취
2. 악성코드 배포
- 파일 공유 서버, 백신 업데이트 서버 등 장악
- 악성코드를 정상 파일로 위장하여 배포
3. 시한 폭탄 (Logic Bomb)
- 2013년 3월 20일 오후 2시에 동시 실행되도록 설정
4. 동시 다발 파괴
- 오후 2시 정각, 6개 기관에서 동시에 악성코드 실행
- MBR 파괴, 데이터 삭제, 시스템 부팅 불가
파괴 수단
- MBR (Master Boot Record) 파괴 : 하드디스크 부팅 영역 파괴, 부팅 불가
- 데이터 파일 삭제 : 중요 데이터 삭제 시도
- 네트워크 마비 : 일부 네트워크 장비 공격
피해 규모
- 총 파괴된 PC 및 서버 : 약 48,000대
- KBS : 약 4,000대
- MBC : 약 4,000대
- YTN : 약 2,000대
- 신한은행 : 약 2,800대
- 농협은행 : 약 1,100대 (2011년 재발)
- 제주은행 : 약 300대
- 기타 시스템 : 약 33,800대
[ 1.2 타임라인 ]
2012년 - 2013년 초
- 북한 해커 조직, 6개 기관 내부망 침투 (APT 공격)
- 수개월간 은밀히 잠복, 백도어 설치, 관리자 권한 탈취
2013년 3월 중순
- 악성코드 배포 준비, 파일 공유 서버 및 백신 업데이트 서버 장악
2013년 3월 20일 14:00
- 악성코드 동시 실행 (6개 기관), 약 48,000대 PC 및 서버 MBR 파괴
2013년 3월 20일 14:10
- KBS, MBC, YTN 방송 일부 중단, 컴퓨터 화면 먹통
2013년 3월 20일 14:20
- 신한은행, 농협, 제주은행 영업 중단, ATM 및 인터넷뱅킹 중단
2013년 3월 20일 15:00
- 금융감독원 보고, 방송통신위원회 보고, 경찰 신고, 국정원 참여
2013년 3월 20일 18:00
- 정부 긴급 대책 회의 (국무총리 주재)
2013년 3월 21일
- 피해 범위 확인, 복구 작업 시작, 전 직원 동원, 외부 전문가 투입
2013년 3월 24일
- 대부분 서비스 복구 완료 (4일 만)
2013년 4월
- 검찰 발표 : 북한 정찰총국 소행 확정
[ 2. 법률 분석 ]
[ 2.1 적용 법률 ]
주요 법률
1. 정보통신기반보호법 (핵심)
2. 정보통신망법
3. 전자금융거래법
4. 형법
방송사, 금융사는 국가 주요기반시설이며, 해킹 및 데이터 파괴, 북한 해커(국가 배후) 행위에 적용된다.
[ 2.2 주요정보통신기반시설 침해 ]
법적 근거 : 정보통신기반보호법 제14조 (벌칙)
조문
- 주요정보통신기반시설에 대하여 전자적 침해행위를 한 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
해당 사항
- 방송사 (KBS, MBC, YTN) : 방송 분야 주요정보통신기반시설 (방송통신위원회 지정)
- 금융사 (신한은행, 농협, 제주은행) : 금융 분야 주요정보통신기반시설 (금융위원회 지정)
침해행위
- 정당한 권한 없이 정보통신기반시설에 침입
- 악성프로그램 전달 및 실행
- 데이터 파괴, 시스템 파괴
처벌 : 10년 이하 징역 (가장 무거운 사이버 범죄 처벌)
실제 처벌 : 북한 해커 (국외), 검거 불가, 처벌 없음. 하지만 법적으로는 10년 이하 징역 해당.
[ 2.3 형법 적용 ]
컴퓨터등장애업무방해죄
법적 근거 : 형법 제314조의2
조문
- 컴퓨터등 정보처리장치 또는 전자기록등 특수매체기록을 손괴하거나 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 자는 5년 이하의 징역 또는 1천500만원 이하의 벌금에 처한다.
해당 사항
- 약 48,000대 PC 및 서버 파괴, 방송 중단, 금융 영업 마비
재물손괴죄
법적 근거 : 형법 제366조
조문
- 타인의 재물, 문서 또는 전자기록등 특수매체기록을 손괴 또는 은닉 기타 방법으로 그 효용을 해한 자는 3년 이하의 징역 또는 700만원 이하의 벌금에 처한다.
