2월 올즈마 수처리 시설 해킹부터 6월 VPN 취약점 활용한 공공분야 연속 해킹까지
[보안뉴스 원병철 기자] 다사다난(多事多難)했던 2021년이 저물어간다. 코로나19로 전 세계가 어려움을 겪은 가운데, 특히 사이버 상에서는 가장 최근에 발생한 ‘Log4j’를 비롯해 다양한 사건·사고가 발생했다. 그렇다면 2021년에는 보안과 관련해 어떤 사건·사고가 발생했을까? <보안뉴스>는 2회에 걸쳐 지난 1년간 발생했던 사건사고를 정리해 사이버공격자들의 공격방법과 흐름을 알아보는 시간을 마련했다. 이번 기사는 12개월 중 1~6월에 발생한 사건·사고다.
[이미지=utoimage]
1월: AI 챗봇 ‘이루다’의 서비스 중단
세계 최고수준의 언어능력의 AI로 유명세를 탔던 챗봇 ‘이루다’가 정식출시(2020년 12월 23일) 2주만에 성희롱 이슈와 개인정보보호법 위반으로 서비스를 중단했다. 사용자들의 무분별한 성적 희롱으로 이슈를 탔던 이루다는 장애인과 동성애자에 대한 차별적인 발언으로 도마 위에 올랐고, 특히 개발과정에서 ‘연애의 과학’ 사용자의 대화 내용을 활용한 것이 알려지면서 개인정보보호법 위반 논란까지 휩싸였다. 결국 이루다의 개발사인 스캐터랩은 1월 12일 서비스를 중단했다.
2월: 미국 수처리 시설의 사이버 테러
2월초 미국 플로리다의 소도시 올즈마(Oldsmar)에 위치한 수처리 시설이 사이버 테러를 당했다. 해당 사이버 공격을 시도한 공격자는 데스크톱의 공유 소프트웨어인 팀뷰어(TeamViewer)를 통해 원격으로 제어시설에 접근해 주거용 및 상업용으로 사용되는 식수의 수산화나트륨 농도를 100배 이상 높이려고 시도했다. 다행히 이번 테러 시도는 수처리 시설의 운영자에 의해 원격 접속이 차단돼 성공에 이르지는 못했다. 하지만, 이는 국가기반시설 제어망에 대한 사이버 테러가 재발된 사건으로, 공격이 성공적으로 이뤄져 식수가 오염됐다면 극심한 인명피해를 유발할 수 있는 매우 심각한 사건으로 기록됐다.
3월: MS 익스체인지 서버 제로데이 취약점
3월 2일, 마이크로소프트의 ‘익스체인지 서버(Exchange Server)’의 긴급 패치 소식과 함께 제로데이 취약점을 노린 10개 이상의 해킹 그룹의 공격이 이뤄지고 있다는 소식이 전 세계를 강타했다. 특히 미국 백악관까지 나서 모든 조직에게 최신 패치를 적용하라고 촉구하면서 이번 사건은 일파만파 퍼져나갔다. 한국MS도 3월 2일 패치 발표 이후 국내 고객들에게 연락해 해당 이슈를 알리고 빠르게 패치할 것을 안내했다고 밝혔다. 아울러 최신 누적 업데이트를 설치하지 않은 고객을 지원하기 위해 추가적인 업데이트를 발표했으며, 해당 위협과 기타 위협으로부터 고객을 보호하기 위해 고객에 최신 누적 업데이트를 설치할 것을 지속적으로 권장하고 있다고 밝혔다.
한국에서도 MS 클라우드 컴퓨팅 중심에 익스체인지가 있다고 할 정도로 익스체인지 서버의 중요성이 높아지진 상황이었지만, 사용자 정보나 대응상황이 공개되지 않아 큰 이슈가 되지 못했다. 이와 관련 한 보안전문가는 “서버 취약점 패치는 대부분 자동화하지 않았기 때문에 담당자가 일일이 확인해 패치해야 한다”면서, “우리나라는 물론 전 세계적으로 엄청나게 문제가 됐던 워너크라이 랜섬웨어 사건도 발생 1~2년이 지난 후에도 해당 SMB 취약점을 패치하지 않아 문제가 발생하는 경우가 많았다”고 지적했다.
