오후 2시. 서울 여의도 KBS 본사에서 이상한 일이 시작됐다.
"어? 컴퓨터가 왜 이래?"
편집실 직원이 마우스를 클릭했지만 반응이 없었다. 모니터엔 검은 화면만 떠 있었다. 재부팅을 시도했다. 그런데 컴퓨터가 켜지지 않았다.
"야, 너희 것도 안 돼?"
옆자리를 돌아봤다. 같은 상황이었다. 그 옆자리도, 그 앞자리도. 편집실 전체가 마비됐다.
같은 시각, 상암동 MBC에서도, 목동 YTN에서도 똑같은 일이 벌어지고 있었다. 그리고 을지로 신한은행에서도.
2013년 3월 20일 오후 2시. 대한민국 방송과 금융을 멈춰 세운 8개월간의 전쟁이 막을 내리는 순간이었다.
현장의 혼란
"전산팀! 전산팀 어디 갔어!"
KBS 뉴스룸이 아수라장이 됐다. 저녁 뉴스 준비 시간이었는데 편집 장비가 모두 먹통이 됐다. 기자들은 원고를 손으로 써야 했고, PD들은 테이프를 찾아 헤맸다.
신한은행 본점은 더 심각했다.
"고객님, 죄송합니다. 지금 전산 장애로..."
창구 직원들이 똑같은 말을 수백 번 반복했다. ATM기는 검은 화면만 보였고, 인터넷뱅킹은 접속 자체가 안 됐다. 점심시간이라 은행 로비는 사람들로 북적였는데, 아무것도 할 수 없었다.
전산팀 직원들이 서버실로 뛰어갔다. 서버 화면을 봤다. 그리고 경악했다.
하드디스크가 지워지고 있었다. 아니, 정확히는 덮어써지고 있었다. 소중한 데이터 위에 의미 없는 문자들이 무차별적으로 덮어써지면서 모든 걸 파괴하고 있었다.
민관군 합동대응팀의 출동
사건 발생 2시간 후, 정부는 비상이 걸렸다. 방송 3사와 금융기관이 동시에 마비된 건 우연이 아니었다.
한국인터넷진흥원 침해사고대응센터에 긴급 상황실이 차려졌다. 전문가들이 모여들었고, 국정원과 군 사이버사령부도 합류했다.
첫 번째 발견은 충격적이었다.
"악성코드가 76종입니다."
분석관이 보고했다. 일반적인 해킹은 한두 개 악성코드로 끝난다. 그런데 76종이라니. 이건 해킹이 아니라 전쟁이었다.
두 번째 발견은 더 충격적이었다.
"피해 규모가... 4만 8,700대입니다. 경제적 피해만 8,700억 원 이상으로 추산됩니다."
PC와 서버를 합쳐서 거의 5만 대가 동시에 공격받았다. 한국 사이버 역사상 최대 규모였다. 2003년 1.25 인터넷 대란 이후 10년 만에 터진, 더 정교한 공격이었다.
그런데 여기서 이상한 점이 하나 있었다.
8개월 전의 그림자
분석이 진행되면서 기묘한 사실이 드러났다. 이 공격은 갑자기 시작된 게 아니었다.
"로그를 보니까... 2012년 6월부터 접속 기록이 있습니다."
해커들은 8개월 전부터 준비하고 있었다. 마치 적군 진영에 스파이를 심어두듯, 각 기관의 내부 네트워크에 조용히 침투해 있었던 것이다.
이들의 수법은 치밀했다.
먼저 관리자 PC를 해킹했다. 관리자가 자주 방문하는 웹사이트에 악성코드를 심어뒀다가(사회공학 공격의 일종인 워터링 홀 기법), 관리자가 접속하는 순간 PC를 감염시켰다.
그 다음엔 관리자 권한을 이용해 내부 네트워크 깊숙이 들어갔다. 백신 업데이트 서버까지 장악했다. 직원들이 백신을 업데이트한다고 생각하며 스스로 악성코드를 설치하게 만든 것이다. 이는 전형적인 공급망 공격이다. 매일 믿고 받던 업데이트가 사실은 무기였다.
