방위사업청 해킹 파장 어디까지? 침투경로 등 논란 커져

2019-01-15 17:37
  • 카카오톡
  • 네이버 블로그
  • url
국정원, 공공기관 보안관제 중 방사청 IP 이상 트래픽 감지...방사청은 ‘몰라’
2018년 10월 첫 감지...국회 국방위원회 이종명 위원이 공개할 때까지 ‘쉬쉬’
인터넷 PC에 설치된 자료저장방지 솔루션 관리자 계정이 침투경로...방사청은 몰랐나


[보안뉴스 원병철 기자] 우리나라 군수품 조달과 방위력 개선사업을 수행하는 방위사업청(이하 방사청)이 지난 2018년 10월부터 11월까지 총 30대의 인터넷 PC가 해킹당한 것으로 드러났다. 국회 국방위원회 이종명 위원(자유한국당 의원)은 이와 같은 사실을 확인하고 1월 15일 공개했다.


[이미지=방사청 홈페이지]

방사청 해킹 사건 개요
방사청이 이종명 위원에게 보고한 자료에 따르면, 2018년 10월 26일 공공기관 대상으로 보안관제를 담당하는 국정원이 방사청 IP에서 이상한 트래픽을 감지하고 이를 방사청에 통보했다. 이에 방사청은 국정원의 협조로 감염이 의심되는 PC 30대 중 25대의 조사 및 분석을 11월 1~2일 양일간에 걸쳐 진행하는 한편, 전 직원을 대상으로 인터넷 PC 사용 자제를 공지했다.

11월 5일, 방사청은 조사를 마친 인터넷(전용) PC 25대에서 자료 유출이 없는 것으로 판단(PC 내 자료 미보유)하고, 실제 감염된 PC는 10대로 확인했다. 또한, 11월 6일에는 창원사무소에 있던 인터넷 PC 5대에 대한 회수와 조사를 진행한 끝에 PC 2대에 암호화된 자료가 있는 것이 확인되어 파일을 복원한 후, 안보에 영향이 있는 자료인지 조사를 진행한 것으로 알려졌다. 이어 11월 22일, 유출자료가 보안에 문제가 없는 것으로 확인했다는 게 방사청 측이 밝힌 내용이다.

방사청 해킹 사건의 문제점
①인터넷 PC에 방사청 자료가 암호화되어 저장된 이유는?

해당 조사에서 드러난 문제점 중 첫 번째는 인터넷 PC에 방사청 자료가 암호화되어 저장되어 있었다는 점이다. 창원사무소 인터넷 PC 2대에 저장된 파일은 원래는 삭제됐어야 할 파일이지만 ‘자료저장방지 솔루션’에 의해 암호화된 상태로 저장됐다. 그 이유는 자료저장방지 솔루션이 PC의 삭제대상 자료를 암호화해 약 30일간 저장한 후 삭제하기 때문이다. 인터넷망에서 업무를 하는 기관 담당자의 경우 자료 삭제 후, 소송 등으로 자료복구 필요성이 제기되기 때문에 30일간 보관하도록 하고 있다. 문제는 방사청 담당부서에서 이러한 사실을 몰랐기 때문에 파일을 삭제하면 바로 지워진 것으로 알았다는 점이다.

②다수의 인터넷 PC가 해킹된 이유는?
방사청이 보유한 인터넷 PC가 한번에 30대씩 해킹된 이유는 바로 ‘자료저장방지 솔루션’ 때문이다. 개발 업체는 자료저장방지 솔루션에 업체전용 관리자 계정을 프로그래밍해 사용자가 암호를 분실했을 때 복구해 주거나, 삭제된 자료에 대한 복구 요청이 있을 경우에 업체전용 관리자 계정을 사용했다. 해커는 바로 이러한 관리자 계정을 노렸고, 최초로 감염된 PC를 통해 자료저장방지 솔루션 서버에 침투한 후, 다른 인터넷 PC에 접근한 것으로 알려졌다. 물론 방사청 담당부서는 이러한 사실을 까마득히 몰랐다고 주장했다.

③해킹 인지 후 초기대응과 위기대응 매뉴얼은 어땠나?
방사청은 2018년 10월 최초로 해킹 당해 PC가 악성코드에 감염됐지만 그 사실을 알지 못했다. 아울러 최초 감염을 확인한 후에도 지방사무소의 인터넷 PC 5대에 대한 사용중단과 수거, 국정원 분석까지 4일이나 걸리는 등 대응도 느렸다. 방사청에 따르면, 사이버 위기대응 실무 매뉴얼과 사이버위기 경보단계별 조치사항은 구체화되어 있지만, 내부직원들의 사이버공격 유형별 대응요령 등은 보완이 필요하다는 판단을 내렸다.

방사청은 내부 업무망과 외부 인터넷망을 분리해 해커가 내부 시스템 및 업무자료에 접근하는 건 불가능하다면서, 이번 사건의 원인인 업체관리자 계정 삭제와 자료저장방지 솔루션 패치를 통해 문제를 해결했다고 밝혔다. 아울러 내부적으로 유사사례 방지대책 마련과 인터넷 망 시스템 관리 강화조치를 진행했다고 밝혔다.

이번 사건을 처음 보도했던 동아일보는 10대의 PC에서 자료가 유출됐다고 밝혔지만, 방사청은 자료유출은 없었으며, 인터넷 PC에 저장된 자료도 주요 정보는 아니었다고 부인했다.

이와 관련해 보안전문가들은 방사청이 ‘해킹’을 당했다는 것에 초점을 맞춰야 한다고 지적했다. 특히, 이번 사건에서의 문제는 해커가 침투할 수 있었던 경로인 ‘자료저장방지 솔루션’의 관리자 계정을 과연 방사청이 ‘몰랐느냐’는 점이다. 방사청이 이종명 의원에게 제출한 자료에 따르면 ‘존재 여부 인지 제한’이라는 표현을 사용하고 있다.

보안전문가들은 업계에서 관행처럼 사용해 오고 있는 관리자 계정의 존재 여부를 방사청이 ‘알았을 경우’ 그 위험성을 알고도 대책을 마련하지 못한 잘못이 있고, ‘몰랐을 경우’에도 역시 보안성 여부 등 관리를 제대로 하지 못했다는 책임이 있다고 지적했다.

한편, 방사청은 현재 사건이 국정원에서 수사 중이기 때문에 별도로 입장을 표명하기 어렵다고 밝혔다. 다만 해킹 당한 PC가 내부 업무용 PC와 망분리된 인터넷 PC이기 때문에 유출된 주요 정보는 없다고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기