[단독] 한국지능정보사회진흥원, 관리자계정 유출로 외교부·행안부 등 소스코드 파일 털렸다! 현재 조사중

2024-11-11 17:34
  • 카카오톡
  • 네이버 블로그
  • url
NIA의 내부 관리자 페이지 계정 유출로 시작
이로 인해 NIA가 관리 중인 행정안전부, 외교부 등의 소스코드 파일 털려
방화벽 포트 개방으로 내부 관리자 페이지로의 접근이 가능했던 것으로 드러나
방화벽 포트 개방 등 관리 소홀 측면 책임소재 따져야...정부 “현재 조사중”


[보안뉴스 김경애 기자] 한국지능정보사회진흥원(이하 NIA)의 관리자 페이지와 비밀번호 등 계정정보가 외부에 노출되면서 NIA에서 관리하던 행정안전부, 외교부 등 주요 정부부처의 소스코드 파일이 유출돼 파장이 커지고 있다.


[이미지=한국지능정보사회진흥원 메인 홈페이지]

특히, 우리나라 AI 및 정보화 전문기관인 NIA의 경우 정보보안 조직을 갖추고 있음에도 불구하고, 누구나 외부에서 접속할 수 있도록 방화벽 포트를 열어놓는 등 방화벽 설정이 미흡했던 것으로 드러났다.

보안뉴스가 취재한 바에 따르면 외부에 노출된 NIA의 웹페이지는 총 9개다. 이 가운데 문제가 된 것은 프로덕트 관리자 페이지로 해당 페이지의 계정정보가 산출물 시스템과 연결돼 외교부, 행안부 등 주요 정부부처의 소스코드 파일이 유출된 것으로 파악됐다.

NIA의 경우 외교부, 행정안전부 등 정부부처의 정보화 및 IT 관련 사업을 맡고 있어 어떤 소스코드 파일이 유출됐는지, 유출 규모는 얼마나 되는지 파악하는 게 매우 시급하다. 특히 소스코드 등 중요 파일이 유출됐을 경우 향후 사업에도 막대한 지장이 생길 수 있기 때문이다.

이와 관련 정부 관계자는 “NIA의 방화벽 포트가 열려 있었고, 이를 통해 외교부, 행안부 등의 소스코드 파일이 유출돼 조사 중”이라며 “해당 부처에서도 이미 다 알고 있는 사실”이라고 밝혔다.

NIA 정보보호팀 이병석 팀장은 “집에서 사용하는 직원의 개인 PC가 악성코드에 감염된 것이 확인됐다”며 “자세한 건 알아본 후 연락주겠다”고 말했다.

과학기술정보통신부 이현정 과장은 “현재 해당 이슈에 대해서는 사실 조사 중”이라며 “사실 조사가 끝날 때까지 말할 수 있는 게 없다”고 말을 아꼈다.

무엇보다 심각한 문제는 NIA가 도대체 왜 누구나 접근할 수 있도록 방화벽 포트를 열어놨느냐는 것이다. 부득이한 사정으로 방화벽을 열어놓을 수밖에 없었는지 의구심이 커지고 있다.

이와 관련된 기자의 질의에 NIA 운영지원단 양현수 단장은 “그건 아니”라는 답변을 했다. 이어 양 단장은 “총 9개 계정 중 일부만 외부에 노출됐다”며 “자세한 내용은 정보보호팀장이 연락해 설명할 것”이라고 밝혔다.

이번 사건과 관련해 순천향대 염흥열 교수는 “미국 NIST가 지난 2월에 발표한 ‘안전한 소프트웨어 개발 프레임워크’는 소프트웨어 개발 보안 조직 준비, 소프트웨어 보호, 안전한 소프트웨어 제작, 소프트웨어의 잠재적 취약성 대응 등 4가지 안전한 수명주기 전반의 지침을 제공하고 있다”며 “특히 개발된 소프트웨어가 변경 또는 무단으로 접근되는 것을 방지하기 위해 기술적·관리적·물리적 보호 조치를 통해 보호되도록 요구하고 있다”고 밝혔다.

이어 염 교수는 “만약 소프트웨어 소스나 소프트웨어 관련 정보가 공격자에 의해 알려지면 공격자가 해당 소프트웨어에 대한 취약점을 찾거나 정보 시스템의 구조를 파악할 가능성이 높아지게 된다”며 “첫째, 현재 유출 사고의 원인을 확인하고 둘째, 현재 보호조치에 대한 보완이 필요하며 셋째, 유출된 소프트웨어 소스코드나 소프트웨어 관련 정보가 공격자에 의해 악용되지 않도록 하는 추가 조치가 필요하다”고 당부했다.

익명을 요청한 보안업계 관계자는 “NIA 팀장 등 관리자들의 설명과 대응이 많이 부족해 보인다”며 “유출 당사자인 NIA의 대응은 충분히 질타를 당할 만한데다가 대응조치 제시도 충분치 않다”고 지적했다.

이어 그는 “이번 사건의 심각성을 감안하면 내부 책임소재도 불분명하다”며, “방화벽 포트를 열어놓도록 하는 등 관리 소홀에 대한 책임소재를 철저히 따져야 하고 소스코드 파일이 유출된 정부부처의 대응방안 마련을 위한 긴밀한 협의가 요구된다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기