하나투어 유지보수 업체 홈피, 개인정보 유출 시점 이후 변경돼 해킹 의혹 증폭
[보안뉴스 김경애 기자] 하나투어는 지난 18일 ‘개인정보 유출사고 안내 및 사과의 말씀’이란 제목의 공지사항으로 하나투어의 유지보수 업체 직원 PC가 악성코드에 감염돼 조사하던 중 개인정보가 유출됐다고 밝힌 바 있다. 이로 인해 하나투어 뿐만 아니라 유지보수 업체와 해당 업체의 다른 고객사들도 악성코드 감염과 해킹 사고가 발생했을 가능성이 커지고 있다.
▲10월 8일 하나투어 유지보수업체 웹사이트 변경 전 스크린샷[이미지=보안뉴스 입수]
더욱이 하나투어의 유지보수업체 웹사이트가 갑자기 변경돼 해킹 의혹이 더욱 증폭되고 있다. 이에 따라 하나투어 유지보수 업체는 물론 유지보수 업체의 고객사 PC에도 악성코드 감염 경고등이 들어온 셈이다.
해당 유지보수업체는 하나투어를 비롯해 보험사, 은행, 증권사, 카드사, 통신사, 물류회사, 반도체, 항공사, 전자, 병원, 에너지 등 각 분야의 대기업·중견기업 32곳을 고객사를 두고 있다. 주로 리호스팅 시스템 구축, 물류정보 시스템 구축, 통합 시스템 구축, 영업정보 시스템 운영, 정보 시스템 운영 및 최적화, 글로벌 ERP 구축, 통합 ERP 시스템 최적화 등의 업무를 담당하고 있다.
만약 유지보수 업체의 직원 PC에 이어 유지보수 업체, 해당 고객사까지 악성코드에 감염됐다면 이는 해커가 악성코드를 대량 유포해 피해를 확산시키기 위한 목적으로 감행됐을 가능성이 높다. 악성코드를 통한 정보 수집과 정보 탈취, 사용자권한 탈취, 원격 모니터링 및 제어, 시스템 권한 탈취, DB 서버 침투 등을 통해 대형 사이버공격을 시도했을 수 있다는 얘기다.
특히, 하나투어의 개인정보가 유출된 9월 28일 이후 시점부터 하나투어가 한국인터넷진흥원(KISA)에 개인정보 유출신고를 한 10월 11일 사이인 10월 8일 해당 유지보수 업체의 웹사이트가 변경된 정황이 포착됐다.
웹사이트가 변경됐을 뿐만 아니라 웹메일과 어드민, 인트라넷 등도 바뀐 것으로 드러났다. 기자가 유지보수 업체의 기존 웹메일과 인트라넷에 접속한 결과 ‘페이지 경로가 올바르지 않습니다’라는 문구와 함께 주소가 잘못 입력되었거나 변경 또는 삭제되어 요청하신 페이지를 찾을 수 없다는 메시지 화면이 떴다.
▲지난 17일 웹사이트 변경과 관련해 유지보수 업체 직원으로 유추되는 게시글 화면[자료=보안뉴스 입수]
이어 지난 17일에는 웹사이트 변경과 관련해 유지보수 업체 직원으로 유추되는 게시글이 올라오기도 했다. 해당 게시글에는 도메인을 변경한 후, 페이지를 이동하는데 모두 404페이지로 이동하고 있다며 호스팅업체와 연락은 하고 있지만 아직 원인은 못 찾았으며, 설정을 변경했다는 글을 올렸다. 설정 변경 내용에는 유지보수업체 명칭이 표기돼 있다.
이와 관련 익명을 요청한 한 보안전문가는 “지난 5월 31일 웹사이트가 변경된 바 있으며, 7월에는 3일, 5일, 8일, 8월에도 1일, 2일, 5일, 7일 등 7~8월에 계속 변경됐다”며 “이는 시스템에 뭔가 문제가 있는 것으로 추정되며, 일반적으로 웹사이트는 한 번 구축하면 기본 틀을 크게 수정하지 않는데, 해당 업체의 경우 여러 번 수정이 된 것으로 보아 외부 공격에 따른 시스템 이상 가능성도 배제할 수 없다”고 밝혔다.
또한, 기업의 한 CISO는 “유지보수 업체 직원이 고객사 사내정보 시스템에 접속해 시스템 개편 등의 업무를 수행하도록 하려면 원청사에서 보안성이 확보된 업무 기기를 제공하거나 유지보수 업체 직원이 운영하는 기기가 안전한 상태인지 여부를 확인해야 함에도 과거 농협 해킹사건처럼 유지보수 업체 관리가 미흡한 것은 우리 정보보호 수준이 크게 나아지지 않았음을 방증하는 것으로 볼 수 있다”고 밝혔다.
이어 그는 “여러 고객사를 관리하는 유지보수 업체가 침해됐다는 것은 해당 고객사들의 시스템도 안심할 수 없다는 것을 의미한다. 침해사건이 수면 위로 드러났다는 것은 수면 아래에서 다른 사건들이 이미 발생했을 수도 있다는 것”이라며, “관리적 보안 측면에서 여러 기업 시스템에 접근하여 유지보수를 수행하는 업체는 일종의 단일 장애점(SPOF: Single Point Of Failure)과 유사하게 기능할 수 있으므로 보다 철저한 관리가 필요하다”고 강조했다.
