2018년 10월 첫 감지...국회 국방위원회 이종명 위원이 공개할 때까지 ‘쉬쉬’
인터넷 PC에 설치된 자료저장방지 솔루션 관리자 계정이 침투경로...방사청은 몰랐나
[보안뉴스 원병철 기자] 우리나라 군수품 조달과 방위력 개선사업을 수행하는 방위사업청(이하 방사청)이 지난 2018년 10월부터 11월까지 총 30대의 인터넷 PC가 해킹당한 것으로 드러났다. 국회 국방위원회 이종명 위원(자유한국당 의원)은 이와 같은 사실을 확인하고 1월 15일 공개했다.
[이미지=방사청 홈페이지]
방사청 해킹 사건 개요
방사청이 이종명 위원에게 보고한 자료에 따르면, 2018년 10월 26일 공공기관 대상으로 보안관제를 담당하는 국정원이 방사청 IP에서 이상한 트래픽을 감지하고 이를 방사청에 통보했다. 이에 방사청은 국정원의 협조로 감염이 의심되는 PC 30대 중 25대의 조사 및 분석을 11월 1~2일 양일간에 걸쳐 진행하는 한편, 전 직원을 대상으로 인터넷 PC 사용 자제를 공지했다.
11월 5일, 방사청은 조사를 마친 인터넷(전용) PC 25대에서 자료 유출이 없는 것으로 판단(PC 내 자료 미보유)하고, 실제 감염된 PC는 10대로 확인했다. 또한, 11월 6일에는 창원사무소에 있던 인터넷 PC 5대에 대한 회수와 조사를 진행한 끝에 PC 2대에 암호화된 자료가 있는 것이 확인되어 파일을 복원한 후, 안보에 영향이 있는 자료인지 조사를 진행한 것으로 알려졌다. 이어 11월 22일, 유출자료가 보안에 문제가 없는 것으로 확인했다는 게 방사청 측이 밝힌 내용이다.
방사청 해킹 사건의 문제점
①인터넷 PC에 방사청 자료가 암호화되어 저장된 이유는?
해당 조사에서 드러난 문제점 중 첫 번째는 인터넷 PC에 방사청 자료가 암호화되어 저장되어 있었다는 점이다. 창원사무소 인터넷 PC 2대에 저장된 파일은 원래는 삭제됐어야 할 파일이지만 ‘자료저장방지 솔루션’에 의해 암호화된 상태로 저장됐다. 그 이유는 자료저장방지 솔루션이 PC의 삭제대상 자료를 암호화해 약 30일간 저장한 후 삭제하기 때문이다. 인터넷망에서 업무를 하는 기관 담당자의 경우 자료 삭제 후, 소송 등으로 자료복구 필요성이 제기되기 때문에 30일간 보관하도록 하고 있다. 문제는 방사청 담당부서에서 이러한 사실을 몰랐기 때문에 파일을 삭제하면 바로 지워진 것으로 알았다는 점이다.
②다수의 인터넷 PC가 해킹된 이유는?
방사청이 보유한 인터넷 PC가 한번에 30대씩 해킹된 이유는 바로 ‘자료저장방지 솔루션’ 때문이다. 개발 업체는 자료저장방지 솔루션에 업체전용 관리자 계정을 프로그래밍해 사용자가 암호를 분실했을 때 복구해 주거나, 삭제된 자료에 대한 복구 요청이 있을 경우에 업체전용 관리자 계정을 사용했다. 해커는 바로 이러한 관리자 계정을 노렸고, 최초로 감염된 PC를 통해 자료저장방지 솔루션 서버에 침투한 후, 다른 인터넷 PC에 접근한 것으로 알려졌다. 물론 방사청 담당부서는 이러한 사실을 까마득히 몰랐다고 주장했다.
③해킹 인지 후 초기대응과 위기대응 매뉴얼은 어땠나?
방사청은 2018년 10월 최초로 해킹 당해 PC가 악성코드에 감염됐지만 그 사실을 알지 못했다. 아울러 최초 감염을 확인한 후에도 지방사무소의 인터넷 PC 5대에 대한 사용중단과 수거, 국정원 분석까지 4일이나 걸리는 등 대응도 느렸다. 방사청에 따르면, 사이버 위기대응 실무 매뉴얼과 사이버위기 경보단계별 조치사항은 구체화되어 있지만, 내부직원들의 사이버공격 유형별 대응요령 등은 보완이 필요하다는 판단을 내렸다.
방사청은 내부 업무망과 외부 인터넷망을 분리해 해커가 내부 시스템 및 업무자료에 접근하는 건 불가능하다면서, 이번 사건의 원인인 업체관리자 계정 삭제와 자료저장방지 솔루션 패치를 통해 문제를 해결했다고 밝혔다. 아울러 내부적으로 유사사례 방지대책 마련과 인터넷 망 시스템 관리 강화조치를 진행했다고 밝혔다.
이번 사건을 처음 보도했던 동아일보는 10대의 PC에서 자료가 유출됐다고 밝혔지만, 방사청은 자료유출은 없었으며, 인터넷 PC에 저장된 자료도 주요 정보는 아니었다고 부인했다.
이와 관련해 보안전문가들은 방사청이 ‘해킹’을 당했다는 것에 초점을 맞춰야 한다고 지적했다. 특히, 이번 사건에서의 문제는 해커가 침투할 수 있었던 경로인 ‘자료저장방지 솔루션’의 관리자 계정을 과연 방사청이 ‘몰랐느냐’는 점이다. 방사청이 이종명 의원에게 제출한 자료에 따르면 ‘존재 여부 인지 제한’이라는 표현을 사용하고 있다.
보안전문가들은 업계에서 관행처럼 사용해 오고 있는 관리자 계정의 존재 여부를 방사청이 ‘알았을 경우’ 그 위험성을 알고도 대책을 마련하지 못한 잘못이 있고, ‘몰랐을 경우’에도 역시 보안성 여부 등 관리를 제대로 하지 못했다는 책임이 있다고 지적했다.
한편, 방사청은 현재 사건이 국정원에서 수사 중이기 때문에 별도로 입장을 표명하기 어렵다고 밝혔다. 다만 해킹 당한 PC가 내부 업무용 PC와 망분리된 인터넷 PC이기 때문에 유출된 주요 정보는 없다고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>