마지막으로 때를 기다렸다. 8개월 동안.
북쪽에서 온 신호
며칠 후, 더 광범위한 사실이 밝혀졌다.
"북한 IP에서 직접 접속한 기록이 13건 확인됐습니다."
해커들은 주로 중국, 동남아시아 등 제3국 서버를 거쳐서 접속했다. 하지만 가끔씩은 실수했다. 북한에서 직접 접속한 흔적이 남아있었던 것이다.
더 결정적인 증거도 있었다.
이번에 사용된 49개의 중간 경유지 중 22개가 과거 북한 해킹에서 사용됐던 곳과 동일했다. 그리고 악성코드 76종 중 30종 이상이 과거에 사용됐던 것들의 재활용이었다.
마치 같은 요리사가 같은 재료로 요리하는 것처럼, 해킹 도구와 방식에서 지문이 남아있었던 것이다.
6년간의 전쟁
그런데 이때 한 민간 보안업체가 놀라운 발표를 했다.
'이슈메이커스랩'이라는 악성코드 추적 전문그룹이었다. 이들은 2007년부터 이상한 악성코드들을 추적해왔다고 했다.
"이 조직을 6년간 추적해왔습니다. 3.20 사이버테러는 빙산의 일각일 뿐입니다."
이후 이 조직은 Lazarus 그룹이라는 이름으로 전 세계에 알려지게 된다.
이들의 분석은 충격적이었다.
공격자들은 파일 압축에 RC4 암호화를, 명령 통신에는 RSA 암호화를 사용했다. 그런데 6년 동안 사용한 암호화 키가 완전히 동일했다. 공개키와 개인키 쌍이 6년 동안 그대로였던 것이다.
그리고 이들이 수집하려던 정보의 키워드도 확인됐다.
'키리졸브, 작전, 미군, Key Resolve, Warfare'
한미연합훈련과 군사작전에 관련된 단어들이었다. 이들은 6년 동안 이런 키워드가 포함된 문서들을 몰래 빼돌리고 있었던 것이다.
'Operation 1Mission'의 정체
추가 분석에서 이번 작전의 코드명도 밝혀졌다.
'Operation 1Mission'
해커들이 악성코드 개발 과정에서 사용한 폴더명이었다. 이들은 이번 작전을 하나의 미션으로 봤던 것이다.
그 미션의 목표는 단순했다. 파괴.
지금까지의 해킹은 정보를 훔치는 게 목적이었다. 조용히 들어가서 조용히 빼내는 것. 하지만 3.20 테러는 달랐다. 소음을 내는 게 목적이었다.
실제로 이들은 기관별로 다른 악성코드를 사용했다. 어떤 곳에는 정보 수집용을, 어떤 곳에는 파괴용을 보냈다. 마치 선택적 타격을 한 것처럼.
4번의 연속 공격
3월 20일로 끝난 게 아니었다.
3월 25일, 일반 국민들을 대상으로 한 해킹 시도가 있었다. 포털 사이트와 온라인 쇼핑몰에 악성코드를 심어뒀다.
3월 26일, YTN 계열사의 홈페이지와 서버 58대가 또 공격받았다. 그리고 같은 날 대북 보수단체 홈페이지도 해킹당했다.
4번의 공격 모두에서 동일한 웹셸(서버 조종 프로그램)이 발견됐다. 코드가 완전히 일치했다. 같은 조직, 같은 해커가 연속으로 공격한 것이었다.
8개월의 의미
왜 하필 8개월을 기다렸을까?
전문가들은 이렇게 분석했다. 북한은 단순한 해킹이 아니라 사이버 전쟁을 준비하고 있었다는 것이다.
평시에는 정보를 수집한다. 6년 동안 조용히. 그러다가 필요한 순간이 오면 스위치를 켠다. 정보 수집 도구를 파괴 도구로 바꾸는 것이다.
