Home > 전체기사

원자력연·KAI 해킹 통로 VPN 취약점, 한국판 익스체인지 사태로 커지나

  |  입력 : 2021-07-05 11:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
국정원, 지난 4월 S사 VPN 취약점 공지하고 패치할 때까지 사용중지 권고
복수의 북한 전문가들, 3월에 S사 그룹웨어 사칭한 스피어 피싱 공개


[보안뉴스 원병철 기자] 최근 연이어 발생한 한국원자력연구원과 한국항공우주산업(KAI)의 해킹에 같은 VPN 취약점이 활용된 것으로 알려지면서 해당 취약점 이슈가 논란이 되고 있다. 같은 VPN의 제로데이 취약점이 다른 방위사업체에도 악용된 것이 밝혀진다면 한국판 익스체인지 사태로 확대될 우려도 제기된다.

국민의힘 하태경 의원은 지난 7월 1일 기자회견을 열어 북한 정찰총국 산하 해커 조직인 ‘김수키(kimsuky)’로부터 해킹당한 것으로 알려진 한국원자력연구원 사건의 수법과 KAI 해킹 수법이 똑같다고 밝혔다. 이는 대부분의 국가주요시설이 보안상의 이유로 VPN을 사용하는데, VPN에 취약점을 노려 해커들이 공격을 했기 때문이다.

[이미지=utoimage]


한국원자력연구원과 KAI 등 최근 발생한 김수키의 해킹 사건은 수사가 진행 중이어서 어떤 VPN 제품인지, 어떤 취약점인지 아직 정확히 밝혀지지 않은 상태다. 하지만 <보안뉴스>가 취재한 바에 따르면 국가정보원(이하 국정원)은 지난 4월 ‘S사 VPN 장비 보안 취약점 조치 권고’를 공공기관 및 국가주요시설에 배포한 바 있는 것으로 드러났다. 물론 해당 취약점이 한국원자력연구원과 KAI의 해킹 사건에 악용된 취약점인지는 확실하지 않다.

해당 권고는 해당 VPN(모든 펌웨어 버전에서 영향받음)의 사용자 접속용 페이지에서 관리자용 페이지에 접근이 가능하며, 관리자 권한없이 패스워드 변경이 가능하기 때문에 장비 제조사에 보안패치를 요청하고, 특히 보안패치가 완료되기 전까지 운영을 중단하라고 설명했다. 또한, VPN 장비의 보안로그를 확인해 관리자 계정에 접속한 IP가 비인가·외부 IP이거나, 비인가·외부 IP가 관리자 계정과 패스워드를 변경한 경우 등이 확인되면 해킹 피해 발생으로 판단하라고 강조하고 있다. 이와 관련 본지에서 직접 확인한 결과, 5월 말 해당 취약점에 대한 조치가 모두 끝났다고 해당 업체는 밝혔다.

▲VPN 취약점 보안패치 권고[자료=보안뉴스]


그런데 <보안뉴스>는 이번 사건을 취재하면서 S사를 대상으로 한 피싱 공격이 지난 3월에 발생했다는 것을 확인했다. 복수의 북한 사이버공격 전문가들은 해당 사건이 S사의 그룹웨어 사이트로 위장한 가짜 사이트가 만들어져 스피어 피싱 공격이 진행됐다고 설명했다.

즉, S사 그룹웨어 사이트 위장 스피어 피싱 공격과 국정원의 S사 VPN 취약점 보안패치 권고, 한국원자력연구원과 KAI의 VPN 취약점을 이용한 해킹 공격 등이 순차적으로 발생한 것이다.

이번 연쇄 해킹 사건 이후 국정원은 과기정통부와 함께 정부 출연연구기관의 시스템에 대해 기술적 보안조치 여부 등을 점검하고, 취약점이 확인된 VPN 제품에 대해 장비 제조사와 협조해 보안패치를 설치토록 하는 등 추가 피해예방을 위해 노력하고 있다고 밝혔다. 군 역시 해당 VPN 사용을 중지하고, 패치를 진행하라고 공지한 것으로 드러났다.

▲S사 그룹웨어를 사칭한 스피어 피싱 공격[자료=보안뉴스]


다만 이번 해킹 사건들이 S사의 VPN 취약점 때문인지, 또한 S사의 VPN 취약점이라고 하더라도 지난 4월에 취약점 패치가 권고되고 5월에 완료했다는 해당 취약점인지 아니면 또 다른 취약점인지, 5월에 이미 완료된 취약점 패치를 왜 국정원이 해킹 사건 이후 장비 제조사와 협조해 보안 패치를 설치하도록 했는지 등은 아직 확인된 바 없다. 국정원 역시 아직 조사 중이라며 답변을 하지 않았다.

보안업계에서는 이번 VPN 취약점을 노린 해킹사건이 대부분 국가핵심기술을 보유한 출연연에서 발생한 사건인 만큼 ‘수사중’임을 이유로 쉬쉬하지 말고 정보를 공개해 빠르게 대응할 것을 요구하고 있다.

특히, 이번 해킹 사건에서 악용된 VPN의 경우 공공은 물론 민간에서도 사용하는 제품이기 때문에 민간기업에서의 피해 역시 발생할 수 있기 때문이다. 공공의 경우 국정원에서 사건을 조사하지만, 민간을 담당하고 있는 한국인터넷진흥원(KISA)의 경우 수사권이 없기 때문에 피해업체의 신고가 없다면 조사 및 점검 등의 활동이 제한되기 때문에 KAI처럼 이미 피해를 입고도 모르고 지나갈 우려가 크다. 더 큰 피해가 발생하기 전에 발빠른 대처가 필요한 이유다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)