□ MS･LG유플러스 등 국내외 기업･학술기관 겨냥한 해킹･전산장애 잇달아 발생

ㅇ 최근 글로벌 주요기업과 국내 학술기관 대상으로 사이버 공격이 연이어 발생하며 개인정보 유출 등 사이버 보안에 대한 불안감 가중

□ 사이버 공격 예고한 中 해킹그룹 ‘샤오치잉(晓骑营)’, 국내 12개 학술기관 해킹

ㅇ 국내 기관 등에 대한 사이버 공격을 예고했던 중국 해킹 그룹 샤오치잉이 실제로 대한건설정책연구원, 우리말학회, 한국고고학회를 비롯한 12개 국내 학술기관 홈페이지 해킹

※ △건설정책연구원 △우리말학회 △한국고고학회 △한국학부모학회 △한국교원대학교 유아교육연구소 △한국보건기초의학회 △한국사회과수업학회 △한국동서정신과학회 △대한구순구개열학회 △한국시각장애교육재활학회 △제주대학교 교육과학연구소 △한국교육원리학회 등

- 지난 1월 22일 대한건설정책연구원 홈페이지를 공격한 샤오치잉은 1월 24일 오후 10시 30분쯤 자신의 텔레그램과 홈페이지에 11개 국내 학술기관의 인터넷주소(URL)를 올리며 해킹을 예고

- 이후 대한건설정책연구원을 비롯한 11곳의 학술기관 홈페이지가 해킹을 당한 사실이 1월 25일 확인

- 샤오치잉은 해커조직의 로고와 ‘한국 인터넷 침입을 선포한다’는 문구가 적힌 페이지로 사이트를 변조하는 방식으로 해킹을 했으며 해킹된 웹 사이트는 현재 접속이 불가능해 피해가 빚어지고 있는 상황

- 해커조직의 것으로 확인된 인터넷주소(IP)들을 차단한 후 해커조직이 ‘관리자 권한’까지 탈취했을 경우 IP 차단 후에도 웹 변조가 가능하고 피해가 장기화될 수 있어 탈취 여부를 우선적으로 조사 중

- 또한, 과기정통부와 KISA 등 보안 당국과 국가정보원, 경찰은 해킹 범죄자 추적 등 수사공조 시작

- 이번에 해킹을 당한 12곳은 방화벽을 아예 구축하지 않았거나 혹은 웹 호스팅 업체를 통해서 홈페이지를 구현한 곳이기 때문에 해커의 공격 수준이 그다지 높은 수준은 아닌 것으로 분석

- 샤오치잉은 시스템의 보안 취약점 발견 후, 이를 막을 수 있는 패치가 발표되기 전에 해당 취약점을 이용해 공격하는 ‘제로데이 공격’ 수법을 사용했다고 주장

- 이들이 다른 해외 해커조직과 달리 피해 기관에 금전적인 보상 요구를 하지 않고 명확한 해킹 이유를 밝히지 않았다는 점에서 단순히 영향력을 드러내기 위한 과시용 사이버 공격으로 풀이

- 다만, 홈페이지 탈취로 기관 구성원의 e메일 주소 등 개인정보를 탈취한 후 악성코드를 배포해 더 민감한 정보를 뺏는 랜섬웨어 공격으로 이어질 수 있는 가능성 염두

※ 샤오치잉은 앞서 오픈소스 커뮤니티 깃허브에 식품의약품안전처･국립과학수사연구원･포스코 등 국내 기업･기관 구성원 161명의 이름･계정･전화번호･주소･e메일 등 개인정보를 노출한 만큼, 2차 공격이 현실화될 우려 제기

- 또한, 이들이 텔레그램을 통해 “한국 스트리머에 화가 나서 해킹을 하게 됐다”고 언급하며 최근 코로나 19 재확산 때 중국인 입국 규제를 강화한 점과 온라인 상에서 김치, 한복, 설 등을 두고 한국과 중국이 원조 논쟁을 편 것 등이 영향을 미친 것으로 분석

