해당 SI업체 “공항 자동출입국 시스템 유지보수는 지난해 종료, 관리주체 우리 아냐”
악성코드는 올해 5월부터 유포...5개월간 방치된 웹사이트 관리 부실 ‘도마 위’
[보안뉴스 김경애 기자] 국내 공항의 자동 출입국 시스템을 담당했던 SI 업체의 웹사이트가 해킹돼 방문자를 대상으로 악성코드를 유포한 것으로 드러나 논란이 커지고 있다.
[이미지=iclickart]
자유한국당 박대출 의원은 “공항 자동 출입국 시스템과 관련된 SI 업체 웹사이트에서 악성코드가 유포됐다”며 “악성코드가 엑티브X의 취약점을 통해 자동으로 설치돼 국내 공항 출입국 시스템에도 접근될 경우 더 큰 위험을 초래할 수 있다”며 우려했다.
해당 악성코드는 해커가 SI 업체 웹사이트 방문자를 대상으로 워터링 홀(Watering Hole) 방식을 통해 유포한 것으로 방문자 PC에 엑티브X 취약점이 있을 경우 악성코드에 감염되는 것으로 드러났다.
이에 대해 SI 업체 대표는 이번에 악성코드가 유포됐다고 해서 국내 공항 출입국 시스템이 해킹될 가능성은 낮다는 입장이다.
해당 SI 업체 대표는 본지와의 통화에서 “내부 조사 결과 웹사이트내 악성코드는 지난 5월 13일 심어진 것으로 분석됐다”며, “공항 자동 출입국 시스템은 매년 입찰을 통해 선정된 기업이 유지보수를 담당하는데, 현재 공항 자동 출입국 시스템은 다른 업체가 맡아 올해 1월 1일부터 유지보수를 진행하고 있다”고 밝혔다.
이는 해당 SI 업체의 유지보수 업무가 지난해 12월 31일부로 종료되어 현재 국내 공항 출입국 시스템의 관리 주체는 다른 기업이라는 얘기다.
악성코드는 올해 5월 13일 웹사이트에 심어졌기 때문에 국내 공항 출입국 시스템 관리 해킹 우려와 SI 업체 웹사이트의 악성코드 유포와 아무 상관이 없다는 주장이다. 이렇듯 악성코드 유포 이전부터 다른 업체가 유지보수를 맡고 있어 접근할 수도 없다는 설명이다.
SI 업체 측은 “현재 홈페이지 서버는 목동 KT IDC에 있으며 보안관제 서비스 규정에 따라 운영 중이다. 홈페이지는 업무용 내부망과 분리되어 있어 홈페이지 해킹을 통한 내부자료는 접근이 불가능하다. 내부망은 가상화 솔루션이 적용되어 있으며, 홈페이지는 회사소개용(사업소개, 뉴스, 자료실, 채용정보 등)으로 방문자가 일평균 13명 내외로 웹사이트에는 개인정보는 저장되어 있지 않다”고 설명했다.
현재 자동 출입국 시스템은 설치 완료 후 정부방침에 따라 모든 자료를 반납하고 2016년 철수해 현재는 타 SI 업체가 시스템을 운영하고 있는 것으로 알려졌다. 이렇다 보니 SI 업체에서는 이번 국정감사에서 해당 악성코드 유포가 자동출입국 관리 시스템의 해킹 가능성으로 이어지는 데 대해 곤혹스러움을 나타내고 있다.
이와 관련 SI 업체 대표는 “작년에 유지보수가 끝나 현재는 접근 권한이 없는데, 공항 시스템의 해킹 가능성으로까지 확대 해석돼 어려움이 크다”며, “특히 현재 실적을 쌓으며, 해외로 수출하는 중소기업 입장에서는 심대한 타격”이라는 입장을 나타냈다.
해당 SI 업체는 KISA로부터 지난 13일 1시 5분경 악성코드가 유포됐다는 사실을 전달받아 사건을 인지했다. 지난 16일 사건경위에 대한 조사보고서를 KISA에 발송해 최종신고는 지난 17일 접수됐다. 하지만 5월 13일부터 10월 13일까지 약 5개월 가량 웹사이트가 방치된 상태인 만큼 관리 부실에 대한 지적은 높아지고 있다.
