[3줄 요약]
1. 6월 방첩사 시작으로 통일부, KISA, LG유플러스에 이메일 보내
2. 정부 스스로 탐지한 것 아니라 독립 해커 제보로 인지...“선제적 탐지 역량 키워야”
3. 기업 신고 지연은 처벌...국가는 제보 4개월만에 현황 발표
[보안뉴스 강현주 기자] 대한민국 정부와 통신사 사이버 침해 내용을 담은 일명 ‘프랙 보고서’의 저자가 이미 6월부터 방첩사를 시작으로 대한민국 군 조직과 정부, 기업에 해킹 사실을 직접 알려온 것으로 드러났다.
프랙 보고서가 발표되기 약 2개월 전이며, 17일 정부가 온나라 시스템 해킹을 확인하며 대응 상황을 발표하기 4개월 전이다.
지금까지 정부는 “프랙 보고서 발간 전 관련 내용을 인지해 조치를 취했다”라고만 입장을 밝혀 왔으며, 해킹을 인지한 경로는 밝히지 않았다.
23일 <보안뉴스>가 입수한 저자의 프로톤 메일(암호화 이메일) 내역에 따르면, 이들은 통일부, KISA, LG유플러스에 ‘South Korea Hacker Incident’라는 제목의 메일을 보냈으며, 일부와 답장을 주고받았다.
▲프랙 매거진에 ‘APT Down: The North Kroea Files’이 실렸다. [자료: 프랙]
6월 방첩사, 7월 통일부·KISA·LG유플러스에 직접 이메일 보내
보고서 저자인 화이트해커 ‘세이버’(Saber)와 ‘사이보그’(cyb0rg)는 6월 16일 방첩사에 ‘김수키’ 추정 해커로부터 방첩사가 공격당했다는 사실을 알렸다. 이어 7월 17일 한국인터넷진흥원(KISA)과 통일부, LG유플러스에도 직접 이메일로 연락해 알렸다. 7월 18일엔 KISA 침해사고대응팀(KrCERT/CC)에도 같은 내용의 이메일을 보냈다.
저자는 8월 8일 프랙을 통해 발표한 보고서 ‘APT Down: The North Kroea Files’에 이 같은 내용을 업데이트했다.
앞서 <보안뉴스>는 8월 ‘APT Down: The North Kroea Files’ 보고서를 입수, 행정안전부를 비롯한 국내 주요 정부 기관 및 KT, LG유플러스에 대한 해킹 침해 사실을 단독 보도한 바 있다. 저자인 화이트해커들은 중국 또는 북한 배후로 추정되는 공격자들의 PC를 역으로 해킹해 국내 정부와 기업이 침해 당한 데이터들을 대거 발견해 이를 토대로 보고서를 작성했다.
국내 보안 업계 일부 관계자들에 따르면, 메일을 받은 정부 기관과 정부와 협력하는 일부 국내 화이트해커 등은 내용을 외부에 공개하지 말아달라고 세이버를 회유하고자 시도했다. 하지만 회유하지 못했고 이후 8월 8일 이 내용을 담은 보고서 ‘APT Down: The North Kroea Files’가 프랙에 공개됐다.
▲Saber가 우리 정부 및 기업에 보낸 이메일 화면(수신자 아이디는 가림) [자료: Proton 메일 스크린샷]
기업은 24시간 내 미신고 시 과태료인데...몇개월 지나서야 입장 밝힌 정부
앞서 2일 최민희 국회 과방위원장은 정부가 7월 국정원과 KISA에 접수된 익명의 화이트해커 제보를 통해 KT와 LG유플러스 해킹 사실을 인지하고 자체 조사에 들어갔다고 밝힌 바 있다.
KISA는 두 통신사에 침해사고 신고를 요청했지만, 두 통신사는 침해사고 흔적이 발견되지 않았다며 신고하지 않았던 것으로 알려졌다. 이후 23일 LG유플러스는 결국 신고를 마쳤다. LG유플러스가 세이버에게 직접 해킹 제보를 받은 지 3개월이 넘은 시점이다.
기업이 해킹 사실을 인지한 후 24시간 이내에 당국에 신고하지 않으면 과태료를 부과받는다. 올해 상반기부터 SKT, KT, LG유플러스 등 통신 3사와 예스24, SGI서울보증, 롯데카드 등 기업들이 잇따라 해킹 사고를 당하자 정부의 중복적 조사가 이어졌으며 국회의 질책이 쏟아졌다. 신고 지연에 대한 질타도 이어졌다.
반면 무려 4개월 전인 6월부터 해외 화이트해커로부터 해킹 제보를 받아온 국가 기관들은 10월에서야 입장과 현황을 밝혔다. 가장 먼저 연락을 받은 방첩사에 대한 언급은 어디서도 없었다. 사안의 중대성에 비해 너무 조용한 행보에 비난의 목소리가 보안 전문가들 사이에서 커져왔다. 기업 해킹 대응과 비교해 형평성이 떨어진다는 여론도 높았다.
