하나투어 개인정보 유출 사건, 특정 업체 솔루션이 해킹 접점으로 악용
하나투어에 악용된 악성코드, SI 업체·금융권 등 다른 곳에서도 유사 변형 계속 발견
북한 추정 해커조직이 감행한 ‘황금도끼 작전’의 연장선일 가능성 높아져
[보안뉴스 김경애 기자] 하나투어 개인정보 유출사건에서 특정 업체 솔루션이 해킹 공격에 접점 역할을 한 것으로 본지 취재결과 드러났다. 이와 함께 하나투어에서 발견된 악성코드는 SI 업체 해킹 사건에서 발견된 악성코드와 유사 변종으로 조사됐다.
더욱이 해당 악성코드는 2015년 북한 해커조직이 방산업체 컨퍼런스인 ‘서울 ADEX’ 참가업체를 노린 악성코드는 물론 대기업인 S그룹과 H그룹 계열사 해킹 사건에 사용된 악성코드와도 매우 유사한 것으로 알려졌다. 이로써 앞서 언급한 사건들이 동일범 소행일 가능성, 특히 북한 소행 여부와 대규모 사이버 공격의 일부일 가능성에도 관심이 모아지고 있다.
.jpg)
[이미지=하나투어 홈페이지]
문제는 해당 악성코드가 하나투어와 SI 업체에서만 발견된 것이 아니라는 점이다. XXX자산운용, XX은행과 같은 금융권에서도 발견됐으며, 다른 기업에서도 잇따라 발견되고 있어 그동안 드러나지 않은 연쇄 해킹 사고가 수면 위로 떠오를 조짐이다.
하나투어에서 발견된 악성코드는 앞서 본지가 보도한 SI 업체의 고객사로 알려진 특정 IP 대역과 통신한 것으로 분석됐다. 이와 관련해 SI 업체 관계자는 “IDC의 고객 이슈 관련해서는 지난 9월 국가사이버안전센터와 사이버경찰청과의 협조 하에 조사를 진행했다”고 본지에 밝힌 바 있다.
해당 IP에 대해 정부기관 관계자는 “IDC 사업을 하고 있는 SI 업체가 재임대한 곳으로 특정 쇼핑몰이며, KT 회선만 이용할 뿐”이라고 전했다. 그러나 해당 쇼핑몰 홈페이지가 악성코드와 통신하는 C&C(명령제어) 서버로 악용된 만큼 해당 쇼핑몰 서버가 해킹된 것으로 추정된다. SI 업체의 IDC에 입주해 있던 해당 쇼핑몰이 해킹됐다면, 앞서 드러난 SI 업체 홈페이지 해킹과도 무관하지 않다는 추정이 가능하다.
또한, 하나투어 개인정보 유출사고를 일으킨 해킹 공격의 접점이 특정 업체 솔루션으로 조사됐다. 문제가 된 솔루션은 XX소프트 제품으로 자산관리(DMS모듈+HSM모듈), 패치관리 시스템(PMS), 실시간 관리(IPM 모듈) 기능 등이 탑재돼 있다. 특히, 해당 솔루션에서 발견된 취약점에는 북한 해커들이 단골로 악용하는 PMS(패치관리 시스템)의 취약점도 포함돼 있는 것으로 알려졌다.
더욱이 해당 솔루션 업체의 고객사에는 자료 유출로 곤혹을 치른 해운업체 대우조선해양(2002년)과 이번에 개인정보 유출사고가 발생한 하나투어 등이 대거 포함돼 있다.
하지만 해당 솔루션 취약점을 이용한 공격이 성공하기 위해서는 먼저 내부로 침투해야 하기 때문에 하나투어 고객정보 유출에 앞서 1차적으로 스피어피싱이나 워터링 홀 등의 사이버 공격이 진행됐을 가능성이 높다는 게 보안전문가들의 분석이다.
이렇듯 꼬리에 꼬리를 물어 관련 정황들이 줄줄이 드러나면서 이번 연쇄 해킹 사건이 북한발 대규모 사이버 공격으로 알려진 ‘황금도끼 작전(Operation GoldenAxe)’의 연장선이었을 가능성도 점차 높아지고 있다.
