‘PC관리프로그램 운영 핵심서버’, 5개월 이상 북한 추정 해커조직이 장악
완벽한 방어 주장 보다는 실시간 추적·조치와 기본 보안수칙 준수에 충실해야
[보안뉴스 김경애] 서울 지하철 1~4호선의 운영을 담당하는 서울메트로가 북한 소행으로 추정되는 해커 집단에 의해 해킹 당한 소식이 전해지면서 국가주요시설에 대한 대책 마련의 목소리가 높아지고 있다.
서울메트로, 5개월 이상 북한 추정 해커 집단에 의해 장악
국토교통위원회 새누리당 하태경 의원은 “서울시민 420만명이 매일 이용하는 서울메트로 해킹 사건은 ‘PC관리프로그램 운영 핵심서버’가 최소 5개월 이상 북한 추정 해커 집단에 의해 장악된 사건으로, 서버권한 탈취(2대)를 비롯해 악성코드 감염 PC(58대), 비인가 접속 피해 PC(213대) 등의 피해가 발생했다”고 지적했다.
이어 하 의원은 “업무망과 제어망이 분리돼 있더라도 해커가 서버를 장악했을 경우 전체 PC를 모두 들여다 볼 수 있기 때문에 자칫 대형사고 발생 가능성이 있을 수 있다”며 “이에 대비한 긴급 점검과 대응이 필요하다”고 강조했다.
하태경 의원이 사이버해킹 사건과 관련해 서울메트로에게 제출받은 내용에 따르면 서울메트로가 해킹을 인지한 시점은 지난해 7월 23일 업무용 PC 3대에서 업무관련 자료 유출을 확인한 후이며, 2014년 8월 5일 국가사이버안전센터에서 조사한 결과, 악성코드 감염 PC(58대), 비인가 접속 피해 PC(213대), 서버 권한 탈취(2대), 업무자료 12건이 유출된 것으로 최종 확인됐다.
피해 서버는 PC관리프로그램 운영서버 1대, 공사 웹진 운영서버 1대이며, 유출경로는 공사에서 운영중인 PC관리프로그램을 통해 업무용 PC 3대에서 업무자료가 유출된 것으로 드러났다.
이러한 과정에서 보안관제 시스템 미구축으로 피해사실 조기 발견이 어려웠고, 통합로그관리 시스템 미구축으로 6개월 이전 로그를 확인할 수 없어 악성코드 유포지 및 시기 확인 불가능했던 점이 문제로 지적되고 있다.
지난 4월, 바이러스토탈 사이트에 메트로 내부 문서 노출
이보다 앞서 서울메트로는 내부문서가 노출되는 일도 발생했다. 본지가 지난 4월 보도했던 것처럼 바이러스토탈에 올라온 일부 자료를 입수해 살펴본 결과, 공공기관과 국내 보험사, 그리고 서울메트로 문서 5건이 포함돼 있었다.
바이러스토탈은 전 세계 백신 업체 및 일부 기관들에 각종 악성코드 정보가 공유되는 사이트로, 바이러스토탈의 경우 등록된 연구원이라면 누구나 악성코드관련 정보나 문서 등을 다운로드 받을 수 있고, 확인할 수 있다.
당시 서울메트로는 이러한 사실을 모르고 있었으며, 해당 사항에 대해 내부적으로 살펴보겠다고 밝힌 바 있다.
올해 국가주요기간망 줄줄이 사이버공격 당해
더욱 큰 문제는 이러한 국가주요시설을 노리는 북한의 사이버공격이 빙산의 일각이라는 것. 북한의 사이버전사들이 전방위적으로 공격을 수행하고 있는지 오래이며, 언론에 공개되지 않은 민감한 곳이 수없이 많다는 게 보안전문가의 설명이다.
북한 추정의 사이버공격은 지난 3.20·6.25사이버테러때 방송사와 언론사, 청와대, 금융기관을 시작으로 수면 위로 부상했고, 지난해부터는 한수원 사건에 이어 코레일과 서울 메트로 해킹 사건 등이 뒤늦게 드러나면서 심각성이 더욱 커지고 있다.
지난 7월 3일과 6일 북한 사이버전사가 국내 특정 컴퓨터에 악성파일(원격제어용)을 전파시키기 위해 자신의 지휘통신체계용 해외메일 서버로 보낸 악성파일이 발견된 바 있으며, 최근에는 국내 모처를 상대로 공격한 정황이 포착되기도 했다.