- 샤오치잉은 향후 국내 공공 기관 사이트에서 탈취한 데이터 54GB 상당을 공개하겠다는 예고문을 게시했으며 한국인터넷진흥원(KISA) 및 2,000개 국내 기관을 겨냥한 해킹 공격도 예고

ㅇ 이번 해킹 공격을 한 샤오치잉과 동일한 것으로 추정되는 집단이 문화체육관광부와 유관기관 등 문체부 사이버안전센터가 보안관제를 담당하는 113개 기관 중 일부에 ‘부정한 액세스’를 시도한 정황이 포착되었으나 시스템 감시 기능에 의해 자동 차단(1.21~24)

- 부정한 접근을 시도한 세력의 정체는 아직 명확하게 규명되지 않지만, 중국 해커가 한국 기관을 공격하겠다고 예고한 점이나 인터넷 프로토콜(IP) 정보 등으로 미뤄볼 때 국내 학술기관 사이트를 공격한 이들과 같은 해커인 것으로 추정

□ 중국 제외한 전 세계, MS 클라우드 네트워크 장애로 7시간 장애 발생

ㅇ 세계 최대 소프트웨어 업체 마이크로소프트(MS)의 클라우드 서비스 ‘애저(Azure)’가 1월 25일(현지시간) 장애가 발생해 약 7시간 동안 오류 지속

- 애저 서비스 장애는 중국(현지 서비스 및 정부기관의 클라우드 플랫폼)을 제외한 아메리카, 유럽, 아시아･태평양, 중동, 아프리카 대륙에서 광범위하게 발생

※ MS는 이번 클라우드 네트워크 장애에서 중국만 괜찮았는지 등에 대해서는 밝히지 않았지만 MS 애저 글로벌 서비스와 중국 서비스가 물리적으로 분리돼 독립적으로 운영되기 때문에 중국에서 장애가 발생하지 않은 것으로 분석

- 애저 장애로 MS의 협업 툴인 팀즈(Teams)와 개인 정보 관리자 응용 프로그램인 아웃룩(Microsoft Outlook), 웹메일 등이 마비

※ 1월 25일 오전 3시부터 아웃룩과 팀즈 등 기능이 되지 않는다는 신고 급증

- MS는 광대역 네트워크(WAN)에 대한 설정을 변경하는 과정에서 인터넷과 핵심 서비스간 연결문제가 발생하고 있다고 파악한 뒤, 장애 발생 이전의 데이터로 돌리는 네트워크 롤백(rollback) 조치 단행

- 이후 7시간 반가량이 지난 오전 9시 30분쯤 정상 복구하였으며 정확한 오류 원인을 비롯해 추가 피해 가능성 등을 조사 중

- 전 세계 1,500만 개 기업이 이용 중인 MS 애저는 활성 이용자 수만 5억 명 이상으로 아직까지 정확한 규모는 공개되지 않았지만 아메리카, 유럽, 아시아･태평양, 중동, 아프리카 대륙 등 서비스 장애가 광범위하게 발생한 만큼 피해 고객 수도 상당할 것으로 예상

- MS는 아마존웹서비스(AWS)에 이은 전 세계 2위 클라우드 서비스 사업자(CSP)인 만큼 이번 클라우드 서비스 마비 사태로 인한 클라우드 보안에 대한 우려 가중

□ LG유플러스, 내부 서버 디도스(DDoS) 공격으로 두 차례 유선망 접속 마비

ㅇ LG유플러스 인터넷망이 1월 29일 두 차례 걸쳐 접속 장애가 발생하며 일부 LG유플러스 이용자들 사이에서 유선 인터넷 접속이 간헐적으로 끊기는 현상이 발생