해당 사항
- MBR 파괴, 데이터 삭제
[ 2.4 피해 기관의 책임 ]
안전성 확보 조치 의무
법적 근거 : 정보통신기반보호법 제9조 (취약점 분석·평가 등)
조문
- 주요정보통신기반시설의 관리기관의 장은 그 시설에 대하여 취약점 분석·평가를 매년 1회 이상 실시하여야 한다.
피해 기관 위반 사항
1. APT 공격 탐지 실패 : 수개월간 해커 잠복, 침입탐지시스템 (IDS) 미흡
2. 백신 업데이트 서버 장악 허용 : 내부 시스템 보안 취약
3. 백업 시스템 취약 : 백업 서버도 일부 파괴, 복구 지연
처벌
- 정보통신기반보호법 제16조 (과태료) : 제9조 위반 시 3천만원 이하 과태료
실제 제재
- 금융감독원 (금융사) : 시정명령, 경고
- 방송통신위원회 (방송사) : 시정명령, 보안 강화 권고
- 북한 공격 = 불가항력 측면이 있으나, 사전 탐지 실패 = 기관 책임
[ 2.5 처벌 및 제재 ]
해커 처벌 : 없음 (북한, 국외)
피해 기관 제재
- 과태료 : 미부과 (또는 미공개)
- 시정명령 : 보안 강화, 취약점 개선, 백업 체계 개선
- 경고 : 탐지 실패 책임
기관 자체 손실 추정
- 복구 비용 : 약 500억원 (6개 기관 합산)
- 시스템 교체 : 약 1,000억원
- 보안 강화 : 약 2,000억원
- 총 직접 비용 : 약 3,500억원 + 간접 비용 수천억원
[ 3. 기술적 분석 ]
[ 3.1 공격 기법 - APT + 시한 폭탄 ]
APT (Advanced Persistent Threat) 단계
1. 정찰 (Reconnaissance)
- 6개 기관 시스템 구조 파악, 직원 정보 수집
2. 초기 침투 (Initial Intrusion)
- 스피어 피싱 이메일 (추정), 악성 첨부파일 실행, 내부망 침투
3. 거점 확보 (Establish Foothold)
- 백도어 설치, 원격 접속 통로 확보
4. 권한 상승 (Privilege Escalation)
- 일반 직원 계정 → 관리자 계정, 백신 업데이트 서버 장악
5. 내부 정찰 (Internal Reconnaissance)
- 중요 시스템 파악, 백업 위치 확인
6. 악성코드 배포
- 백신 업데이트로 위장, 정상 파일처럼 배포
7. 임무 완수 (Mission Complete)
- D-Day (3월 20일 14:00), 시한 폭탄 발동
시한 폭탄 (Logic Bomb)
- 정의 : 특정 조건 (시간, 이벤트 등)에 실행되는 악성코드
- 3.20 사건 : 2013년 3월 20일 14:00에 실행되도록 설정, 6개 기관에서 동시 실행
- 목적 : 동시 다발 공격, 혼란 극대화, 복구 자원 분산
[ 3.2 악성코드 분석 ]
악성코드 이름 : DarkSeoul (보안 업계 명명)
주요 기능
1. MBR (Master Boot Record) 파괴
- 하드디스크 부팅 영역 파괴, 부팅 불가, 복구 매우 어려움
2. 파일 삭제
- 중요 데이터 파일 및 시스템 파일 삭제
3. 네트워크 마비
- 일부 네트워크 장비 공격 시도
4. 자기 증식 (Worm)
- 네트워크 공유 폴더를 통해 확산, 최대한 많은 PC 감염
5. 시한 폭탄
- 특정 시각 (3월 20일 14:00)에 동시 실행
특징
- 백신 탐지 회피
- 정상 파일로 위장 (백신 업데이트)
- 은밀한 확산 후 동시 다발 실행
[ 3.3 피해 기관의 보안 취약점 ]
APT 탐지 실패
- 수개월간 해커 잠복, 내부망 침투, 백도어 설치 모두 탐지 못함
- 원인 : IDS/IPS 미흡, 로그 분석 부족, 이상 징후 무시
- 필요한 대책 : 24/365 보안관제센터, SIEM, APT 탐지 솔루션, 정기 포렌식 분석
백신 업데이트 서버 장악
- 내부 백신 업데이트 서버가 악성코드 배포 경로로 악용됨
- 원인 : 백신 서버 보안 취약, 관리자 계정 탈취, 파일 무결성 검증 없음
