Home > 전체기사

원자력연·KAI 해킹 통로 VPN 취약점, 한국판 익스체인지 사태로 커지나

  |  입력 : 2021-07-05 11:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국정원, 지난 4월 S사 VPN 취약점 공지하고 패치할 때까지 사용중지 권고
복수의 북한 전문가들, 3월에 S사 그룹웨어 사칭한 스피어 피싱 공개


[보안뉴스 원병철 기자] 최근 연이어 발생한 한국원자력연구원과 한국항공우주산업(KAI)의 해킹에 같은 VPN 취약점이 활용된 것으로 알려지면서 해당 취약점 이슈가 논란이 되고 있다. 같은 VPN의 제로데이 취약점이 다른 방위사업체에도 악용된 것이 밝혀진다면 한국판 익스체인지 사태로 확대될 우려도 제기된다.

국민의힘 하태경 의원은 지난 7월 1일 기자회견을 열어 북한 정찰총국 산하 해커 조직인 ‘김수키(kimsuky)’로부터 해킹당한 것으로 알려진 한국원자력연구원 사건의 수법과 KAI 해킹 수법이 똑같다고 밝혔다. 이는 대부분의 국가주요시설이 보안상의 이유로 VPN을 사용하는데, VPN에 취약점을 노려 해커들이 공격을 했기 때문이다.

[이미지=utoimage]


한국원자력연구원과 KAI 등 최근 발생한 김수키의 해킹 사건은 수사가 진행 중이어서 어떤 VPN 제품인지, 어떤 취약점인지 아직 정확히 밝혀지지 않은 상태다. 하지만 <보안뉴스>가 취재한 바에 따르면 국가정보원(이하 국정원)은 지난 4월 ‘S사 VPN 장비 보안 취약점 조치 권고’를 공공기관 및 국가주요시설에 배포한 바 있는 것으로 드러났다. 물론 해당 취약점이 한국원자력연구원과 KAI의 해킹 사건에 악용된 취약점인지는 확실하지 않다.

해당 권고는 해당 VPN(모든 펌웨어 버전에서 영향받음)의 사용자 접속용 페이지에서 관리자용 페이지에 접근이 가능하며, 관리자 권한없이 패스워드 변경이 가능하기 때문에 장비 제조사에 보안패치를 요청하고, 특히 보안패치가 완료되기 전까지 운영을 중단하라고 설명했다. 또한, VPN 장비의 보안로그를 확인해 관리자 계정에 접속한 IP가 비인가·외부 IP이거나, 비인가·외부 IP가 관리자 계정과 패스워드를 변경한 경우 등이 확인되면 해킹 피해 발생으로 판단하라고 강조하고 있다. 이와 관련 본지에서 직접 확인한 결과, 5월 말 해당 취약점에 대한 조치가 모두 끝났다고 해당 업체는 밝혔다.

▲VPN 취약점 보안패치 권고[자료=보안뉴스]


그런데 <보안뉴스>는 이번 사건을 취재하면서 S사를 대상으로 한 피싱 공격이 지난 3월에 발생했다는 것을 확인했다. 복수의 북한 사이버공격 전문가들은 해당 사건이 S사의 그룹웨어 사이트로 위장한 가짜 사이트가 만들어져 스피어 피싱 공격이 진행됐다고 설명했다.

즉, S사 그룹웨어 사이트 위장 스피어 피싱 공격과 국정원의 S사 VPN 취약점 보안패치 권고, 한국원자력연구원과 KAI의 VPN 취약점을 이용한 해킹 공격 등이 순차적으로 발생한 것이다.

이번 연쇄 해킹 사건 이후 국정원은 과기정통부와 함께 정부 출연연구기관의 시스템에 대해 기술적 보안조치 여부 등을 점검하고, 취약점이 확인된 VPN 제품에 대해 장비 제조사와 협조해 보안패치를 설치토록 하는 등 추가 피해예방을 위해 노력하고 있다고 밝혔다. 군 역시 해당 VPN 사용을 중지하고, 패치를 진행하라고 공지한 것으로 드러났다.

▲S사 그룹웨어를 사칭한 스피어 피싱 공격[자료=보안뉴스]


다만 이번 해킹 사건들이 S사의 VPN 취약점 때문인지, 또한 S사의 VPN 취약점이라고 하더라도 지난 4월에 취약점 패치가 권고되고 5월에 완료했다는 해당 취약점인지 아니면 또 다른 취약점인지, 5월에 이미 완료된 취약점 패치를 왜 국정원이 해킹 사건 이후 장비 제조사와 협조해 보안 패치를 설치하도록 했는지 등은 아직 확인된 바 없다. 국정원 역시 아직 조사 중이라며 답변을 하지 않았다.

보안업계에서는 이번 VPN 취약점을 노린 해킹사건이 대부분 국가핵심기술을 보유한 출연연에서 발생한 사건인 만큼 ‘수사중’임을 이유로 쉬쉬하지 말고 정보를 공개해 빠르게 대응할 것을 요구하고 있다.

특히, 이번 해킹 사건에서 악용된 VPN의 경우 공공은 물론 민간에서도 사용하는 제품이기 때문에 민간기업에서의 피해 역시 발생할 수 있기 때문이다. 공공의 경우 국정원에서 사건을 조사하지만, 민간을 담당하고 있는 한국인터넷진흥원(KISA)의 경우 수사권이 없기 때문에 피해업체의 신고가 없다면 조사 및 점검 등의 활동이 제한되기 때문에 KAI처럼 이미 피해를 입고도 모르고 지나갈 우려가 크다. 더 큰 피해가 발생하기 전에 발빠른 대처가 필요한 이유다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화