NIA 산출물시스템, 지난 7월 이어 9월에도 또 다시 해킹돼 자료 탈취
행정안전부, 외교부, 국토교통부 등 총 5개 기관의 소스코드와 ZIP 파일 등 유출
“지난 8월부터 다크웹에 NIA 관련 계정들 유포”...관리자 계정 비밀번호, 4년간 교체 없이 사용 드러나
[보안뉴스 김경애 기자] 한국지능정보사회진흥원(이하 NIA)의 산출물시스템이 지난 7월에 이어 9월에도 또 다시 해킹돼 자료가 유출된 것으로 알려졌다. 더욱 큰 문제는 이때까지 NIA는 산출물시스템의 해킹 사실조차 인지하지 못했고, 지난 10월 16일에서야 해킹 사실을 파악해 조치한 것으로 드러났다.
[이미지=gettyimagesbank]
NIA가 관리하는 산출물시스템은 ‘전자정부 지원사업’ 과제별 사업 산출물 관리를 위해 2011년에 구축된 시스템이다. 산출물시스템은 파일 업로드, 저장, 다운로드 등의 기능을 지원한다. ‘전자정부 지원사업’인 만큼 여러 부처의 중요정보가 업로드되고 저장된다. 정보가 유출될 경우 이에 따른 파장이 클 수밖에 없다. 특히, 소스코드의 경우 공급망 공격에도 악용될 수 있어 유출 정보를 파악하는 건 매우 중요하다.
<보안뉴스> 취재 결과, 지난 7월 정보 유출이 처음 발생했다. 하지만 2개월이 지난 9월에도 8개 파일이 또 다시 탈취됐다. 유출된 정보는 행정안전부, 외교부, 국토교통부 등 총 5개 기관의 소스코드와 ZIP 파일 등인 것으로 파악됐다. 하지만 이는 유출된 데이터의 일부일 뿐 정확한 유출 규모와 유출 자료 목록은 현재까지 제대로 파악조차 못하고 있는 상황이다.
이와 관련 익명을 요청한 A씨는 “지난 7월 유출된 정보는 어떤 정보가 나갔는지 제대로 파악조차 못하고 있다”며 “유출된 5개 부처 중 특정 부처는 대응방안을 유지보수 업체에 떠넘기는 등 각종 문제가 불거지고 있다”고 지적했다.
국회 과방위 소속 국민의힘 박충권 의원실이 NIA로부터 받은 ‘자료유출 관련 보안사고 조사 경과 국회 업무보고’에 따르면 NIA에서 조사된 내용은 △관리자 계정정보 유출 확인 △산출물관리시스템 외부 개방 △외부에서의 접속 및 파일 유출이다.
첫째, 관리자 계정정보 유출 확인의 경우 미상의 사유로 관리자 계정정보가 유출됐다는 것. 이에 대해 NIA는 사실 여부를 확인해 산출물시스템 접근 권한 및 계정보유자 대상으로 유출 경위를 조사했다는 내용이다.
둘째, 산출물관리시스템 외부 개방의 경우 산출물관리시스템 장비 고도화 과정에서 외부에서 접속 가능하도록 방화벽 개방을 신청해 2023년 12월 5일부터 개방했다는 것이다. 하지만 내부 시스템에 접속할 수 있도록 방화벽을 개방했다는 점에서 관리 소홀과 함께 책임 소재가 뒤따를 수 있다는 지적이 제기되고 있다.
셋째, 외부에서의 접속 및 파일 유출과 관련해서는 해커가 산출물시스템에 관리자 계정으로 접속해 행안부, 외교부 등 사업 산출물 관련 파일을 다운로드 한 것을 NIA가 확인했다고 밝혔다.
이번 사건과 관련해 스텔스모어 인텔리전스 최상명 이사는 “지난 8월경부터 다크웹에 NIA와 관련된 계정들이 유출되어 지속적으로 재배포되고 있는 것을 확인했다”며 “특정 포트를 사용하는 관리 시스템의 URL 접속 주소와 관리자 계정정보 등이 유출된 것으로 보인다”고 밝혔다.
