전직 소프트웨어 개발자가 퇴사 전 회사의 IT 시스템을 의도적으로 마비시키는 악성코드를 심고 ‘킬 스위치(Kill Switch)’를 설정한 혐의로 유죄 판결을 받았다. 이 공격으로 인해 수천 명의 직원이 시스템 접근을 차단당했으며, 회사는 운영에 심각한 차질을 빚고 막대한 금전적 손실을 입었다.
퇴사 전 악의적인 시스템 교란
휴스턴에 거주하는 데이비스 루(55)는 글로벌 전력 관리 기업인 이튼 코퍼레이션에서 2007년 11월부터 2019년 10월까지 근무했다. 그는 회사의 주요 소프트웨어 개발자로 활동하며 IT 시스템을 관리하는 중요한 역할을 맡고 있었다. 그러나 2018년 조직 개편으로 인해 직책이 변경되면서 업무 권한이 대폭 축소됐고, 이로 인해 불만을 품고 회사의 IT 시스템을 겨냥한 보복성 공격을 계획한 것으로 조사됐다.
회사 시스템을 무력화한 악성코드와 킬 스위치
루는 2019년 8월 9일부터 회사의 주요 시스템을 마비시키기 위한 작업을 진행했다. 그는 자바(Java) 기반의 악성코드를 개발해 특정 서버에서 무한 루프가 실행되도록 만들었다. 이 프로그램은 지속적으로 새로운 스레드를 생성하면서 서버의 시스템 리소스를 과부하 상태로 만들어 결국 다운되도록 설계됐다. 해당 코드가 실행되면 사용자의 로그인이 차단되면서 정상적인 시스템 운영이 불가능해졌다.
뿐만 아니라 그는 동료 직원들의 계정을 삭제해 시스템 접근을 차단하며 혼란을 가중시켰다. 여기에 그치지 않고, 회사의 윈도우 액티브 디렉토리(Windows Active Directory)에 킬 스위치를 설정해 자신의 계정이 비활성화될 경우 회사 전체 시스템의 접근이 차단되도록 만들었다. 이 코드는 ‘IsDLEnabledinAD’라는 이름으로 저장됐으며, ‘Is Davis Lu enabled in Active Directory’의 약어였다. 실제로 그는 2019년 9월 9일 퇴사했고, 그의 계정이 비활성화되면서 킬 스위치가 작동해 수천 명의 직원이 업무 시스템에서 강제 로그아웃됐다.
삭제된 데이터와 인터넷 검색 기록이 결정적 증거로 확인돼
수사 당국은 루가 남긴 여러 흔적을 통해 그의 범행을 구체적으로 밝혀냈다. 그는 회사 측의 지시로 노트북을 반납하기 직전, 암호화된 데이터를 삭제하고 일부 주요 프로젝트 코드와 디렉터리를 제거했다. 또 인터넷 검색 기록을 분석한 결과, 그는 권한 상승(Privilege Escalation), 프로세스 숨김 기술(Hiding Processes), 파일 삭제 기술(Quick File Deletion) 등에 대한 정보를 찾아본 것으로 드러났다. 이는 자신의 행위를 은폐하고 추가적인 공격을 시도하기 위한 사전 조사였던 것으로 추정됐다.
이튼 코퍼레이션은 이번 사건으로 인해 심각한 운영 차질을 빚었다. 시스템 장애가 발생하면서 수천 명의 직원이 업무를 진행할 수 없었고, 이를 복구하는 과정에서 수십만 달러의 비용이 발생했다. 특히, 핵심 인프라가 한순간에 마비되면서 기업의 보안 체계에도 큰 구멍이 생겼다는 점에서 내부 보안의 중요성이 다시 한번 강조됐다.
미국 법무부는 루를 보호된 컴퓨터 시스템에 대한 의도적 손상 혐의로 기소했으며, 배심원단은 그의 유죄를 인정했다. 해당 혐의에 대한 최대 형량은 10년형에 달하며, 현재 최종 선고 일정은 확정되지 않은 상태다.
전문가들, 내부 보안 감시와 접근 통제의 필요성 강조
이번 사건은 내부 직원이 기업 IT 시스템을 악의적으로 공격할 경우 발생할 수 있는 심각한 위협을 여실히 보여주는 사례로 남았다. 보안 전문가들은 외부 위협뿐만 아니라 내부 위협에도 철저한 대비가 필요하다고 조언했다. 특히, 제로 트러스트(Zero Trust) 모델을 적용해 직원의 시스템 접근 권한을 제한하고, 실시간 로그 분석을 통해 이상 징후를 신속하게 감지할 수 있도록 해야 한다고 강조했다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수:클릭
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
