Home > 전체기사

원자력연·KAI 해킹 통로 VPN 취약점, 한국판 익스체인지 사태로 커지나

  |  입력 : 2021-07-05 11:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국정원, 지난 4월 S사 VPN 취약점 공지하고 패치할 때까지 사용중지 권고
복수의 북한 전문가들, 3월에 S사 그룹웨어 사칭한 스피어 피싱 공개


[보안뉴스 원병철 기자] 최근 연이어 발생한 한국원자력연구원과 한국항공우주산업(KAI)의 해킹에 같은 VPN 취약점이 활용된 것으로 알려지면서 해당 취약점 이슈가 논란이 되고 있다. 같은 VPN의 제로데이 취약점이 다른 방위사업체에도 악용된 것이 밝혀진다면 한국판 익스체인지 사태로 확대될 우려도 제기된다.

국민의힘 하태경 의원은 지난 7월 1일 기자회견을 열어 북한 정찰총국 산하 해커 조직인 ‘김수키(kimsuky)’로부터 해킹당한 것으로 알려진 한국원자력연구원 사건의 수법과 KAI 해킹 수법이 똑같다고 밝혔다. 이는 대부분의 국가주요시설이 보안상의 이유로 VPN을 사용하는데, VPN에 취약점을 노려 해커들이 공격을 했기 때문이다.

[이미지=utoimage]


한국원자력연구원과 KAI 등 최근 발생한 김수키의 해킹 사건은 수사가 진행 중이어서 어떤 VPN 제품인지, 어떤 취약점인지 아직 정확히 밝혀지지 않은 상태다. 하지만 <보안뉴스>가 취재한 바에 따르면 국가정보원(이하 국정원)은 지난 4월 ‘S사 VPN 장비 보안 취약점 조치 권고’를 공공기관 및 국가주요시설에 배포한 바 있는 것으로 드러났다. 물론 해당 취약점이 한국원자력연구원과 KAI의 해킹 사건에 악용된 취약점인지는 확실하지 않다.

해당 권고는 해당 VPN(모든 펌웨어 버전에서 영향받음)의 사용자 접속용 페이지에서 관리자용 페이지에 접근이 가능하며, 관리자 권한없이 패스워드 변경이 가능하기 때문에 장비 제조사에 보안패치를 요청하고, 특히 보안패치가 완료되기 전까지 운영을 중단하라고 설명했다. 또한, VPN 장비의 보안로그를 확인해 관리자 계정에 접속한 IP가 비인가·외부 IP이거나, 비인가·외부 IP가 관리자 계정과 패스워드를 변경한 경우 등이 확인되면 해킹 피해 발생으로 판단하라고 강조하고 있다. 이와 관련 본지에서 직접 확인한 결과, 5월 말 해당 취약점에 대한 조치가 모두 끝났다고 해당 업체는 밝혔다.

▲VPN 취약점 보안패치 권고[자료=보안뉴스]


그런데 <보안뉴스>는 이번 사건을 취재하면서 S사를 대상으로 한 피싱 공격이 지난 3월에 발생했다는 것을 확인했다. 복수의 북한 사이버공격 전문가들은 해당 사건이 S사의 그룹웨어 사이트로 위장한 가짜 사이트가 만들어져 스피어 피싱 공격이 진행됐다고 설명했다.

즉, S사 그룹웨어 사이트 위장 스피어 피싱 공격과 국정원의 S사 VPN 취약점 보안패치 권고, 한국원자력연구원과 KAI의 VPN 취약점을 이용한 해킹 공격 등이 순차적으로 발생한 것이다.

이번 연쇄 해킹 사건 이후 국정원은 과기정통부와 함께 정부 출연연구기관의 시스템에 대해 기술적 보안조치 여부 등을 점검하고, 취약점이 확인된 VPN 제품에 대해 장비 제조사와 협조해 보안패치를 설치토록 하는 등 추가 피해예방을 위해 노력하고 있다고 밝혔다. 군 역시 해당 VPN 사용을 중지하고, 패치를 진행하라고 공지한 것으로 드러났다.

▲S사 그룹웨어를 사칭한 스피어 피싱 공격[자료=보안뉴스]


다만 이번 해킹 사건들이 S사의 VPN 취약점 때문인지, 또한 S사의 VPN 취약점이라고 하더라도 지난 4월에 취약점 패치가 권고되고 5월에 완료했다는 해당 취약점인지 아니면 또 다른 취약점인지, 5월에 이미 완료된 취약점 패치를 왜 국정원이 해킹 사건 이후 장비 제조사와 협조해 보안 패치를 설치하도록 했는지 등은 아직 확인된 바 없다. 국정원 역시 아직 조사 중이라며 답변을 하지 않았다.

보안업계에서는 이번 VPN 취약점을 노린 해킹사건이 대부분 국가핵심기술을 보유한 출연연에서 발생한 사건인 만큼 ‘수사중’임을 이유로 쉬쉬하지 말고 정보를 공개해 빠르게 대응할 것을 요구하고 있다.

특히, 이번 해킹 사건에서 악용된 VPN의 경우 공공은 물론 민간에서도 사용하는 제품이기 때문에 민간기업에서의 피해 역시 발생할 수 있기 때문이다. 공공의 경우 국정원에서 사건을 조사하지만, 민간을 담당하고 있는 한국인터넷진흥원(KISA)의 경우 수사권이 없기 때문에 피해업체의 신고가 없다면 조사 및 점검 등의 활동이 제한되기 때문에 KAI처럼 이미 피해를 입고도 모르고 지나갈 우려가 크다. 더 큰 피해가 발생하기 전에 발빠른 대처가 필요한 이유다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)