이에 대해 그는 “웹사이트 관리는 하고 있었지만 제대로 관리하지 못해 악성코드가 유포된 것에 대해서는 잘못을 인정한다. 악성코드는 지난 13일 제거됐고, 취약점도 조치 완료된 상태”라며 “한국인터넷진흥원의 로그분석 서비스를 받겠다”고 밝혔다.
이번 공격은 웹사이트 방문자들을 지속적으로 노린 워터링홀 공격으로 분석되고 있으며, 북한 소행 가능성도 제기되고 있어 관심이 모아지고 있다.
워터링 홀은 산업 스파이 활동을 목적으로 컴퓨터나 네트워크를 감염시켜 기밀 정보를 빼내기 위해 사용된다. 악성코드를 유포하는 웹사이트에서 자동으로 돌연변이 악성코드를 생성해 매번 기존 유형과 조금씩 다른 형태로 공격하는 다형성 공격기법을 이용하기 때문에 방어하기 어렵다는 게 특징이다.
워터링 홀 공격은 타깃화된 사이버 첩보 활동에 쓰이며, 최근엔 보안 위협에 취약한 중소기업을 노린 워터링 홀 공격도 증가하고 있어 웹사이트 보안에 만전을 기해야 한다.
익명을 요청한 기업 CISO는 “해당 웹사이트가 개인정보를 직접 취급하지 않더라도 연계된 시스템으로 침입할 수 있는 거점으로 작용할 수 있으며, 악성코드 유포로 인해 발생했거나 발생 가능한 2차 피해를 고려할 때 웹사이트 관리 부실 정도로 취급할 사안은 아니”라며 웹사이트 보안의 중요성을 강조했다.
고려대학교 김승주 교수는 “주요기반시설과 관련된 기관·기업들이 자사의 시스템이나 홈페이지만 지키려고 노력할 게 아니라, 관련 계열사 및 협력사 보안까지도 꼼꼼히 확인해 자격이 미달하면 물품을 납품할 수 없게끔 하고, 회사 서버 및 웹사이트에 도입되는 보안 솔루션, SW의 취약점 점검에도 적극 나서는 등 공급망 보안(Supply Chain Security)에 각별히 신경써야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
악성코드는 올해 5월부터 유포...5개월간 방치된 웹사이트 관리 부실 ‘도마 위’
[보안뉴스 김경애 기자] 국내 공항의 자동 출입국 시스템을 담당했던 SI 업체의 웹사이트가 해킹돼 방문자를 대상으로 악성코드를 유포한 것으로 드러나 논란이 커지고 있다.
[이미지=iclickart]
자유한국당 박대출 의원은 “공항 자동 출입국 시스템과 관련된 SI 업체 웹사이트에서 악성코드가 유포됐다”며 “악성코드가 엑티브X의 취약점을 통해 자동으로 설치돼 국내 공항 출입국 시스템에도 접근될 경우 더 큰 위험을 초래할 수 있다”며 우려했다.
해당 악성코드는 해커가 SI 업체 웹사이트 방문자를 대상으로 워터링 홀(Watering Hole) 방식을 통해 유포한 것으로 방문자 PC에 엑티브X 취약점이 있을 경우 악성코드에 감염되는 것으로 드러났다.
이에 대해 SI 업체 대표는 이번에 악성코드가 유포됐다고 해서 국내 공항 출입국 시스템이 해킹될 가능성은 낮다는 입장이다.
해당 SI 업체 대표는 본지와의 통화에서 “내부 조사 결과 웹사이트내 악성코드는 지난 5월 13일 심어진 것으로 분석됐다”며, “공항 자동 출입국 시스템은 매년 입찰을 통해 선정된 기업이 유지보수를 담당하는데, 현재 공항 자동 출입국 시스템은 다른 업체가 맡아 올해 1월 1일부터 유지보수를 진행하고 있다”고 밝혔다.
이는 해당 SI 업체의 유지보수 업무가 지난해 12월 31일부로 종료되어 현재 국내 공항 출입국 시스템의 관리 주체는 다른 기업이라는 얘기다.