- 필요한 대책 : 백신 서버 강화, 파일 디지털 서명 검증, 이중 인증
백업 시스템 미흡
- 백업 서버도 일부 파괴, 백업 데이터 일부 손상, 복구 지연
- 원인 : 백업 서버가 동일 망 연결, 에어갭 백업 없음
- 필요한 대책 : 오프라인 백업 (에어갭), 원격지 백업, 백업 테스트 정기 실시
내부 망분리 미흡
- 한 곳 침투 시 전체 시스템 접근 가능
- 원인 : 업무망/관리망 분리 안 됨, 네트워크 세그먼트 부족
- 필요한 대책 : 망분리, DMZ 구축, 제로 트러스트 (Zero Trust)
[ 3.4 사후 보안 강화 조치 ]
APT 탐지 강화
- 24/365 보안관제센터 구축
- SIEM 도입, APT 탐지 솔루션 적용
- 정기 포렌식 분석
백업 체계 개선
- 오프라인 백업 (에어갭) 도입
- 원격지 백업, 백업 주기 단축
- 백업 테스트 정기 실시
망분리
- 업무망/관리망 분리, DMZ 구축, 네트워크 세그먼트
관리자 계정 강화
- 이중 인증 (2FA), 비밀번호 16자 이상
- 권한 최소화, 로그 실시간 감시
국가 차원 협력
- 국정원, 경찰과 협력 체계 구축
- 위협 정보 공유, 합동 훈련
[ 4. 대응 평가 ]
[ 4.1 잘한 점 ]
신속한 신고
- 사고 발생 즉시 정부 보고 (금융감독원, 방송통신위원회, 국정원, 경찰)
- 국가 차원 대응 즉시 가동
총력 복구
- 전 직원 동원, 외부 전문가 투입, 24시간 작업, 4일 만에 대부분 복구
국가 차원 대응
- 국무총리 주재 긴급 대책 회의
- 국정원, 경찰 합동 수사, 북한 소행 확인
[ 4.2 미흡한 점 ]
사전 예방 실패
- APT 공격 탐지 실패 (수개월간 잠복 못 찾음)
- 백신 서버 장악 허용
- 백업 시스템 취약
동시 다발 공격
- 6개 기관 동시 공격, 복구 자원 분산, 혼란 가중
복구 지연
- MBR 파괴는 복구 어려움, 백업도 일부 손상, 4일 소요
[ 5. 교훈 및 시사점 ]
[ 5.1 기술적 교훈 ]
APT 공격은 장기전
- 일반 해킹 : 즉시 공격 vs APT : 수개월 잠복 후 일시에 공격
- 대응 : 지속적 모니터링, 이상 징후 즉시 조사, 로그 분석 (AI 활용), APT 탐지 솔루션
시한 폭탄은 동시 다발 공격
- 여러 곳 동시 공격, 복구 자원 분산, 혼란 극대화
- 대응 : 국가 차원 협력 체계, 백업 철저, DR 센터
MBR 파괴는 치명적
- MBR 파괴 = 부팅 불가, 복구 매우 어려움
- 대응 : 백업 필수, 오프라인 백업 (에어갭), 복구 도구 준비
백신 서버 보안 중요
- 백신 서버 = 신뢰 시스템, 장악당하면 악성코드 배포 경로로 악용
- 대응 : 백신 서버 강화, 파일 디지털 서명, 무결성 검증
백업은 오프라인
- 온라인 백업 = 공격 대상, 오프라인 백업 = 안전
- 대응 : 에어갭 백업, 네트워크 완전 분리, 물리적 격리
[ 5.2 법률적 교훈 ]
주요정보통신기반시설 = 국가 핵심
- 방송, 금융 = 국가 핵심 인프라, 공격 = 국가 안보 위협
- 처벌 : 10년 이하 징역 (가장 무거운 처벌)
사이버 전쟁 (Cyber Warfare)
- 북한 = 국가 배후 공격, 사이버 공격 = 전쟁 수단
- 대응 : 국가 차원 사이버 안보, 국제 협력
취약점 평가 의무
- 정보통신기반보호법 제9조 : 연 1회 취약점 평가 의무
- 위반 시 : 과태료 3천만원, 사고 발생 시 추가 책임
불가항력과 책임
- 북한 공격 = 불가항력 측면이 있으나, 사전 탐지 실패 = 기관 책임
- 교훈 : 불가항력이어도 최선의 예방 노력 필요
[ 5.3 경영적 교훈 ]
피해 규모
- 6개 기관 총 손실 : 약 3,500억원 (직접) + 수천억원 (간접)
- 사전 투자 추정 : APT 탐지 시스템 100억원, 백업 체계 개선 200억원, 망분리 300억원 = 총 600억원