이와 관련 북한 추적 전문그룹 CyberWar에 따르면 지난 2014년 미국 소니픽쳐스 내부망 파괴를 진행했던 북한 사이버전사가 최근에 국내 모 기관을 상대로 공격을 수행하고 있다며 주의를 당부했다.
실시간 추적·조치와 기본 보안수칙 실천이 관건
이에 대해 하우리 CERT실 최상명 실장은 “작년에 철도뿐만 아니라 항공, 발전소 등 사실상 국가기간망이 전부 북한에 뚫린 것으로 추정되며, 올해도 이미 북한은 국내의 많은 기관 및 기업에 침투해 정보를 수집하고 언제든 피해를 줄 수 있는 상황”이라며 “그만큼 북한은 사이버전에서 승기를 잡고 있는 상태다. 이에 우리는 완벽한 방어만을 주장하는 이상론에 빠져 있을 게 아니라 뚫린다는 것을 기본 전제로 얼마나 빠르게 사고 사실을 인지하고 실시간으로 추적해 조치할 수 있는지에 대해 관심을 가져야 한다”고 강조했다.
또한, 앞으로 실시간 추적 및 관제 기술의 강화와 인텔리전스 확보를 위한 고민에 귀를 기울여야 하며, 그들을 빠르게 추적하고 관리해 나가야 한다고 덧붙였다.
이어 익명의 보안전문가는 “북한의 사이버공격은 매일 시도될 정도로 아주 빈번하게 발생하고 있다”며 “외부에 알려진 공격은 극소수일뿐 알려지지 않은 것들이 더 많다. 특히, 국가주요기관의 책임자급을 주요 타깃으로 삼고 있다”고 말했다.
그는 “기업과 기관에서 사이버보안을 위한 고가장비 도입도 중요하지만 아무리 고가장비를 도입해도 문을 열어놓고 제대로 관리하지 않으면 무용지물이기 때문에 자동화 시스템에만 의존하지 말고 사람 관리가 무엇보다 중요하다”며 “스피어피싱을 통한 사이버공격이 많기 때문에 기업과 기관에서는 메일 수신시 첨부파일에 각별히 신경쓰고, 최신 보안 업데이트 등 기본 보안수칙을 철저히 실천해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
완벽한 방어 주장 보다는 실시간 추적·조치와 기본 보안수칙 준수에 충실해야
[보안뉴스 김경애] 서울 지하철 1~4호선의 운영을 담당하는 서울메트로가 북한 소행으로 추정되는 해커 집단에 의해 해킹 당한 소식이 전해지면서 국가주요시설에 대한 대책 마련의 목소리가 높아지고 있다.
서울메트로, 5개월 이상 북한 추정 해커 집단에 의해 장악
국토교통위원회 새누리당 하태경 의원은 “서울시민 420만명이 매일 이용하는 서울메트로 해킹 사건은 ‘PC관리프로그램 운영 핵심서버’가 최소 5개월 이상 북한 추정 해커 집단에 의해 장악된 사건으로, 서버권한 탈취(2대)를 비롯해 악성코드 감염 PC(58대), 비인가 접속 피해 PC(213대) 등의 피해가 발생했다”고 지적했다.
이어 하 의원은 “업무망과 제어망이 분리돼 있더라도 해커가 서버를 장악했을 경우 전체 PC를 모두 들여다 볼 수 있기 때문에 자칫 대형사고 발생 가능성이 있을 수 있다”며 “이에 대비한 긴급 점검과 대응이 필요하다”고 강조했다.
하태경 의원이 사이버해킹 사건과 관련해 서울메트로에게 제출받은 내용에 따르면 서울메트로가 해킹을 인지한 시점은 지난해 7월 23일 업무용 PC 3대에서 업무관련 자료 유출을 확인한 후이며, 2014년 8월 5일 국가사이버안전센터에서 조사한 결과, 악성코드 감염 PC(58대), 비인가 접속 피해 PC(213대), 서버 권한 탈취(2대), 업무자료 12건이 유출된 것으로 최종 확인됐다.
피해 서버는 PC관리프로그램 운영서버 1대, 공사 웹진 운영서버 1대이며, 유출경로는 공사에서 운영중인 PC관리프로그램을 통해 업무용 PC 3대에서 업무자료가 유출된 것으로 드러났다.