악성코드는 올해 5월 13일 웹사이트에 심어졌기 때문에 국내 공항 출입국 시스템 관리 해킹 우려와 SI 업체 웹사이트의 악성코드 유포와 아무 상관이 없다는 주장이다. 이렇듯 악성코드 유포 이전부터 다른 업체가 유지보수를 맡고 있어 접근할 수도 없다는 설명이다.
SI 업체 측은 “현재 홈페이지 서버는 목동 KT IDC에 있으며 보안관제 서비스 규정에 따라 운영 중이다. 홈페이지는 업무용 내부망과 분리되어 있어 홈페이지 해킹을 통한 내부자료는 접근이 불가능하다. 내부망은 가상화 솔루션이 적용되어 있으며, 홈페이지는 회사소개용(사업소개, 뉴스, 자료실, 채용정보 등)으로 방문자가 일평균 13명 내외로 웹사이트에는 개인정보는 저장되어 있지 않다”고 설명했다.
현재 자동 출입국 시스템은 설치 완료 후 정부방침에 따라 모든 자료를 반납하고 2016년 철수해 현재는 타 SI 업체가 시스템을 운영하고 있는 것으로 알려졌다. 이렇다 보니 SI 업체에서는 이번 국정감사에서 해당 악성코드 유포가 자동출입국 관리 시스템의 해킹 가능성으로 이어지는 데 대해 곤혹스러움을 나타내고 있다.
이와 관련 SI 업체 대표는 “작년에 유지보수가 끝나 현재는 접근 권한이 없는데, 공항 시스템의 해킹 가능성으로까지 확대 해석돼 어려움이 크다”며, “특히 현재 실적을 쌓으며, 해외로 수출하는 중소기업 입장에서는 심대한 타격”이라는 입장을 나타냈다.
해당 SI 업체는 KISA로부터 지난 13일 1시 5분경 악성코드가 유포됐다는 사실을 전달받아 사건을 인지했다. 지난 16일 사건경위에 대한 조사보고서를 KISA에 발송해 최종신고는 지난 17일 접수됐다. 하지만 5월 13일부터 10월 13일까지 약 5개월 가량 웹사이트가 방치된 상태인 만큼 관리 부실에 대한 지적은 높아지고 있다.
이에 대해 그는 “웹사이트 관리는 하고 있었지만 제대로 관리하지 못해 악성코드가 유포된 것에 대해서는 잘못을 인정한다. 악성코드는 지난 13일 제거됐고, 취약점도 조치 완료된 상태”라며 “한국인터넷진흥원의 로그분석 서비스를 받겠다”고 밝혔다.
이번 공격은 웹사이트 방문자들을 지속적으로 노린 워터링홀 공격으로 분석되고 있으며, 북한 소행 가능성도 제기되고 있어 관심이 모아지고 있다.
워터링 홀은 산업 스파이 활동을 목적으로 컴퓨터나 네트워크를 감염시켜 기밀 정보를 빼내기 위해 사용된다. 악성코드를 유포하는 웹사이트에서 자동으로 돌연변이 악성코드를 생성해 매번 기존 유형과 조금씩 다른 형태로 공격하는 다형성 공격기법을 이용하기 때문에 방어하기 어렵다는 게 특징이다.
워터링 홀 공격은 타깃화된 사이버 첩보 활동에 쓰이며, 최근엔 보안 위협에 취약한 중소기업을 노린 워터링 홀 공격도 증가하고 있어 웹사이트 보안에 만전을 기해야 한다.
익명을 요청한 기업 CISO는 “해당 웹사이트가 개인정보를 직접 취급하지 않더라도 연계된 시스템으로 침입할 수 있는 거점으로 작용할 수 있으며, 악성코드 유포로 인해 발생했거나 발생 가능한 2차 피해를 고려할 때 웹사이트 관리 부실 정도로 취급할 사안은 아니”라며 웹사이트 보안의 중요성을 강조했다.
고려대학교 김승주 교수는 “주요기반시설과 관련된 기관·기업들이 자사의 시스템이나 홈페이지만 지키려고 노력할 게 아니라, 관련 계열사 및 협력사 보안까지도 꼼꼼히 확인해 자격이 미달하면 물품을 납품할 수 없게끔 하고, 회사 서버 및 웹사이트에 도입되는 보안 솔루션, SW의 취약점 점검에도 적극 나서는 등 공급망 보안(Supply Chain Security)에 각별히 신경써야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