▲‘APT Down: The North Kroea Files’ 최신 업데이트 스크린샷. 6월부터 방첩사 등에 해킹 사실을 직접 알렸다는 내용. [자료: 보고서 캡쳐]
“화이트해커 제보 없었다면 국가 해킹 인지조차 못했을 수도”
국가정보원과 KISA는 보고서가 프랙에 실리기 전 해킹 사실을 미리 인지해 각 부처와 통신사들에게 긴급대응령을 내렸다고 밝혔다.
17일 행정안전부는 브리핑을 열고 “7월 중순 국정원을 통해 외부 인터넷 PC에서 정부원격근무시스템(G-VPN)을 통해 온나라시스템에 접근한 정황을 확인했다”고 밝혔다. 같은 날 국정원도 “해커가 정부업무관리시스템(온나라)에 무단 접속해 자료를 열람한 사실을 확인하고, 긴급 보안 조치로 추가 피해를 차단했다”고 밝혔다. 프랙에 보고서가 공개된 후 약 두 달 만이다.
국정원은 “7월 온나라시스템 등 공공 및 민간 분야 해킹 첩보를 입수, 행안부 등 유관 기관과 함께 정밀 분석을 실시해 해킹 사실을 확인하고 추가 피해 방지에 나섰다”고 밝혔다. 보고서가 프랙에 공개된 8월보다 한달 가량 먼저 해킹을 인지했다는 설명이다.
하지만 세이버에 따르면, 그는 직접 6월 방첩사를 시작으로 우리나라 정부와 기업에 연락을 취하며 해킹 사실을 알렸다. 국가가 선제적으로 해킹 사실을 탐지한 게 아니라는 얘기다.
한 관계자는 “정부가 스스로 해킹을 탐지한 게 아니라, 프랙 보고서를 쓴 화이트해커가 해킹 사실을 직접 알려서 우리 정부도 인지하게 된 것”이라며 “한 독립 화이트해커의 제보가 아니었다면 중국 배후로 추정되는 세력으로부터 해킹을 당했다는 중대한 사실을 아직도 인지조차 못했을 수 있다는 얘기”라고 말했다.
그는 “지금 이 순간에도 조용히 일어나고 있는 사이버 테러전에 대한 경각심을 항상 가지고 있어야 한다”며 “이번 일을 계기로 우리나라 정부와 기업은 국가 배후 세력의 사이버 위협에 대한 탐지와 대응 역량을 강화해야 한다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
1. 6월 방첩사 시작으로 통일부, KISA, LG유플러스에 이메일 보내
2. 정부 스스로 탐지한 것 아니라 독립 해커 제보로 인지...“선제적 탐지 역량 키워야”
3. 기업 신고 지연은 처벌...국가는 제보 4개월만에 현황 발표
[보안뉴스 강현주 기자] 대한민국 정부와 통신사 사이버 침해 내용을 담은 일명 ‘프랙 보고서’의 저자가 이미 6월부터 방첩사를 시작으로 대한민국 군 조직과 정부, 기업에 해킹 사실을 직접 알려온 것으로 드러났다.
프랙 보고서가 발표되기 약 2개월 전이며, 17일 정부가 온나라 시스템 해킹을 확인하며 대응 상황을 발표하기 4개월 전이다.
지금까지 정부는 “프랙 보고서 발간 전 관련 내용을 인지해 조치를 취했다”라고만 입장을 밝혀 왔으며, 해킹을 인지한 경로는 밝히지 않았다.
23일 <보안뉴스>가 입수한 저자의 프로톤 메일(암호화 이메일) 내역에 따르면, 이들은 통일부, KISA, LG유플러스에 ‘South Korea Hacker Incident’라는 제목의 메일을 보냈으며, 일부와 답장을 주고받았다.
▲프랙 매거진에 ‘APT Down: The North Kroea Files’이 실렸다. [자료: 프랙]
6월 방첩사, 7월 통일부·KISA·LG유플러스에 직접 이메일 보내
보고서 저자인 화이트해커 ‘세이버’(Saber)와 ‘사이보그’(cyb0rg)는 6월 16일 방첩사에 ‘김수키’ 추정 해커로부터 방첩사가 공격당했다는 사실을 알렸다. 이어 7월 17일 한국인터넷진흥원(KISA)과 통일부, LG유플러스에도 직접 이메일로 연락해 알렸다. 7월 18일엔 KISA 침해사고대응팀(KrCERT/CC)에도 같은 내용의 이메일을 보냈다.
저자는 8월 8일 프랙을 통해 발표한 보고서 ‘APT Down: The North Kroea Files’에 이 같은 내용을 업데이트했다.
앞서 <보안뉴스>는 8월 ‘APT Down: The North Kroea Files’ 보고서를 입수, 행정안전부를 비롯한 국내 주요 정부 기관 및 KT, LG유플러스에 대한 해킹 침해 사실을 단독 보도한 바 있다. 저자인 화이트해커들은 중국 또는 북한 배후로 추정되는 공격자들의 PC를 역으로 해킹해 국내 정부와 기업이 침해 당한 데이터들을 대거 발견해 이를 토대로 보고서를 작성했다.