4월: 코로나19 수기명부 지침 개선... 개인정보 대신 개인안심번호
4월에는 코로나19로 인해 방문객의 개인정보를 수집하다 이를 악용한 개인정보 유출 이슈가 발생해 개인정보위가 ‘개인안심번호’를 쓰도록 하는 수기명부 지침을 개선해 시행했다. 개선된 수기명부 지침은 ①연락처에는 원칙적으로 개인안심번호를 적도록 권고하고 ②수기명부 작성 시 신분증 확인 절차 생략하며 ③지자체·주민센터 등 공공기관은 연락처에 우선적으로 개인안심번호를 기재하고 ④수기명부 양식에 개인안심번호를 안내·홍보하는 그림을 알아보기 쉽도록 추가했다.
개인정보보호위원회는 코로나19 상황에서 다중이용시설 방문 시 수기명부를 작성함으로 인한 국민들의 개인정보 유출 문제가 있었다면서, 개인안심번호 사용이 일상화되면 수기명부 작성으로 인한 국민들의 개인정보 유출 우려는 자연스럽게 사라질 것이라고 밝혔다.
5월: 기상청의 이메일 해킹... 국정원 통보받고 해킹 사실 알아
기상청에서 최근 5년 간 4번의 정보보안 사고가 일어났으며, 특히 5월에 발생한 해킹사건은 국정원이 통보할 때까지 몰랐던 것으로 확인됐다. 기상청은 노웅래의원실에 최근 5년간 기상청에서 4건의 정보보안 사고가 발생한 것으로 자료를 제출했다. 하지만 의원실에서 기상청 내부자료를 확인한 결과, 의원실에 보고하지 않은 정보유출 사건이 2021년 발생했던 것으로 드러났다.
2021년 3월 기상청 레이더분석과에서 발주한 연구용역 제안평가 과정에서 평가위원의 개인 상용메일(네이버)로 송부한 평가 자료가 제3자에게 탈취되었으며, 그 과정에서 15명의 개인정보가 유출됐다. 탈취된 자료는 기술개발의 설계도에 해당하며, 암호화 조치가 이루어지지 않았던 것으로 확인되었다. 특히, 사고 이후에도 자료가 어디로, 누구한테 흘러갔는지에 대한 추가조사도 이루어지지 않은 것으로 확인됐다. 아울러 정보유출 사실도 국가정보원 국가사이버안보센터를 통해 뒤늦게 확인됐다.
6월: VPN 취약점 노린 연속 해킹의 서막 ‘한국원자력연구원·대우조선해양·한국항공우주산업’ 해킹
6월 18일 하태경의원실이 한국원자력연구원이 북한 정찰총국 산하 해킹조직인 ‘김수키(Kimsuky)’로 추정되는 IP를 통해 해킹됐다고 공개했다. 하태경 의원이 한국원자력연구원(이하 연구원)으로부터 제출받은 자료에 따르면, 연구원은 ‘가상사설망(VPN) 취약점을 통해 신원불명의 외부인이 일부 접속에 성공했다’며 지난달 14일 사고 신고를 했다. 13개의 외부 IP가 VPN 시스템에 무단으로 접속된 기록이 발견된 것이다.
이어 6월 21일에는 잠수함을 건조하는 대우조선해양을 비롯한 방위산업체들이 해킹 시도를 당한 사실이 속속 밝혀졌다. 특히, 대우조선해양의 경우 한국 최초 3,000톤급 잠수함인 도산안창호함을 비롯해 안무함 등 우리나라의 주력 잠수함을 건조하는 핵심 방산기업으로, 지난 2016년에도 북한 추정 해커 그룹에 의해 잠수함 관련 핵심기술 둥 1~3급 군사기밀 60여 건을 포함한 4만여 건의 내부자료를 탈취당한 바 있다.