스틸리언 신동휘 CTO는 “관리자 페이지에 대한 접근제어가 미흡했다”며 “MFA 인증 조치가 되어 있지 않은 점은 아쉬운 부분”이라고 밝혔다.
이 뿐만 아니다. 본지 취재에 따르면 해당 시스템의 관리자 계정 비밀번호를 정기적으로 변경하지 않고 4년 동안 동일한 비밀번호를 사용한 것으로 드러났다.
최상명 이사는 “한번 유출된 패스워드는 해커들에 의해 계속해서 공격에 활용된다”며 “최근 다크웹에는 유출된 100억개의 패스워드가 모아져 있는 패스워드 사전이 배포되기도 했다”고 말했다. 이어 “동일한 패스워드를 수년 동안 계속 사용한다는 것은 그만큼 공격자가 침투할 수 있는 확률을 높여주기에 지속적인 패스워드 교체가 반드시 필요하다”며, “특히 중요 서버의 관리자 계정은 2FA 인증 기능을 도입해 패스워드와 함께 사용할 것”을 권장했다.
또한, 리니어리티 한승연 대표는 “이번 사건은 중요 시스템이 외부에서 접근 가능하도록 설정된 관리적 취약점과 함께 해당 시스템에 접근할 수 있는 계정이 해커에게 유출된 기술적 취약점이 결합된 결과”라며 “첫째, 방화벽 정책을 정기적으로 점검해 불필요한 정책을 제거하고 둘째, 외부에서 접근 가능한 서비스 계정의 비밀번호를 주기적으로 변경해야 하며 셋째, 계정의 외부 유출 여부를 탐지하기 위한 OSINT 활동을 수행하고 넷째, 방화벽 등 네트워크 장치의 트래픽 로그를 분석해 대량 데이터의 외부 유출을 탐지하는 등의 보안 활동이 복합적으로 수행돼야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
행정안전부, 외교부, 국토교통부 등 총 5개 기관의 소스코드와 ZIP 파일 등 유출
“지난 8월부터 다크웹에 NIA 관련 계정들 유포”...관리자 계정 비밀번호, 4년간 교체 없이 사용 드러나
[보안뉴스 김경애 기자] 한국지능정보사회진흥원(이하 NIA)의 산출물시스템이 지난 7월에 이어 9월에도 또 다시 해킹돼 자료가 유출된 것으로 알려졌다. 더욱 큰 문제는 이때까지 NIA는 산출물시스템의 해킹 사실조차 인지하지 못했고, 지난 10월 16일에서야 해킹 사실을 파악해 조치한 것으로 드러났다.
[이미지=gettyimagesbank]
NIA가 관리하는 산출물시스템은 ‘전자정부 지원사업’ 과제별 사업 산출물 관리를 위해 2011년에 구축된 시스템이다. 산출물시스템은 파일 업로드, 저장, 다운로드 등의 기능을 지원한다. ‘전자정부 지원사업’인 만큼 여러 부처의 중요정보가 업로드되고 저장된다. 정보가 유출될 경우 이에 따른 파장이 클 수밖에 없다. 특히, 소스코드의 경우 공급망 공격에도 악용될 수 있어 유출 정보를 파악하는 건 매우 중요하다.
<보안뉴스> 취재 결과, 지난 7월 정보 유출이 처음 발생했다. 하지만 2개월이 지난 9월에도 8개 파일이 또 다시 탈취됐다. 유출된 정보는 행정안전부, 외교부, 국토교통부 등 총 5개 기관의 소스코드와 ZIP 파일 등인 것으로 파악됐다. 하지만 이는 유출된 데이터의 일부일 뿐 정확한 유출 규모와 유출 자료 목록은 현재까지 제대로 파악조차 못하고 있는 상황이다.