3월 20일이 바로 그 스위치를 켠 날이었다.
당시는 북한이 핵실험을 강행하고 한미연합훈련이 진행되던 시기였다. 긴장이 최고조에 달했을 때, 북한은 사이버 공간에서 일격을 가한 것이다.
보이지 않는 전쟁의 시작
2013년 4월 10일, 정부는 공식 발표했다.
"3.20 사이버테러는 북한 정찰총국 소행으로 판단됩니다."
하지만 이건 끝이 아니라 시작이었다.
그 후 한국은 수많은 사이버 공격을 받았다. 2014년 한국수력원자력, 2016년 인터파크, 2017년 워너크라이 랜섬웨어, 그리고 같은 해 NotPetya까지. 그때마다 3.20의 그림자가 어른거렸다.
해커들은 학습했다. 8개월간 잠복하며 내부를 파악하고, 때가 되면 일제히 공격하는 방법을. 그리고 이 방법은 지금도 진화하고 있다.
에필로그: 당신의 컴퓨터는 안전한가
2026년 현재, 당신이 이 글을 읽고 있는 바로 이 순간에도 누군가는 당신의 네트워크를 조용히 관찰하고 있을지 모른다.
3.20 사이버테러가 우리에게 남긴 교훈은 명확하다.
사이버 공격은 영화 속 이야기가 아니다. 해커가 검은 후드를 쓰고 빠르게 키보드를 두드리는 그런 장면도 아니다.
진짜 사이버 공격은 8개월간 조용히 당신 곁에 있다가, 어느 날 갑자기 모든 것을 앗아간다.
당신의 스마트폰에는 몇 개의 앱이 설치되어 있는가? 그 중에서 정말 필요한 것은 몇 개인가? 회사 컴퓨터에서 개인 이메일을 확인한 적은 없는가? USB를 아무 생각 없이 꽂은 적은?
3.20의 피해자들도 그날 아침까지는 평범한 하루를 시작했다. 커피를 마시고, 컴퓨터를 켜고, 업무를 시작했다.
그리고 오후 2시, 모든 것이 멈췄다.
관련 MITRE ATT&CK 기법
이 사건에서 사용된 공격 기법들을 MITRE ATT&CK 프레임워크로 분석하면:
| 기법 ID | 기법명 | 사건에서의 활용 |
|---|---|---|
| T1485 | Data Destruction | MBR을 덮어써서 데이터 완전 파괴 |
| T1561.002 | Disk Structure Wipe | 하드디스크 부트 영역 파괴로 시스템 부팅 불가 |
| T1195.002 | Compromise Software Supply Chain | 백신 업데이트 서버를 악용해 악성코드 배포 |
| T1078 | Valid Accounts | 탈취한 관리자 계정으로 내부망 침투 |
참고 자료
- 3.20 사이버테러 중간 조사결과 발표 - 대한민국 정책브리핑
- [단독] 3.20 사이버테러 공격주체, 그 실체 드러나다! - 보안뉴스
- Wiper Malware Analysis: Attacking Korean Financial Sector - Secureworks
- 2013 South Korea cyberattack - Wikipedia
📌 이 글은 AI(Claude) 를 활용하여 작성되었습니다. 사건의 사실관계는 인용된 참고 자료에 근거하며, 시나리오는 이해를 돕기 위해 각색되었습니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
관련 글 더 보기
한국 주요 사이버보안 사건
- 1.25 인터넷 대란: 376바이트 웜이 대한민국을 마비시킨 날
- NotPetya: 100억 달러 피해를 낸 러시아의 사이버 전쟁 무기
- SK텔레콤 2324만명 유심 침해: BPFDoor의 3년간 잠복
- Lazarus 그룹: 북한 해커 조직의 실체
관련 MITRE ATT&CK 기법
관련 보안 주제
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 공격 기법의 사실관계는 인용된 참고 자료에 근거하며, 대화체 표현과 장면 묘사는 이해를 돕기 위해 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.