국정원, 지난 4월 S사 VPN 취약점 공지하고 패치할 때까지 사용중지 권고
복수의 북한 전문가들, 3월에 S사 그룹웨어 사칭한 스피어 피싱 공개
[보안뉴스 원병철 기자] 최근 연이어 발생한 한국원자력연구원과 한국항공우주산업(KAI)의 해킹에 같은 VPN 취약점이 활용된 것으로 알려지면서 해당 취약점 이슈가 논란이 되고 있다. 같은 VPN의 제로데이 취약점이 다른 방위사업체에도 악용된 것이 밝혀진다면 한국판 익스체인지 사태로 확대될 우려도 제기된다.
국민의힘 하태경 의원은 지난 7월 1일 기자회견을 열어 북한 정찰총국 산하 해커 조직인 ‘김수키(kimsuky)’로부터 해킹당한 것으로 알려진 한국원자력연구원 사건의 수법과 KAI 해킹 수법이 똑같다고 밝혔다. 이는 대부분의 국가주요시설이 보안상의 이유로 VPN을 사용하는데, VPN에 취약점을 노려 해커들이 공격을 했기 때문이다.
[이미지=utoimage]
한국원자력연구원과 KAI 등 최근 발생한 김수키의 해킹 사건은 수사가 진행 중이어서 어떤 VPN 제품인지, 어떤 취약점인지 아직 정확히 밝혀지지 않은 상태다. 하지만 <보안뉴스>가 취재한 바에 따르면 국가정보원(이하 국정원)은 지난 4월 ‘S사 VPN 장비 보안 취약점 조치 권고’를 공공기관 및 국가주요시설에 배포한 바 있는 것으로 드러났다. 물론 해당 취약점이 한국원자력연구원과 KAI의 해킹 사건에 악용된 취약점인지는 확실하지 않다.
해당 권고는 해당 VPN(모든 펌웨어 버전에서 영향받음)의 사용자 접속용 페이지에서 관리자용 페이지에 접근이 가능하며, 관리자 권한없이 패스워드 변경이 가능하기 때문에 장비 제조사에 보안패치를 요청하고, 특히 보안패치가 완료되기 전까지 운영을 중단하라고 설명했다. 또한, VPN 장비의 보안로그를 확인해 관리자 계정에 접속한 IP가 비인가·외부 IP이거나, 비인가·외부 IP가 관리자 계정과 패스워드를 변경한 경우 등이 확인되면 해킹 피해 발생으로 판단하라고 강조하고 있다. 이와 관련 본지에서 직접 확인한 결과, 5월 말 해당 취약점에 대한 조치가 모두 끝났다고 해당 업체는 밝혔다.
▲VPN 취약점 보안패치 권고[자료=보안뉴스]
그런데 <보안뉴스>는 이번 사건을 취재하면서 S사를 대상으로 한 피싱 공격이 지난 3월에 발생했다는 것을 확인했다. 복수의 북한 사이버공격 전문가들은 해당 사건이 S사의 그룹웨어 사이트로 위장한 가짜 사이트가 만들어져 스피어 피싱 공격이 진행됐다고 설명했다.
즉, S사 그룹웨어 사이트 위장 스피어 피싱 공격과 국정원의 S사 VPN 취약점 보안패치 권고, 한국원자력연구원과 KAI의 VPN 취약점을 이용한 해킹 공격 등이 순차적으로 발생한 것이다.
이번 연쇄 해킹 사건 이후 국정원은 과기정통부와 함께 정부 출연연구기관의 시스템에 대해 기술적 보안조치 여부 등을 점검하고, 취약점이 확인된 VPN 제품에 대해 장비 제조사와 협조해 보안패치를 설치토록 하는 등 추가 피해예방을 위해 노력하고 있다고 밝혔다. 군 역시 해당 VPN 사용을 중지하고, 패치를 진행하라고 공지한 것으로 드러났다.
▲S사 그룹웨어를 사칭한 스피어 피싱 공격[자료=보안뉴스]
다만 이번 해킹 사건들이 S사의 VPN 취약점 때문인지, 또한 S사의 VPN 취약점이라고 하더라도 지난 4월에 취약점 패치가 권고되고 5월에 완료했다는 해당 취약점인지 아니면 또 다른 취약점인지, 5월에 이미 완료된 취약점 패치를 왜 국정원이 해킹 사건 이후 장비 제조사와 협조해 보안 패치를 설치하도록 했는지 등은 아직 확인된 바 없다. 국정원 역시 아직 조사 중이라며 답변을 하지 않았다.
보안업계에서는 이번 VPN 취약점을 노린 해킹사건이 대부분 국가핵심기술을 보유한 출연연에서 발생한 사건인 만큼 ‘수사중’임을 이유로 쉬쉬하지 말고 정보를 공개해 빠르게 대응할 것을 요구하고 있다.
특히, 이번 해킹 사건에서 악용된 VPN의 경우 공공은 물론 민간에서도 사용하는 제품이기 때문에 민간기업에서의 피해 역시 발생할 수 있기 때문이다. 공공의 경우 국정원에서 사건을 조사하지만, 민간을 담당하고 있는 한국인터넷진흥원(KISA)의 경우 수사권이 없기 때문에 피해업체의 신고가 없다면 조사 및 점검 등의 활동이 제한되기 때문에 KAI처럼 이미 피해를 입고도 모르고 지나갈 우려가 크다. 더 큰 피해가 발생하기 전에 발빠른 대처가 필요한 이유다.