세 번째로 한국항공우주산업(KAI)도 내부시스템이 해킹된 것으로 확인됐다. 한국형 전투기(KF-X) 시리즈를 생산하는 KAI 해킹이 사실이라면 최신 국산 전투기인 KF-21의 설계도면이 탈취됐을 가능성이 크다. 특히, KAI 해킹은 한국원자력연구원과 비슷한 시기에 이뤄졌다는 점에서 동일범인 북한 정찰총국 산하 해커 조직인 ‘김수키(Kimsuky)’의 소행일 가능성이 크다는 지적이다. 하태경의원실이 한국원자력연구원으로부터 제출받은 공격자 IP를 보안전문가들이 분석한 결과 ‘김수키’가 지난해 코로나 백신 제약회사를 공격했던 북한 해커 서버로 연결된 것을 확인한 바 있다.
한편, 과기정통부와 국가정보원이 이번 연속 해킹사건을 조사한 결과 VPN을 통한 전산망 침투를 확인한 것으로 알려졌다. 이와 관련 정부부처 및 공공기관을 중심으로 VPN 점검에 나선 것으로 확인됐으며, 공공기관에 많이 공급된 국내 특정 VPN 솔루션이 중점 점검대상이 되고 있는 것으로 본지 취재 결과 드러났다. 특히, 국가정보원은 원자력연구원에 취약한 VPN 운영을 중단하도록 조치했고, 연구원 보안장비를 통해 해킹 경유지를 차단하도록 하는 등 긴급 대응했다고 밝혔다. 아울러 관계부처와 합동으로 피해규모와 공격 배후에 대해서도 확인하고 있다고 덧붙였다. 또한 국가/공공기관을 대상으로 취약점이 확인된 VPN 제품에 대해 장비제조사와 협조해 보안패치를 설치토록 하는 등 추가 피해예방을 위해 노력하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 다사다난(多事多難)했던 2021년이 저물어간다. 코로나19로 전 세계가 어려움을 겪은 가운데, 특히 사이버 상에서는 가장 최근에 발생한 ‘Log4j’를 비롯해 다양한 사건·사고가 발생했다. 그렇다면 2021년에는 보안과 관련해 어떤 사건·사고가 발생했을까? <보안뉴스>는 2회에 걸쳐 지난 1년간 발생했던 사건사고를 정리해 사이버공격자들의 공격방법과 흐름을 알아보는 시간을 마련했다. 이번 기사는 12개월 중 1~6월에 발생한 사건·사고다.
[이미지=utoimage]
1월: AI 챗봇 ‘이루다’의 서비스 중단
세계 최고수준의 언어능력의 AI로 유명세를 탔던 챗봇 ‘이루다’가 정식출시(2020년 12월 23일) 2주만에 성희롱 이슈와 개인정보보호법 위반으로 서비스를 중단했다. 사용자들의 무분별한 성적 희롱으로 이슈를 탔던 이루다는 장애인과 동성애자에 대한 차별적인 발언으로 도마 위에 올랐고, 특히 개발과정에서 ‘연애의 과학’ 사용자의 대화 내용을 활용한 것이 알려지면서 개인정보보호법 위반 논란까지 휩싸였다. 결국 이루다의 개발사인 스캐터랩은 1월 12일 서비스를 중단했다.
