Home > 전체기사
한수원 사태, 내부망 해킹 시나리오 몇 가지
  |  입력 : 2014-12-19 09:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
폐쇄망 맹신 오히려 독...원전 사이버보안 기술개발 필요성 제기


[보안뉴스 특별취재팀] 본지가 단독보도한 한국수력원자력(이하 한수원) 전현직 직원의 개인정보 유출사건이 국가기밀인 설계도 유출로까지 이어지면서 한수원내 업무망이 해킹당했을 가능성이 제기되고 있다. 그러나 한수원 측은 해당 개인정보 파일이 사외 인터넷망 임직원용 서비스 자료로 추정된다며, 사내 업무망 자료는 안전히 보관되고 있다고 밝혔다.


과연 사내 업무망이 안전할까. 이와 관련 해킹 피해에 정말 안전할 수 있을지 보안 전문가들의 의견을 들어봤다.


이와 관련 시스템침투테스터 A씨는 “한국수력원자력의 시스템이 어떻게 구축되어있는지 모르고 각 기관별로 시스템망 구축상태가 모두 다르기 때문에 피해 여부에 대해서 단정 짓기는 어려우나 보통 망이 분리되어 있다고 해도 내부와 외부를 연결할 수 있는 PC가 1대 정도는 있기에 피해의 위험성이 전혀 없다고 말할 수 없다”고 전했다.


또 다른 시스템침투테스터 B씨 역시 “폐쇄망일지라도 노후된 내부 시스템을 최신버전으로 업데이트 하기 위해서는 인터넷망에 연결하거나 USB 등으로 패치해야 한다”며 “이 과정에서 내부망으로 접근할 수 있는 통로가 마련되기에 해킹에 완전히 안전한 폐쇄망은 거의 없을 것”이라고 전했다.


그래이해쉬 이승진 대표는 “회사 환경에 따라 다르지만 일반적으로 업무를 위해 내부망의 자료를 외부로 보내야 하는 일이 비일비재하다”며 “자료를 옮기는 과정 등에서 해킹사고가 발생할 수 있다”고 언급했다.


이들은 일례로 몇 가지 가능성을 언급했다.


먼저 해커는 이메일 등을 통해 외부망에 연결된 사람들의 PC를 악성코드에 감염시킨다. 내부자가 악성코드 감염 PC에 USB 등과 같은 저장매체를 꽂으면 해당 저장매체를 악성코드에 감염시키고 이 저장매체를 내부자가 내부망 PC에 연결시킨다면 내부망에 있는 PC 역시 악성코드에 감염된다. 이때 해당 저장매체에 내부망 PC의 자료를 옮긴 뒤 내부자가 이를 모르고 다시 외부망의 PC에 연결시킨다면 해커에게 자료를 보내는 형식으로 내부자료 유출 및 해킹 등이 가능하다.


다른 방법으로는 외부망 컴퓨터를 장악한 뒤 같은 네트워크에 있는 업데이트 서버를 통해 업데이트 파일을 악성파일로 변조한 후, 내부망 컴퓨터가 업데이트 서버의 악성코드를 내려받아 실행하면 악성코드에 감염되는 방식이 있다.


이외에도 외부망 PC를 감염시킨 후 같은 네트워크의 관리자에 접근하고 키로깅 등을 통해 업데이트 서버 또는 자료서버 등을 감염시켜 내부망으로 침투하는 방법 등 내부망과 외부망이 분리되어 있을 지라도 네트워크 관리자 실수 등의 이유로 해킹 가능성은 충분히 있다는 것이 이들의 의견이다.


특히, 이란 나탄즈 원자력 시설에 악성코드를 침투시켜 원심분리기의 가동을 수 개월 중단시킨 사례나, 일본 후쿠이현 몬주 핵발전소내 reactor 제어실 컴퓨터에서 악성코드가 발견된 것 등이 폐쇄망 공격이 가능하다는 것을 보여주는 사례이기도 하다.


지난 9일 해커가 이메일을 통해 한수원을 표적공격 한 바 있다. 당시 한수원 측은 발 빠른 대처로 피해가 전혀 없었다고 밝혔지만, 일각에서 일부 피해가 발생했었다고 전해지면서 한수원이 해킹 가능성에 무게가 실리고 있다.

 

이와 함께 한수원을 해킹했다고 주장하는 ‘Who Am I’라는 그룹이 블로그를 통해 △원자력발전소 주변 주민 방사선량 평가 프로그램/K-DOSE 60 Ver. 2.1.2을 찍은 캡쳐파일 △원자력 발전소의 주요 문건 등을 공개하면서 이미 해커들이 한수원 내부망 전체를 장악했을 가능성도 상당히 높다는 관측도 나오고 있다.

특히 한수원은 2011년 국정감사에서 발표한 바와 같이 2011년 1월부터 8월까지 3회, 2008년 8월부터 2011년 8월까지는 총 819회의 해킹 공격 시도가 발생했다. 또한, 한국수력원자력에 부품을 지원하는 기업들이 지속적으로 해킹공격에 노출된 바 있다. 따라서 해커들은 이미 한수원에 대한 사전정보를 가지고 있을 가능성과 오랜 시간 해킹을 위해 사전준비를 했을 가능성이 매우 높다.


보안전문가 C씨는 “망 분리에 대한 맹신이 오히려 사고를 부른다”며 “원전 사이버보안 기술을 개발하기 위해 꾸준히 노력해야 한다”고 강조했다.


보안전문가 D씨는 항상 “최신 보안위협 인텔리젼스 정보에 관심을 가지고 보안팀을 운영해야 한다”며 “상시 관제 및 운영으로 이상징후를 빠르게 포착하고 전사적인 보안교육을 수행해 의심스러운 이메일을 수신할 경우 빠르게 보안팀에 신고할 수 있도록 해야 한다”고 전했다.


맨디언트 심영섭 이사는 “군사적 정치적 목적으로 산업이나 국가기관망 등을 타깃으로 캠페인이 벌어지는 경우가 실제로 있다. 잘 준비된 조직이 장기간에 걸쳐서 충분히 검토하고 공격을 감행하기에 이를 탐지하긴 어렵다”며 “타깃이 된 기관 및 기업 등이 침해사고를 알아차렸을 당시에는 해커들이 이미 원하는 목적을 달성했을 가능성이 상당히 높다”고 전했다.


대안으로 그는 각 기관이 전문가, 적절한 기술, 인텔리전스를 갖추어야 한다는 입장을 밝혔다. 그는 “전문가는 침해사고 분석을 할 수 있는 전문가여야 하고, 기술은 침해사고가 발생했을때 신속히 대응할 수 있는 기술이어야 하며 인텔리전스는 해당 기관이 당했던 공격 등을 집대성한 내부 인텔리전스와 외부 인텔리전스 중 참고할 수 있을만한 인텔리전스를 보유하고 있어야 한다”고 밝혔다.

[보안뉴스 특별취재팀(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)