- 3,500억원 vs 600억원 = 약 6배 차이
국가 인프라 책임
- 방송, 금융 = 국민 생활 필수, 단순 기업이 아닌 국가 인프라
- 막중한 사회적 책임, 국가 안보 차원 관리 필요
[ 5.4 국가 안보 관점 ]
사이버 전쟁 시사점
- 3.20 사건 = 북한의 사이버 공격
- 2011년 농협에 이은 2차 공격
- 목적 : 한국 경제 혼란, 국민 불안 조성, 방송·금융 신뢰 추락
- 시사점 : 사이버 안보 = 국가 안보, 방송·금융 = 공격 대상 1순위
국가 차원 대응 (3.20 이후)
- 국가 사이버안전센터 대폭 강화
- 주요기반시설 보호 강화
- 사이버 훈련 정례화 (연 2회)
- 국정원, 국방부 사이버 전담 조직 확대
- 미국, 일본 등과 사이버 안보 협력 및 위협 정보 공유
[ 6. 주요 사이버테러 사건 비교 ]
농협 (2011년 4월)
- 공격자 : 북한 (추정)
- 피해 규모 : 273대 서버, 6,600대 PC
- 마비 기간 : 5일
3.20 사이버테러 (2013년 3월)
- 공격자 : 북한 (확정)
- 피해 규모 : 48,000대 PC/서버 (6개 기관)
- 마비 기간 : 2 - 3일
6.25 사이버테러 (2013년 6월)
- 공격자 : 북한 (추정)
- 피해 규모 : 일부 웹사이트 마비
- 마비 기간 : 수시간
3.20 특징
- 동시 다발 (6개 기관)
- 방송 + 금융 동시 타격
- 시한 폭탄 (Logic Bomb)
- 북한 소행 확정
- 사이버 안보 강화 계기
[ 7. 체크리스트 - 사이버테러 대응 ]
APT 대응
- 24/365 보안관제센터
- SIEM (보안 정보 통합 관리)
- APT 탐지 솔루션
- 이상 징후 즉시 조사
- 정기 포렌식 분석, 로그 AI 분석
백업
- 3-2-1 원칙 (3개 복사본, 2개 매체, 1개 원격지)
- 오프라인 백업 (에어갭) 필수
- 원격지 백업, 백업 주기 단축 (일 3회)
- 백업 테스트 (분기 1회)
시스템 보안
- 백신 서버 보안 강화
- 파일 디지털 서명 검증
- 이중 인증 (2FA)
- 관리자 계정 로그 실시간 감시
망분리
- 업무망/관리망 분리
- DMZ 구축, 네트워크 세그먼트
- 제로 트러스트
재해복구
- DR 센터 구축
- RTO 4시간, RPO 1시간
- DR 훈련 (분기 1회)
법적 준수
- 취약점 평가 연 1회 (정보통신기반보호법 제9조)
- 보호대책 수립 및 시행
[ 8. 관련 법령 ]
정보통신기반보호법
- 제2조 (정의 - 주요정보통신기반시설, 전자적 침해행위)
- 제9조 (취약점 분석·평가 등)
- 제14조 (벌칙 - 10년 이하 징역)
- 제16조 (과태료 - 3천만원 이하)
정보통신망법
- 제48조 (벌칙 - 정보통신망 침해, 악성프로그램 유포, 5년 이하)
형법
- 제314조의2 (컴퓨터등장애업무방해, 5년 이하)
- 제366조 (재물손괴, 3년 이하)
전자금융거래법
- 제49조 (벌칙 - 전자금융거래 방해, 5년 이하)
[ 학습 정리 ]
3.20 사건에서 배운 점
- 북한 해커 조직의 동시 다발 사이버테러
- 6개 기관 (방송 3 + 금융 3) 동시 공격
- 약 48,000대 PC 및 서버 MBR 파괴
- APT 공격으로 수개월간 잠복 후 시한 폭탄 실행 (3월 20일 14:00)
- 백신 업데이트 서버 장악하여 악성코드 배포
- 주요정보통신기반시설 침해로 10년 이하 징역 (가장 무거운 처벌)
- 2 - 3일간 방송·금융 서비스 마비
- APT 탐지 실패가 핵심 원인 (수개월간 잠복 못 찾음)
- 백업 시스템 취약 (일부 백업도 손상)
- 오프라인 백업 (에어갭) 필수
- 24/365 보안관제, SIEM, APT 탐지 솔루션 필수
- 국가 차원 사이버 안보 강화 계기
- 사이버 공격 = 국가 안보 위협, 전쟁 수단
- 사전 투자 600억원으로 3,500억원 손실 예방 가능 (6배 차이)