현재 유지보수 업체의 해킹 여부와 관련해서는 한국인터넷진흥원을 비롯해 관계기관이 수사 중이다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] 하나투어는 지난 18일 ‘개인정보 유출사고 안내 및 사과의 말씀’이란 제목의 공지사항으로 하나투어의 유지보수 업체 직원 PC가 악성코드에 감염돼 조사하던 중 개인정보가 유출됐다고 밝힌 바 있다. 이로 인해 하나투어 뿐만 아니라 유지보수 업체와 해당 업체의 다른 고객사들도 악성코드 감염과 해킹 사고가 발생했을 가능성이 커지고 있다.
▲10월 8일 하나투어 유지보수업체 웹사이트 변경 전 스크린샷[이미지=보안뉴스 입수]
더욱이 하나투어의 유지보수업체 웹사이트가 갑자기 변경돼 해킹 의혹이 더욱 증폭되고 있다. 이에 따라 하나투어 유지보수 업체는 물론 유지보수 업체의 고객사 PC에도 악성코드 감염 경고등이 들어온 셈이다.
해당 유지보수업체는 하나투어를 비롯해 보험사, 은행, 증권사, 카드사, 통신사, 물류회사, 반도체, 항공사, 전자, 병원, 에너지 등 각 분야의 대기업·중견기업 32곳을 고객사를 두고 있다. 주로 리호스팅 시스템 구축, 물류정보 시스템 구축, 통합 시스템 구축, 영업정보 시스템 운영, 정보 시스템 운영 및 최적화, 글로벌 ERP 구축, 통합 ERP 시스템 최적화 등의 업무를 담당하고 있다.
만약 유지보수 업체의 직원 PC에 이어 유지보수 업체, 해당 고객사까지 악성코드에 감염됐다면 이는 해커가 악성코드를 대량 유포해 피해를 확산시키기 위한 목적으로 감행됐을 가능성이 높다. 악성코드를 통한 정보 수집과 정보 탈취, 사용자권한 탈취, 원격 모니터링 및 제어, 시스템 권한 탈취, DB 서버 침투 등을 통해 대형 사이버공격을 시도했을 수 있다는 얘기다.
특히, 하나투어의 개인정보가 유출된 9월 28일 이후 시점부터 하나투어가 한국인터넷진흥원(KISA)에 개인정보 유출신고를 한 10월 11일 사이인 10월 8일 해당 유지보수 업체의 웹사이트가 변경된 정황이 포착됐다.
웹사이트가 변경됐을 뿐만 아니라 웹메일과 어드민, 인트라넷 등도 바뀐 것으로 드러났다. 기자가 유지보수 업체의 기존 웹메일과 인트라넷에 접속한 결과 ‘페이지 경로가 올바르지 않습니다’라는 문구와 함께 주소가 잘못 입력되었거나 변경 또는 삭제되어 요청하신 페이지를 찾을 수 없다는 메시지 화면이 떴다.
▲지난 17일 웹사이트 변경과 관련해 유지보수 업체 직원으로 유추되는 게시글 화면[자료=보안뉴스 입수]
이어 지난 17일에는 웹사이트 변경과 관련해 유지보수 업체 직원으로 유추되는 게시글이 올라오기도 했다. 해당 게시글에는 도메인을 변경한 후, 페이지를 이동하는데 모두 404페이지로 이동하고 있다며 호스팅업체와 연락은 하고 있지만 아직 원인은 못 찾았으며, 설정을 변경했다는 글을 올렸다. 설정 변경 내용에는 유지보수업체 명칭이 표기돼 있다.
이와 관련 익명을 요청한 한 보안전문가는 “지난 5월 31일 웹사이트가 변경된 바 있으며, 7월에는 3일, 5일, 8일, 8월에도 1일, 2일, 5일, 7일 등 7~8월에 계속 변경됐다”며 “이는 시스템에 뭔가 문제가 있는 것으로 추정되며, 일반적으로 웹사이트는 한 번 구축하면 기본 틀을 크게 수정하지 않는데, 해당 업체의 경우 여러 번 수정이 된 것으로 보아 외부 공격에 따른 시스템 이상 가능성도 배제할 수 없다”고 밝혔다.
또한, 기업의 한 CISO는 “유지보수 업체 직원이 고객사 사내정보 시스템에 접속해 시스템 개편 등의 업무를 수행하도록 하려면 원청사에서 보안성이 확보된 업무 기기를 제공하거나 유지보수 업체 직원이 운영하는 기기가 안전한 상태인지 여부를 확인해야 함에도 과거 농협 해킹사건처럼 유지보수 업체 관리가 미흡한 것은 우리 정보보호 수준이 크게 나아지지 않았음을 방증하는 것으로 볼 수 있다”고 밝혔다.
이어 그는 “여러 고객사를 관리하는 유지보수 업체가 침해됐다는 것은 해당 고객사들의 시스템도 안심할 수 없다는 것을 의미한다. 침해사건이 수면 위로 드러났다는 것은 수면 아래에서 다른 사건들이 이미 발생했을 수도 있다는 것”이라며, “관리적 보안 측면에서 여러 기업 시스템에 접근하여 유지보수를 수행하는 업체는 일종의 단일 장애점(SPOF: Single Point Of Failure)과 유사하게 기능할 수 있으므로 보다 철저한 관리가 필요하다”고 강조했다.
현재 유지보수 업체의 해킹 여부와 관련해서는 한국인터넷진흥원을 비롯해 관계기관이 수사 중이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