2월: 미국 수처리 시설의 사이버 테러
2월초 미국 플로리다의 소도시 올즈마(Oldsmar)에 위치한 수처리 시설이 사이버 테러를 당했다. 해당 사이버 공격을 시도한 공격자는 데스크톱의 공유 소프트웨어인 팀뷰어(TeamViewer)를 통해 원격으로 제어시설에 접근해 주거용 및 상업용으로 사용되는 식수의 수산화나트륨 농도를 100배 이상 높이려고 시도했다. 다행히 이번 테러 시도는 수처리 시설의 운영자에 의해 원격 접속이 차단돼 성공에 이르지는 못했다. 하지만, 이는 국가기반시설 제어망에 대한 사이버 테러가 재발된 사건으로, 공격이 성공적으로 이뤄져 식수가 오염됐다면 극심한 인명피해를 유발할 수 있는 매우 심각한 사건으로 기록됐다.
3월: MS 익스체인지 서버 제로데이 취약점
3월 2일, 마이크로소프트의 ‘익스체인지 서버(Exchange Server)’의 긴급 패치 소식과 함께 제로데이 취약점을 노린 10개 이상의 해킹 그룹의 공격이 이뤄지고 있다는 소식이 전 세계를 강타했다. 특히 미국 백악관까지 나서 모든 조직에게 최신 패치를 적용하라고 촉구하면서 이번 사건은 일파만파 퍼져나갔다. 한국MS도 3월 2일 패치 발표 이후 국내 고객들에게 연락해 해당 이슈를 알리고 빠르게 패치할 것을 안내했다고 밝혔다. 아울러 최신 누적 업데이트를 설치하지 않은 고객을 지원하기 위해 추가적인 업데이트를 발표했으며, 해당 위협과 기타 위협으로부터 고객을 보호하기 위해 고객에 최신 누적 업데이트를 설치할 것을 지속적으로 권장하고 있다고 밝혔다.
한국에서도 MS 클라우드 컴퓨팅 중심에 익스체인지가 있다고 할 정도로 익스체인지 서버의 중요성이 높아지진 상황이었지만, 사용자 정보나 대응상황이 공개되지 않아 큰 이슈가 되지 못했다. 이와 관련 한 보안전문가는 “서버 취약점 패치는 대부분 자동화하지 않았기 때문에 담당자가 일일이 확인해 패치해야 한다”면서, “우리나라는 물론 전 세계적으로 엄청나게 문제가 됐던 워너크라이 랜섬웨어 사건도 발생 1~2년이 지난 후에도 해당 SMB 취약점을 패치하지 않아 문제가 발생하는 경우가 많았다”고 지적했다.
4월: 코로나19 수기명부 지침 개선... 개인정보 대신 개인안심번호
4월에는 코로나19로 인해 방문객의 개인정보를 수집하다 이를 악용한 개인정보 유출 이슈가 발생해 개인정보위가 ‘개인안심번호’를 쓰도록 하는 수기명부 지침을 개선해 시행했다. 개선된 수기명부 지침은 ①연락처에는 원칙적으로 개인안심번호를 적도록 권고하고 ②수기명부 작성 시 신분증 확인 절차 생략하며 ③지자체·주민센터 등 공공기관은 연락처에 우선적으로 개인안심번호를 기재하고 ④수기명부 양식에 개인안심번호를 안내·홍보하는 그림을 알아보기 쉽도록 추가했다.
개인정보보호위원회는 코로나19 상황에서 다중이용시설 방문 시 수기명부를 작성함으로 인한 국민들의 개인정보 유출 문제가 있었다면서, 개인안심번호 사용이 일상화되면 수기명부 작성으로 인한 국민들의 개인정보 유출 우려는 자연스럽게 사라질 것이라고 밝혔다.
5월: 기상청의 이메일 해킹... 국정원 통보받고 해킹 사실 알아
기상청에서 최근 5년 간 4번의 정보보안 사고가 일어났으며, 특히 5월에 발생한 해킹사건은 국정원이 통보할 때까지 몰랐던 것으로 확인됐다. 기상청은 노웅래의원실에 최근 5년간 기상청에서 4건의 정보보안 사고가 발생한 것으로 자료를 제출했다. 하지만 의원실에서 기상청 내부자료를 확인한 결과, 의원실에 보고하지 않은 정보유출 사건이 2021년 발생했던 것으로 드러났다.