[원병철 기자(boanone@boannews.com)]
복수의 북한 전문가들, 3월에 S사 그룹웨어 사칭한 스피어 피싱 공개
[보안뉴스 원병철 기자] 최근 연이어 발생한 한국원자력연구원과 한국항공우주산업(KAI)의 해킹에 같은 VPN 취약점이 활용된 것으로 알려지면서 해당 취약점 이슈가 논란이 되고 있다. 같은 VPN의 제로데이 취약점이 다른 방위사업체에도 악용된 것이 밝혀진다면 한국판 익스체인지 사태로 확대될 우려도 제기된다.
국민의힘 하태경 의원은 지난 7월 1일 기자회견을 열어 북한 정찰총국 산하 해커 조직인 ‘김수키(kimsuky)’로부터 해킹당한 것으로 알려진 한국원자력연구원 사건의 수법과 KAI 해킹 수법이 똑같다고 밝혔다. 이는 대부분의 국가주요시설이 보안상의 이유로 VPN을 사용하는데, VPN에 취약점을 노려 해커들이 공격을 했기 때문이다.
[이미지=utoimage]
한국원자력연구원과 KAI 등 최근 발생한 김수키의 해킹 사건은 수사가 진행 중이어서 어떤 VPN 제품인지, 어떤 취약점인지 아직 정확히 밝혀지지 않은 상태다. 하지만 <보안뉴스>가 취재한 바에 따르면 국가정보원(이하 국정원)은 지난 4월 ‘S사 VPN 장비 보안 취약점 조치 권고’를 공공기관 및 국가주요시설에 배포한 바 있는 것으로 드러났다. 물론 해당 취약점이 한국원자력연구원과 KAI의 해킹 사건에 악용된 취약점인지는 확실하지 않다.
해당 권고는 해당 VPN(모든 펌웨어 버전에서 영향받음)의 사용자 접속용 페이지에서 관리자용 페이지에 접근이 가능하며, 관리자 권한없이 패스워드 변경이 가능하기 때문에 장비 제조사에 보안패치를 요청하고, 특히 보안패치가 완료되기 전까지 운영을 중단하라고 설명했다. 또한, VPN 장비의 보안로그를 확인해 관리자 계정에 접속한 IP가 비인가·외부 IP이거나, 비인가·외부 IP가 관리자 계정과 패스워드를 변경한 경우 등이 확인되면 해킹 피해 발생으로 판단하라고 강조하고 있다. 이와 관련 본지에서 직접 확인한 결과, 5월 말 해당 취약점에 대한 조치가 모두 끝났다고 해당 업체는 밝혔다.
▲VPN 취약점 보안패치 권고[자료=보안뉴스]
그런데 <보안뉴스>는 이번 사건을 취재하면서 S사를 대상으로 한 피싱 공격이 지난 3월에 발생했다는 것을 확인했다. 복수의 북한 사이버공격 전문가들은 해당 사건이 S사의 그룹웨어 사이트로 위장한 가짜 사이트가 만들어져 스피어 피싱 공격이 진행됐다고 설명했다.
즉, S사 그룹웨어 사이트 위장 스피어 피싱 공격과 국정원의 S사 VPN 취약점 보안패치 권고, 한국원자력연구원과 KAI의 VPN 취약점을 이용한 해킹 공격 등이 순차적으로 발생한 것이다.
이번 연쇄 해킹 사건 이후 국정원은 과기정통부와 함께 정부 출연연구기관의 시스템에 대해 기술적 보안조치 여부 등을 점검하고, 취약점이 확인된 VPN 제품에 대해 장비 제조사와 협조해 보안패치를 설치토록 하는 등 추가 피해예방을 위해 노력하고 있다고 밝혔다. 군 역시 해당 VPN 사용을 중지하고, 패치를 진행하라고 공지한 것으로 드러났다.
▲S사 그룹웨어를 사칭한 스피어 피싱 공격[자료=보안뉴스]
다만 이번 해킹 사건들이 S사의 VPN 취약점 때문인지, 또한 S사의 VPN 취약점이라고 하더라도 지난 4월에 취약점 패치가 권고되고 5월에 완료했다는 해당 취약점인지 아니면 또 다른 취약점인지, 5월에 이미 완료된 취약점 패치를 왜 국정원이 해킹 사건 이후 장비 제조사와 협조해 보안 패치를 설치하도록 했는지 등은 아직 확인된 바 없다. 국정원 역시 아직 조사 중이라며 답변을 하지 않았다.
보안업계에서는 이번 VPN 취약점을 노린 해킹사건이 대부분 국가핵심기술을 보유한 출연연에서 발생한 사건인 만큼 ‘수사중’임을 이유로 쉬쉬하지 말고 정보를 공개해 빠르게 대응할 것을 요구하고 있다.
특히, 이번 해킹 사건에서 악용된 VPN의 경우 공공은 물론 민간에서도 사용하는 제품이기 때문에 민간기업에서의 피해 역시 발생할 수 있기 때문이다. 공공의 경우 국정원에서 사건을 조사하지만, 민간을 담당하고 있는 한국인터넷진흥원(KISA)의 경우 수사권이 없기 때문에 피해업체의 신고가 없다면 조사 및 점검 등의 활동이 제한되기 때문에 KAI처럼 이미 피해를 입고도 모르고 지나갈 우려가 크다. 더 큰 피해가 발생하기 전에 발빠른 대처가 필요한 이유다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
