서비스사업본부 보안분석팀 김미희

3.20 사이버테러, 서울매트로 PC 해킹사고, 한수원 사이버테러 등 매년 크고 작은 보안사고들은 꾸준히 발생되고 있다. 2016년 올해에도 인터파크 개인정보 유출, 국 내부망 해킹사고 등 정보유출사고나 DRM 프로그램 변조를 이용한 악성코드 유포, 국내 대기업 전산망 해킹사고 등 다양한 보안사고가 발생했다.

이에 따라 이번 호에서는 2016년을 마감하며, 올해 발생한 보안 취약점들의 특징과 보안사고 사례들의 공격원인 및 시사점에 대해서 정리해 보고자 한다.

올해 발생된 취약점의 두드러진 특징은 중앙관리형 소프트웨어 취약점과 Oracle, Adobe 등  Vendor의 제품군의 취약점으로 나눌 수 있다. 중앙관리형 소프트웨어 취약점에 대해서는 “3. 2016년 주요 보안사고 현황“에서 자세한 내용을 살펴보고, 먼저 Vendor별 취약점 발생현황은 다음과 같다.

올해에는 보고된 취약점 개수를 기준(CVE Details, Top 50 Vendors By Total Number Of "Distinct" Vulnerabilities in 2016)으로 분류하면 Oracle, Google, Adobe, Microsoft, Novell, IBM, Apple, Cisco, Debian, Canonical순으로 취약점이 발견되었다.

[표 1] 2016년에 발생한 주요 취약점 목록

인터파크 개인정보 유출사고는 유출건수만 따지면 국내에서 발생한 개인정보유출사고의 상위 유출건수에 해당하는 사례는 아니다. 하지만 개인정보보호법 개정을 통해 징벌적 손해배상제도 도입 이후 처음으로 방송통신위원회의 제재 대상이 되어 국내 개인정보유출사고 중 사상 최대금액인 45억 가량이 과징금과 과태료로 부과되어 의미있는 보안사고 사례로 볼 수 있다.

[그림 1] 인터파크 개인정보 유출사고 공격 시나리오

• 발생시점 : 2016년 5월 3일 ~ 5월 6일

• 공격유형 : APT

• 유출정보 : 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목

• 유출건수 : 25,403,576건(중복제거 시 20,510,131명, 다만, 법인 및 개인 탈퇴회원 4,426,240건은 아이디와 일련번호만 유출되어 개인정보 건수에서 제외)

  - 개인정보처리시스템에 최대 접속시간 제한조치를 하지 않은 행위

  - DB서버, 웹서버 등 포함한 시스템 비밀번호 관리 소홀 행위 외 다수 발견

• 처벌사항 : 44억 8,000만원의 과징금 및 2,5000만원의 과태료와 재발방지 대책 수립 등의 시정명령

  - 개인정보보호법의 징벌적 손해배상제도 및 법정 손해배상제도 도입으로 인한 과징금 책정

     (과징금 및 과태료가 개인정보 유출사고 중 최대 금액인 45억 가량 부과)

  - 기술적·관리적 보호조치 위반에 대한  기업의 책임 강조

2016년에는 소프트웨어 취약점과 이를 이용한 공격이 다수 발생되었다. 특히 중앙관리형 소프트웨어(패치, 자산, 보안관리 등 다양한 목적으로 사용되며, 특정 명령어를 통해 일괄적으로 패치 또는 정책을 설정하는 시스템을 의미)의 취약점을 이용한 악성코드 유포 및 정보탈취가 많았다. 

[표 2] 소프트웨어 취약점으로 인한 해킹사고 목록

소프트웨어 취약점을 이용한 해킹사고 중에서 대표적인 사례는 대기업 내부정보 유출사고가 있다. SK네트웍스 등 그룹 계열사 17곳과 대한항공 등 총 160여 개 국내 업체의 내부자료는 PC관리 프로그램의 취약점으로 인해 유출되었다. PC관리프로그램의 관리자 권한 없이 원격 접속을 통해서 임의로 파일배포나 원격제어가 가능했기 때문이다.

[그림 2] 대기업 자료유출 해킹사고 공격 시나리오

• 공격유형 : APT (소프트웨어 취약점 이용)

• 공격대상 : SK네트웍스 등 그룹 계열사 17곳과 대한항공 등 한진 계열 10곳, KT 등 총 160여개 국내 업체

• 유출건수 : 4만 2,608건(복원파일 기준, 방위산업 관련 정보 등 4만187건, 통신설비 등 관련 자료 2421건 등)

   - 3.20 사이버테러 당시 4만 여대의 서버 및 PC파괴로 8823억 상당의 피해 발생

   - 국내 그룹사 하위 PC 및 서버 10만 여대가 공격대상이였으므로 피해 규모가 더 컸을 것으로 예상

  - 중앙관리형 소프트웨어 취약점을 이용한 공격사례

사용자의 데이터를 인질로 잡아 몸값(Ransom)을 요구하는 제품(ware)를 의미하는 랜섬웨어(Ransomware)는 최근 몇 년간 보안이슈에 꾸준히 이름을 올리고 있다. 랜섬웨어는 메일, SNS등을 통해 받은 파일을 통해 감염되거나, DBD(Drive By Download)를 통해 유포된다.

랜섬웨어는 특히 올해에는 기존의 랜섬웨어의 변종이나 소리 등을 제공하는 신종 랜섬웨어의 공격이 치밀해지고 있다.

[그림 3] 2016년 주요 랜섬웨어 목록

2016년 공격자들의 특징 중 하나는 금전목적의 공격성향이 강해진 점을 들 수 있다. 앞서 설명한 랜섬웨어도 금전목적의 대표적인 사례라고 볼 수 있다. 이처럼 공격자들이 피해자에게 간접적인 방식이 아닌 직접적인 과금 또는 금전탈취를 통해서 수익을 창출하게 되면서 금융권(은행, 증권사, 보험, 카드사 등)의 직접적인 공격이 증가하고 있다.

이전에는 금융권공격의 대다수가 국외 금융권이 대상이라면, 최근 몇 년간 2015년 DD4BC의 지방은행 및 증권사 디도스 공격, 2016년 방글라데시의 스위프트(SWIFT)공격 사례와 같이 직/간접적인 공격대상에 국내 금융권이 포함되는 경우가 급격히 증가되고 있다.

2016년 금융권 대상 해킹사고 중 대표적인 사례는 SWIFT를 이용한 방글라데시 해킹사고를 들 수 있다. 공격자들은 글로벌 금융거래 정보를 은행과 기타 금융기관 간 연결 전송기능을 제공하는 SWIFT(Society for Worldwide Interbank Financial Telecommunication)를 이용해 제작된 악성코드로 방글라데시 중앙은행 계좌에서 8,100만 달러(약 966억)원을 탈취하였다.

악성코드 정보가 공개되면서 이전 해킹사고들에 사용된 악성코드와의 유사성으로 북한이 배후로 지목되었으나 확인된 사실은 아니다.  해당 해킹사고를 통해서 완벽할 것 같은 은행 시스템도 보안사고에 노출될 가능성이 존재하면 이를 통해서 금융권도 보안성 강화에 주의를 기울여야 한다는 사실을 다시금 깨닫게 되는 사례로 볼 수 있다.

[1] [정보통신] 인터파크 개인정보 침해사고 조사결과 발표

[2] 인터파크 해킹, ‘역대급’ 과징금 44억에 담긴 함의 3가지

[3] [단독]카드社 해킹당해 선불카드 털렸다

[4] 영국의 테스코뱅크 4만 개 계좌 해킹당하다

[5] 2016 상반기 랜섬웨어 동향