국내 보안 업계 일부 관계자들에 따르면, 메일을 받은 정부 기관과 정부와 협력하는 일부 국내 화이트해커 등은 내용을 외부에 공개하지 말아달라고 세이버를 회유하고자 시도했다. 하지만 회유하지 못했고 이후 8월 8일 이 내용을 담은 보고서 ‘APT Down: The North Kroea Files’가 프랙에 공개됐다.
▲Saber가 우리 정부 및 기업에 보낸 이메일 화면(수신자 아이디는 가림) [자료: Proton 메일 스크린샷]
기업은 24시간 내 미신고 시 과태료인데...몇개월 지나서야 입장 밝힌 정부
앞서 2일 최민희 국회 과방위원장은 정부가 7월 국정원과 KISA에 접수된 익명의 화이트해커 제보를 통해 KT와 LG유플러스 해킹 사실을 인지하고 자체 조사에 들어갔다고 밝힌 바 있다.
KISA는 두 통신사에 침해사고 신고를 요청했지만, 두 통신사는 침해사고 흔적이 발견되지 않았다며 신고하지 않았던 것으로 알려졌다. 이후 23일 LG유플러스는 결국 신고를 마쳤다. LG유플러스가 세이버에게 직접 해킹 제보를 받은 지 3개월이 넘은 시점이다.
기업이 해킹 사실을 인지한 후 24시간 이내에 당국에 신고하지 않으면 과태료를 부과받는다. 올해 상반기부터 SKT, KT, LG유플러스 등 통신 3사와 예스24, SGI서울보증, 롯데카드 등 기업들이 잇따라 해킹 사고를 당하자 정부의 중복적 조사가 이어졌으며 국회의 질책이 쏟아졌다. 신고 지연에 대한 질타도 이어졌다.
반면 무려 4개월 전인 6월부터 해외 화이트해커로부터 해킹 제보를 받아온 국가 기관들은 10월에서야 입장과 현황을 밝혔다. 가장 먼저 연락을 받은 방첩사에 대한 언급은 어디서도 없었다. 사안의 중대성에 비해 너무 조용한 행보에 비난의 목소리가 보안 전문가들 사이에서 커져왔다. 기업 해킹 대응과 비교해 형평성이 떨어진다는 여론도 높았다.
▲‘APT Down: The North Kroea Files’ 최신 업데이트 스크린샷. 6월부터 방첩사 등에 해킹 사실을 직접 알렸다는 내용. [자료: 보고서 캡쳐]
“화이트해커 제보 없었다면 국가 해킹 인지조차 못했을 수도”
국가정보원과 KISA는 보고서가 프랙에 실리기 전 해킹 사실을 미리 인지해 각 부처와 통신사들에게 긴급대응령을 내렸다고 밝혔다.
17일 행정안전부는 브리핑을 열고 “7월 중순 국정원을 통해 외부 인터넷 PC에서 정부원격근무시스템(G-VPN)을 통해 온나라시스템에 접근한 정황을 확인했다”고 밝혔다. 같은 날 국정원도 “해커가 정부업무관리시스템(온나라)에 무단 접속해 자료를 열람한 사실을 확인하고, 긴급 보안 조치로 추가 피해를 차단했다”고 밝혔다. 프랙에 보고서가 공개된 후 약 두 달 만이다.
국정원은 “7월 온나라시스템 등 공공 및 민간 분야 해킹 첩보를 입수, 행안부 등 유관 기관과 함께 정밀 분석을 실시해 해킹 사실을 확인하고 추가 피해 방지에 나섰다”고 밝혔다. 보고서가 프랙에 공개된 8월보다 한달 가량 먼저 해킹을 인지했다는 설명이다.
하지만 세이버에 따르면, 그는 직접 6월 방첩사를 시작으로 우리나라 정부와 기업에 연락을 취하며 해킹 사실을 알렸다. 국가가 선제적으로 해킹 사실을 탐지한 게 아니라는 얘기다.
한 관계자는 “정부가 스스로 해킹을 탐지한 게 아니라, 프랙 보고서를 쓴 화이트해커가 해킹 사실을 직접 알려서 우리 정부도 인지하게 된 것”이라며 “한 독립 화이트해커의 제보가 아니었다면 중국 배후로 추정되는 세력으로부터 해킹을 당했다는 중대한 사실을 아직도 인지조차 못했을 수 있다는 얘기”라고 말했다.
그는 “지금 이 순간에도 조용히 일어나고 있는 사이버 테러전에 대한 경각심을 항상 가지고 있어야 한다”며 “이번 일을 계기로 우리나라 정부와 기업은 국가 배후 세력의 사이버 위협에 대한 탐지와 대응 역량을 강화해야 한다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