이러한 과정에서 보안관제 시스템 미구축으로 피해사실 조기 발견이 어려웠고, 통합로그관리 시스템 미구축으로 6개월 이전 로그를 확인할 수 없어 악성코드 유포지 및 시기 확인 불가능했던 점이 문제로 지적되고 있다.
지난 4월, 바이러스토탈 사이트에 메트로 내부 문서 노출
이보다 앞서 서울메트로는 내부문서가 노출되는 일도 발생했다. 본지가 지난 4월 보도했던 것처럼 바이러스토탈에 올라온 일부 자료를 입수해 살펴본 결과, 공공기관과 국내 보험사, 그리고 서울메트로 문서 5건이 포함돼 있었다.
바이러스토탈은 전 세계 백신 업체 및 일부 기관들에 각종 악성코드 정보가 공유되는 사이트로, 바이러스토탈의 경우 등록된 연구원이라면 누구나 악성코드관련 정보나 문서 등을 다운로드 받을 수 있고, 확인할 수 있다.
당시 서울메트로는 이러한 사실을 모르고 있었으며, 해당 사항에 대해 내부적으로 살펴보겠다고 밝힌 바 있다.
올해 국가주요기간망 줄줄이 사이버공격 당해
더욱 큰 문제는 이러한 국가주요시설을 노리는 북한의 사이버공격이 빙산의 일각이라는 것. 북한의 사이버전사들이 전방위적으로 공격을 수행하고 있는지 오래이며, 언론에 공개되지 않은 민감한 곳이 수없이 많다는 게 보안전문가의 설명이다.
북한 추정의 사이버공격은 지난 3.20·6.25사이버테러때 방송사와 언론사, 청와대, 금융기관을 시작으로 수면 위로 부상했고, 지난해부터는 한수원 사건에 이어 코레일과 서울 메트로 해킹 사건 등이 뒤늦게 드러나면서 심각성이 더욱 커지고 있다.
지난 7월 3일과 6일 북한 사이버전사가 국내 특정 컴퓨터에 악성파일(원격제어용)을 전파시키기 위해 자신의 지휘통신체계용 해외메일 서버로 보낸 악성파일이 발견된 바 있으며, 최근에는 국내 모처를 상대로 공격한 정황이 포착되기도 했다.
이와 관련 북한 추적 전문그룹 CyberWar에 따르면 지난 2014년 미국 소니픽쳐스 내부망 파괴를 진행했던 북한 사이버전사가 최근에 국내 모 기관을 상대로 공격을 수행하고 있다며 주의를 당부했다.
실시간 추적·조치와 기본 보안수칙 실천이 관건
이에 대해 하우리 CERT실 최상명 실장은 “작년에 철도뿐만 아니라 항공, 발전소 등 사실상 국가기간망이 전부 북한에 뚫린 것으로 추정되며, 올해도 이미 북한은 국내의 많은 기관 및 기업에 침투해 정보를 수집하고 언제든 피해를 줄 수 있는 상황”이라며 “그만큼 북한은 사이버전에서 승기를 잡고 있는 상태다. 이에 우리는 완벽한 방어만을 주장하는 이상론에 빠져 있을 게 아니라 뚫린다는 것을 기본 전제로 얼마나 빠르게 사고 사실을 인지하고 실시간으로 추적해 조치할 수 있는지에 대해 관심을 가져야 한다”고 강조했다.
또한, 앞으로 실시간 추적 및 관제 기술의 강화와 인텔리전스 확보를 위한 고민에 귀를 기울여야 하며, 그들을 빠르게 추적하고 관리해 나가야 한다고 덧붙였다.
이어 익명의 보안전문가는 “북한의 사이버공격은 매일 시도될 정도로 아주 빈번하게 발생하고 있다”며 “외부에 알려진 공격은 극소수일뿐 알려지지 않은 것들이 더 많다. 특히, 국가주요기관의 책임자급을 주요 타깃으로 삼고 있다”고 말했다.
그는 “기업과 기관에서 사이버보안을 위한 고가장비 도입도 중요하지만 아무리 고가장비를 도입해도 문을 열어놓고 제대로 관리하지 않으면 무용지물이기 때문에 자동화 시스템에만 의존하지 말고 사람 관리가 무엇보다 중요하다”며 “스피어피싱을 통한 사이버공격이 많기 때문에 기업과 기관에서는 메일 수신시 첨부파일에 각별히 신경쓰고, 최신 보안 업데이트 등 기본 보안수칙을 철저히 실천해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