[김경애 기자(boan3@boannews.com)]
하나투어에 악용된 악성코드, SI 업체·금융권 등 다른 곳에서도 유사 변형 계속 발견
북한 추정 해커조직이 감행한 ‘황금도끼 작전’의 연장선일 가능성 높아져
[보안뉴스 김경애 기자] 하나투어 개인정보 유출사건에서 특정 업체 솔루션이 해킹 공격에 접점 역할을 한 것으로 본지 취재결과 드러났다. 이와 함께 하나투어에서 발견된 악성코드는 SI 업체 해킹 사건에서 발견된 악성코드와 유사 변종으로 조사됐다.
더욱이 해당 악성코드는 2015년 북한 해커조직이 방산업체 컨퍼런스인 ‘서울 ADEX’ 참가업체를 노린 악성코드는 물론 대기업인 S그룹과 H그룹 계열사 해킹 사건에 사용된 악성코드와도 매우 유사한 것으로 알려졌다. 이로써 앞서 언급한 사건들이 동일범 소행일 가능성, 특히 북한 소행 여부와 대규모 사이버 공격의 일부일 가능성에도 관심이 모아지고 있다.
[이미지=하나투어 홈페이지]
문제는 해당 악성코드가 하나투어와 SI 업체에서만 발견된 것이 아니라는 점이다. XXX자산운용, XX은행과 같은 금융권에서도 발견됐으며, 다른 기업에서도 잇따라 발견되고 있어 그동안 드러나지 않은 연쇄 해킹 사고가 수면 위로 떠오를 조짐이다.
하나투어에서 발견된 악성코드는 앞서 본지가 보도한 SI 업체의 고객사로 알려진 특정 IP 대역과 통신한 것으로 분석됐다. 이와 관련해 SI 업체 관계자는 “IDC의 고객 이슈 관련해서는 지난 9월 국가사이버안전센터와 사이버경찰청과의 협조 하에 조사를 진행했다”고 본지에 밝힌 바 있다.
해당 IP에 대해 정부기관 관계자는 “IDC 사업을 하고 있는 SI 업체가 재임대한 곳으로 특정 쇼핑몰이며, KT 회선만 이용할 뿐”이라고 전했다. 그러나 해당 쇼핑몰 홈페이지가 악성코드와 통신하는 C&C(명령제어) 서버로 악용된 만큼 해당 쇼핑몰 서버가 해킹된 것으로 추정된다. SI 업체의 IDC에 입주해 있던 해당 쇼핑몰이 해킹됐다면, 앞서 드러난 SI 업체 홈페이지 해킹과도 무관하지 않다는 추정이 가능하다.
또한, 하나투어 개인정보 유출사고를 일으킨 해킹 공격의 접점이 특정 업체 솔루션으로 조사됐다. 문제가 된 솔루션은 XX소프트 제품으로 자산관리(DMS모듈+HSM모듈), 패치관리 시스템(PMS), 실시간 관리(IPM 모듈) 기능 등이 탑재돼 있다. 특히, 해당 솔루션에서 발견된 취약점에는 북한 해커들이 단골로 악용하는 PMS(패치관리 시스템)의 취약점도 포함돼 있는 것으로 알려졌다.
더욱이 해당 솔루션 업체의 고객사에는 자료 유출로 곤혹을 치른 해운업체 대우조선해양(2002년)과 이번에 개인정보 유출사고가 발생한 하나투어 등이 대거 포함돼 있다.
하지만 해당 솔루션 취약점을 이용한 공격이 성공하기 위해서는 먼저 내부로 침투해야 하기 때문에 하나투어 고객정보 유출에 앞서 1차적으로 스피어피싱이나 워터링 홀 등의 사이버 공격이 진행됐을 가능성이 높다는 게 보안전문가들의 분석이다.
이렇듯 꼬리에 꼬리를 물어 관련 정황들이 줄줄이 드러나면서 이번 연쇄 해킹 사건이 북한발 대규모 사이버 공격으로 알려진 ‘황금도끼 작전(Operation GoldenAxe)’의 연장선이었을 가능성도 점차 높아지고 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpeg)
.jpg){kind=spacer}
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
