코로나시대로 재택근무가 일반화하면서 가상사설망(VPN)을 통한 해킹 및 악성코드를 심는 ‘백도어설치’가 횡행해 VPN관련 보안대책이 시급한 것으로 지적된다.
이런 와중에 최근 해킹된 것으로 밝혀진 한국원자력연구원과 한국항공우주산업(KAI)에 대한 해킹 역시 포티넷과 펄스시큐어사의 SSL VPN을 통해 해킹된 것으로 드러나 공공기관 VPN이 해킹에 취약한 것으로 8일 확인됐다.
과학기술정보통신부와 국가정보원은 최근 한국원자력연구원과 KAI 해킹사건에 대한 현장조사 및 시스템분석 결과 VPN을 통한 전산망 침투를 확인한 것으로 밝혀내고, 해킹주체는 북한으로 추정되는 해킹조직이라는 결론을 낸 것으로 알려졌다.
북한 해킹 조직이 취약한 VPN망을 타고 들어와 공공기관과 기업에 ‘백도어’를 설치한 것으로 드러남에 따라 향후 추가 피해가 얼마나 더 나올지에 관심이 쏠리고 있다. 실제 일부 공공기관에 설치된 백도어는 여전히 활성화된 상태로, 해당 백도어는 해커에 내부망 진입 경로를 열어줄 것은 물론, 원격 삭제도 가능하다.
이 같은 사실은 한국인터넷진흥원(KISA)이 이번 사건의 핵심인 VPN의 취약점을 주요 업체에 공식 통보하고, 포티넷과 펄스시큐어 등 SSL VPN제조사에 대책 마련을 요청하면서 확인됐다. 특히 과기정통부와 국정원은 이번 해킹사건을 계기로 국방,방위산업,원자력 등 정부부처 및 산하 연구기관을 중심으로 일제 VPN 점검에 착수한 것으로 확인됐다.
이와 관련해 전자신문은 7일 보안업체 팀티파이브사가 북한해킹조직 ‘김수키’란 해커집단이 최근 한국원자력연구원과 KAI 등 국내 주요 기관의 VPN망을 통해 내부로 침입,백도어를 설치한 것으로 확인했다고 보도했다.
국정원은 특히 공공기관에 가장 많이 공급된 포티넷과 이반티코리아(최근 펄스시큐어에서 사명변경) 2개사 VPN 및 SSL VPN솔루션에 대한 집중 점검 및 보안취약 요소에 대한 분석작업을 진행중인 것으로 나타났다.
SSL VPN(가상사설망)은 원격지에서 회사 내부 서버나 시스템자원에 안전하게 연결할 수 있는 가상의 보안사설망으로,인터넷을 마치 전용선처럼 사설망을 구축해주는 솔루션이다. VPN은 통신간 정보를 암호화해 해킹을 통해 정보가 유출되더라도 정보내용을 보호할 수 있는 기능을 갖춘 보안솔루션이다. SSLVPN은 VPN보다 보안기능을 강화한 제품이다.
하지만 재택근무로 SSL VPN을 설치하는 공공기관 및 회사들이 폭증한 가운데 이러한 VPN망을 통해 해킹이나 악성코드를 심어놓는 백도어 설치가 가능한 것으로 드러남에 따라 국가정보원은 원자력연구원과 KAI에 보안이 취약한 VPN 운영을 중단하도록 조치했다.
과기정통부와 국정원은 이들 2개 기관내 보안장비를 통해 해킹 경유지를 차단토록 하는 등 내부 서버를 완전히 분리해놓는 등 긴급 조치한 것으로 확인됐다.
과기정통부와 국정원은 합동으로 이들 2개 기관의 해킹 피해규모와 공격 배후에 대해서도 확인작업을 진행 중이다. 특히 국정원은 이외 국내 모든 공공기관에 대해 보안취약점이 드러난 2개사 VPN 제품에 대해 보안패치를 설치토록 의무화하는 등 추가 피해예방을 막고, 제조사에 대책마련을 하도록 요청한 상태다.
한국원자력연구원과 KAI 등 2개 공공기관 해킹사건을 통해 수요가 폭증하고 있는 VPN의 보안에 구멍이 뚫린 것으로 드러남에 따라 SSL VPN 관련 특단의 보안대책이 필요하다는 지적이다.
실제 보안업체인 뉴스파이어가 2021년 1분기 악성행위를 분석한 결과 대표적인 VPN 기업인 포티넷과 펄스 시큐어의 VPN을 노린 공격이 집중된 것으로 나타났다. 포티넷은 무려 1,916%, 펄스 시큐어는 1,527% 증가했다.
실제 파이어아이는 중국의 해킹조직이 펄스시큐어의 VPN 취약점을 공략, 미국과 유럽의 국방, 정부, 금융기관, 운송회사 시스템에 침투했다고 밝혔다. 보안취약점이 드러난 VPN의 경우 랜섬웨어도 기승을 부리고 있다. 펄스시큐어의 취약점(CVE-2019-1150)을 악용,랜섬웨어가 퍼졌고, 영국의 여행자보험업체인 트래블엑스가 큰 피해를 본 바있다.
공장관리업무를 VPN으로 사용할 경우에도 보안 취약성이 속속 드러나고 있다. 이 때문에 보안업체는 산업시설 관리자들이 VPN 사용시 별도 보안패치 등 추가 대책을 마련해야 한다고 경고하고 나섰다.
보안업계는 이번 사건으로 VPN보안은 절대 담보할 수 없는 것은 물론 해커집단이 회사 내 시스템에 침입하는 중요한 경로로 드러남에 따라 보다 근본적인 대책을 마련해야 한다고 지적한다.
관련기사 = 보안뚫린 LG전자 2017년 이어 또 랜섬웨어 해킹,수백억원대 요구들어줄까?
No comments so far.
Be first to leave comment below.