2021년 3월 기상청 레이더분석과에서 발주한 연구용역 제안평가 과정에서 평가위원의 개인 상용메일(네이버)로 송부한 평가 자료가 제3자에게 탈취되었으며, 그 과정에서 15명의 개인정보가 유출됐다. 탈취된 자료는 기술개발의 설계도에 해당하며, 암호화 조치가 이루어지지 않았던 것으로 확인되었다. 특히, 사고 이후에도 자료가 어디로, 누구한테 흘러갔는지에 대한 추가조사도 이루어지지 않은 것으로 확인됐다. 아울러 정보유출 사실도 국가정보원 국가사이버안보센터를 통해 뒤늦게 확인됐다.
6월: VPN 취약점 노린 연속 해킹의 서막 ‘한국원자력연구원·대우조선해양·한국항공우주산업’ 해킹
6월 18일 하태경의원실이 한국원자력연구원이 북한 정찰총국 산하 해킹조직인 ‘김수키(Kimsuky)’로 추정되는 IP를 통해 해킹됐다고 공개했다. 하태경 의원이 한국원자력연구원(이하 연구원)으로부터 제출받은 자료에 따르면, 연구원은 ‘가상사설망(VPN) 취약점을 통해 신원불명의 외부인이 일부 접속에 성공했다’며 지난달 14일 사고 신고를 했다. 13개의 외부 IP가 VPN 시스템에 무단으로 접속된 기록이 발견된 것이다.
이어 6월 21일에는 잠수함을 건조하는 대우조선해양을 비롯한 방위산업체들이 해킹 시도를 당한 사실이 속속 밝혀졌다. 특히, 대우조선해양의 경우 한국 최초 3,000톤급 잠수함인 도산안창호함을 비롯해 안무함 등 우리나라의 주력 잠수함을 건조하는 핵심 방산기업으로, 지난 2016년에도 북한 추정 해커 그룹에 의해 잠수함 관련 핵심기술 둥 1~3급 군사기밀 60여 건을 포함한 4만여 건의 내부자료를 탈취당한 바 있다.
세 번째로 한국항공우주산업(KAI)도 내부시스템이 해킹된 것으로 확인됐다. 한국형 전투기(KF-X) 시리즈를 생산하는 KAI 해킹이 사실이라면 최신 국산 전투기인 KF-21의 설계도면이 탈취됐을 가능성이 크다. 특히, KAI 해킹은 한국원자력연구원과 비슷한 시기에 이뤄졌다는 점에서 동일범인 북한 정찰총국 산하 해커 조직인 ‘김수키(Kimsuky)’의 소행일 가능성이 크다는 지적이다. 하태경의원실이 한국원자력연구원으로부터 제출받은 공격자 IP를 보안전문가들이 분석한 결과 ‘김수키’가 지난해 코로나 백신 제약회사를 공격했던 북한 해커 서버로 연결된 것을 확인한 바 있다.
한편, 과기정통부와 국가정보원이 이번 연속 해킹사건을 조사한 결과 VPN을 통한 전산망 침투를 확인한 것으로 알려졌다. 이와 관련 정부부처 및 공공기관을 중심으로 VPN 점검에 나선 것으로 확인됐으며, 공공기관에 많이 공급된 국내 특정 VPN 솔루션이 중점 점검대상이 되고 있는 것으로 본지 취재 결과 드러났다. 특히, 국가정보원은 원자력연구원에 취약한 VPN 운영을 중단하도록 조치했고, 연구원 보안장비를 통해 해킹 경유지를 차단하도록 하는 등 긴급 대응했다고 밝혔다. 아울러 관계부처와 합동으로 피해규모와 공격 배후에 대해서도 확인하고 있다고 덧붙였다. 또한 국가/공공기관을 대상으로 취약점이 확인된 VPN 제품에 대해 장비제조사와 협조해 보안패치를 설치토록 하는 등 추가 피해예방을 위해 노력하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
