바이러스토탈에 삼성화재·서울메트로 등의 내부자료 올라왔나? 보안전문가, 스팸차단 솔루션 필터 과정에서의 문제 가능성 제기
  [보안뉴스 김경애] 국내 공공기관 및 기업의 내부문서로 추정되는 자료들이 바이러스토탈(Virus Total) 사이트에 올라와 파장이 커지고 있다. 

 ▲바이러스토탈에 올라와 있는 문서 캡처화면(22일 본지 입수) 
바이러스토탈은 각종 악성코드 정보가 전 세계 백신 업체 및 일부 기관들에 공유되는 사이트로, 지난 2012년 9월 세계 최대 인터넷 업체 구글이 인수한 바 있다. 바이러스토탈의 경우 등록된 연구원이라면 누구나 악성코드 관련 정보나 문서 등을 다운로드 받을 수 있고, 확인할 수 있다.

이에 본지가 바이러스토탈에 올라온 일부 자료를 입수해 살펴본 결과, 공공기관의 경우 2009년 9월에 작성된 공개용 기획재정부 문서로 추정되는 ‘재정운영표 계정과목 회계처리지침’이란 제목의 자료 1건이 포함돼 있었다. 또한, 삼성화재 내부문서로 추정되는 자료 2건, 서울메트로 문서 5건, 시립노원노인종합복지관 문서 2건, 청사관리 TF팀이라고 표기된 문서 1건 등이 포함돼 있다.

특히, 삼성화재의 경우 해당 문서가 개인정보가 포함된 내부문서로 추정돼 문제가 크다는 지적이다. 해당 문서 중에는 지난 21일 작성된 것으로 추정되는 손해배상(기) 청구소송 관련문서도 있으며, 해당 문서에는 피감정인의 이름, 주민번호, 성별, 나이, 사고개요, 사고일시, 사고내용, 진단명, 치료내용, 피감정인 상태에 관한 의견 등이 적힌 내용이 상세히 표기돼 있다.

이와 관련 삼성화재 측은 해당 사항에 대해 잘 모르고 있었으며, 어떤 상황인지 내부적으로 확인해 보겠다는 입장을 밝혔다.

삼성화재 관계자는 “해당 문서는 한국의료분석원에서 만든 문서로 한국의료분석원에서는 이 문서를 우리에게 메일로 아직 전송하지 않았다고 밝혔다”며, “어떻게 먼저 유출되어 바이러스토탈에 노출됐는지 이유를 알 수 없다. 내부적으로 면밀히 점검해볼 것”이라고 말했다. 


서울메트로 역시 이러한 사실을 모르고 있었으며, 해당 사항에 대해 내부적으로 살펴보겠다고 밝혔다.

그렇다면 이렇게 중요한 문서들이 어떻게 바이러스토탈 사이트에 올라와 있는 것일까? 본지가 확인한 바에 따르면, 바이러스토탈에 올라온 문서들의 공통점은 대부분 보낸 곳은 여러 곳인데 받은 수신자는 한 곳으로 지정돼 있다는 점이다. 이는 기업에서 메일을 수신할 때 스팸메일 필터 과정에서 해당 문서들이 노출된 채 바이러스토탈에 그대로 넘어간 것으로 추정해 볼 수 있다.

이와 관련 한 보안전문가는 “공공기관 및 기업에서 스팸차단 솔루션을 도입해서 사용할 때 주의해야 한다”며 “최근 일부 스팸차단 솔루션이 메일의 악성코드 삽입 여부를 확인하기 위해 모든 메일을 본문 그대로 바이러스토탈에 올리는 행위를 하는 것으로 추정된다”고 분석했다.

즉, 기업의 내부문서에 악성코드가 포함돼 있는지 검사하려다 외려 전 세계적으로 공유되는 문제가 발생하고 있는 것이다. 더군다나 바이러스토탈 사이트는 전 세계에서 발견되는 악성코드를 공유하는 사이트이기 때문에 내부자료가 해외로 유출될 가능성이 열리게 되는 셈이다.

이와 관련 또 다른 보안전문가는 “일부 문서의 파일경로가 C:\WEB\DATA\AnalysisWaiting\…으로, 일본에서 분석 시스템을 통해 바이러스토탈에 올라간 것으로 보인다”고 밝혔다.

따라서 공공기관 및 기업에서는 설치된 스팸차단 솔루션이 바이러스토탈과 연동되어 있지는 않은지 확인한 후 사용하는 것이 바람직하며, 메일로 주고 받는 중요 내부문서 관리에 만전을 기해야 할 것으로 보인다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>