외교부 산하기관 한국국제협력단(KOICA)이 운영하는 홈페이지 중 한 곳이 해킹돼 수천명의 회원정보가 유출된 가운데, KOICA가 주된 해킹 원인으로 보안장비 자체 결함을 꼽았다. 하지만 관리상 허점이 전혀 없었다고 봐야 할지는 의문이다.
KOICA는 이달 12일부터 운영 홈페이지 전수 보안점검을 계획하고 진행하다가, 지난해 12월 11일 공적개발원조(ODA) 교육원 홈페이지에 해킹이 발생해 회원 7천735명의 개인정보가 유출됐음을 확인했다.
26일 KOICA 측 안내에 따르면 운영 중이던 웹방화벽 보안장비 동작에 결함이 있었다. 웹방화벽은 네트워크에서 웹프로토콜(HTTP)로 전송되는 데이터(패킷)에서 악성 공격 시도나 악성코드 전달 움직임을 찾아 차단하는 보안장비다.
어떤 결함이었을까. KOICA 담당자는 관련 문의에 "보안점검 과정에서, 웹방화벽 장비가 웹서버로 유입되는 악성코드를 차단했다는 표시를 띄웠지만 실제로는 시스템이 감염당한 것으로 파악됐다"며 "당연히 차단이 됐어야 하는데 그렇지 못한 것"이라고 강조했다.
보안장비를 개발, 공급한 업체 쪽에 사고 책임을 일부 물을 수도 있어 보인다. KOICA 측은 "문제의 제품과 공급업체 이름은 밝힐 수 없다"며 "(문제를 제기할) 생각이 없진 않지만 아직 조사가 진행중이라 어떻게 대응하겠다고 답할 상황은 아니다"라고 답했다.
웹서버를 감염시킨 악성코드는 웹셸(webshell) 유형이었다. 웹셸은 클라이언트 명령어를 서버로 전달해 동작하게 만드는 악성코드 유형을 가리킨다. 서버의 저장장치에서 출처를 알 수 없는 데이터나 파일 형태로 발견되는 경우가 많다.
악성코드 감염 피해를 모두 보안장비 탓으로 돌릴 순 없다. 보안컨설팅회사 플라이하이의 김기영 대표는 "(악성코드 침입을) 보안장비에서 걸러내지 못했어도 서버 디스크에 모르는 게 들어와 있는지 확인하지 못한 건 관리상 문제"라고 말했다.
공격 주체나 악성코드의 발원지는 불분명하다. 일단 통신이 이뤄진 지역으로 중국IP가 나왔다. 이것만으로 중국발 해킹이라고 단정할 순 없다. KOICA 측은 "중국IP가 탐지됐지만 중국해커 공격이라 단정할 수는 없고 당국의 추가 분석이 진행돼야 한다"고 언급했다.
KOICA는 ODA교육원 홈페이지 웹서버 해킹을 당해 전체 1만8천여명의 회원 중 7천735명의 개인정보가 유출됐다. ODA자격증 시험 응시, 강의 신청 및 환불 관련 정보를 건넨 일반인 및 학생 회원들이 주로 피해를 봤다.
유출당한 개인정보 유형은 이름, 생년월일, 주소, 가상계좌번호, 이메일, 암호화된 주민등록번호 등이다. KOICA 측은 "주민등록번호는 이를 저장한 DB 자체로 (양방향) 암호화됐다"며 "키값은 유출되지 않아 복호화에 따른 도용 우려는 없다"고 설명했다.
주민등록번호 도용 가능성과는 별개로 개인정보 유출에 따른 2차피해 예방이 필요한 상황이다. KOICA는 ODA교육원 홈페이지의 별도 팝업 공지를 통해 KOICA 대표홈페이지 비밀번호 변경, 금융사기 시도 주의, 악성코드 감염 예방 등 조치를 권고했다.
관련기사
- 한국국제협력단 해킹...7천여 개인 정보 유출2018.06.26
- "침해사고 80%, 게시판 관리 부실 탓"2018.06.26
- 인포섹, 공개웹게시판 웹쉘 취약점 발견2018.06.26
- 홈페이지 해킹 여부 이렇게 확인하라2018.06.26
금융사기 피해와 악성코드 감염 예방 조치는 개인별 이름과 이메일과 같은 연락처 정보가 유출됐기 때문에 권고된다. 일반적으로 이메일, 문자, 카카오톡 메신저를 통해 지인이 보낸 인터넷 링크, 첨부파일, 앱 설치 클릭 유도시 악성코드 유포 가능성을 유의해야 한다.
더불어 금융사를 자처하며 전화, 문자로 신용정보 유출 알림이나 상담원 전화를 통해 비밀번호, 주민등록번호, 계좌번호, 보안카드번호 등 추가정보를 요구할 수 있다. 이런 연락을 받을 경우 보이스피싱을 의심해야 한다.