이와 관련 익명을 요청한 A씨는 “지난 7월 유출된 정보는 어떤 정보가 나갔는지 제대로 파악조차 못하고 있다”며 “유출된 5개 부처 중 특정 부처는 대응방안을 유지보수 업체에 떠넘기는 등 각종 문제가 불거지고 있다”고 지적했다.
국회 과방위 소속 국민의힘 박충권 의원실이 NIA로부터 받은 ‘자료유출 관련 보안사고 조사 경과 국회 업무보고’에 따르면 NIA에서 조사된 내용은 △관리자 계정정보 유출 확인 △산출물관리시스템 외부 개방 △외부에서의 접속 및 파일 유출이다.
첫째, 관리자 계정정보 유출 확인의 경우 미상의 사유로 관리자 계정정보가 유출됐다는 것. 이에 대해 NIA는 사실 여부를 확인해 산출물시스템 접근 권한 및 계정보유자 대상으로 유출 경위를 조사했다는 내용이다.
둘째, 산출물관리시스템 외부 개방의 경우 산출물관리시스템 장비 고도화 과정에서 외부에서 접속 가능하도록 방화벽 개방을 신청해 2023년 12월 5일부터 개방했다는 것이다. 하지만 내부 시스템에 접속할 수 있도록 방화벽을 개방했다는 점에서 관리 소홀과 함께 책임 소재가 뒤따를 수 있다는 지적이 제기되고 있다.
셋째, 외부에서의 접속 및 파일 유출과 관련해서는 해커가 산출물시스템에 관리자 계정으로 접속해 행안부, 외교부 등 사업 산출물 관련 파일을 다운로드 한 것을 NIA가 확인했다고 밝혔다.
이번 사건과 관련해 스텔스모어 인텔리전스 최상명 이사는 “지난 8월경부터 다크웹에 NIA와 관련된 계정들이 유출되어 지속적으로 재배포되고 있는 것을 확인했다”며 “특정 포트를 사용하는 관리 시스템의 URL 접속 주소와 관리자 계정정보 등이 유출된 것으로 보인다”고 밝혔다.
스틸리언 신동휘 CTO는 “관리자 페이지에 대한 접근제어가 미흡했다”며 “MFA 인증 조치가 되어 있지 않은 점은 아쉬운 부분”이라고 밝혔다.
이 뿐만 아니다. 본지 취재에 따르면 해당 시스템의 관리자 계정 비밀번호를 정기적으로 변경하지 않고 4년 동안 동일한 비밀번호를 사용한 것으로 드러났다.
최상명 이사는 “한번 유출된 패스워드는 해커들에 의해 계속해서 공격에 활용된다”며 “최근 다크웹에는 유출된 100억개의 패스워드가 모아져 있는 패스워드 사전이 배포되기도 했다”고 말했다. 이어 “동일한 패스워드를 수년 동안 계속 사용한다는 것은 그만큼 공격자가 침투할 수 있는 확률을 높여주기에 지속적인 패스워드 교체가 반드시 필요하다”며, “특히 중요 서버의 관리자 계정은 2FA 인증 기능을 도입해 패스워드와 함께 사용할 것”을 권장했다.
또한, 리니어리티 한승연 대표는 “이번 사건은 중요 시스템이 외부에서 접근 가능하도록 설정된 관리적 취약점과 함께 해당 시스템에 접근할 수 있는 계정이 해커에게 유출된 기술적 취약점이 결합된 결과”라며 “첫째, 방화벽 정책을 정기적으로 점검해 불필요한 정책을 제거하고 둘째, 외부에서 접근 가능한 서비스 계정의 비밀번호를 주기적으로 변경해야 하며 셋째, 계정의 외부 유출 여부를 탐지하기 위한 OSINT 활동을 수행하고 넷째, 방화벽 등 네트워크 장치의 트래픽 로그를 분석해 대량 데이터의 외부 유출을 탐지하는 등의 보안 활동이 복합적으로 수행돼야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