- 오전 3시경 디도스 공격으로 추정되는 대용량 데이터가 유입되며 약 19분 동안 일부 유선 인터넷망에 일시적인 문제가 발생한데 이어 이날 오후 6시 경 다시 약 22분 간 인터넷 접속 장애가 발생하며 이용자 불편 호소

- 이로 인해 LG유플러스 인터넷망을 사용하는 마트･상점 등 매장에서 신용카드 결제 일시 중단, 온라인 게임 접속 장애, 온라인 업무 중단 등 피해 사례 속출

- LG유플러스는 인터넷 접속 장애가 생긴 시점에 디도스로 추정되는 대용량 트래픽이 발생한 점을 미루어보아 인터넷 접속 장애 원인을 외부 사이버 공격으로 추정

※ 디도스 공격은 대량의 데이터를 서버에 보내 과부하를 일으키는 사이버 테러

- LG유플러스는 우회루트를 확보하여 서버를 복구했으며 현재 접속 장애 현상은 복구가 완료된 상태

- 이번 장애에 대해 일각에서는 최근 한국 정부를 대상으로 한 대대적인 공격을 예고한 중국 해커조직 샤오치잉의 소행 추측도 제기되었지만 LG유플러스는 해당 해커 집단과는 관련이 없다고 표명

- 정부는 인터넷 접속 장애를 일으킨 LG유플러스에 피해 규모를 다시 파악하라고 요청했으며 과기정통부, 인터넷진흥원은 이번 LG유플러스 인터넷 장애에 대해서 구체적으로 파악에 나설 예정

ㅇ 앞서, 설 연휴 기간(1.21~24)에는 LG유플러스의 PC방 전용 인터넷 서비스 ‘PC방넷’을 사용하는 전국 각지의 PC방이 디도스 공격에 노출

- 디도스 공격으로 짧게는 30분에서 반나절 가까이 인터넷이 먹통이 됐으며 하루에도 수차례에 걸쳐 디도스 공격이 이뤄졌다는 사례 다수

ㅇ 또한 1월 10일에는 외부 공격을 당해 최소 18만 명의 LG유플러스 개인정보가 유출

- 유출된 정보의 항목에는 성명, 생년월일, 전화번호 외에도 가입자 고유식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심번호, 이메일, 가입일, 가입 상품명, 고객정보 변경 시간 등이 포함

- LG유플러스는 유출고객을 대상으로 유심 교체를 무료로 지원하고 있으며 정부는 이번 개인정보 유출 사태에 대한 현장 조사를 진행 중

□ 연말정산 시즌 노린 국세청 사칭 해킹 시도 정황도 포착

ㅇ 국세청에서 발송한 안내문으로 위장한 ‘[국세청] 세무조사 출석요구 안내통지문’ 제목 이메일을 통해 해킹 시도 발견

- 발신자 이메일 주소는 ‘국세청 <hometaxadmin@nts.go.kr>’으로 기재되어 있으며 진짜 국세청에서 이메일을 보낸 것처럼 정교하게 조작

- 메일에서 ‘세무조사 신고서류안내.pdf’ 문서 파일이 첨부된 것처럼 보여지지만, 파일은 실제 메일에 첨부된 상태가 아니고 한국의 특정 경제문화교류협회 사이트와 통신한 후, 네이버 계정 피싱용 서버로 연결해 계정 탈취를 시도

- 피싱 공격에 속아 수신자가 암호를 입력해 유출되면, 실제 국세청 출석 시 필요한 세무조사 신고 안내 PDF 문서를 보여주는 등 나름 치밀하게 공격을 진행

- 이스트시큐리티 시큐리티대응센터에 따르면 해킹 경유지로 사용된 공격자 서버에는 특정인의 주민등록증, 운전면허증, 사업자등록증 등도 함께 발견되었으며 피싱 공격을 입은 후 이메일에 저장된 개인정보가 추가 유출됐을 가능성에 무게를 두고 후속 분석 작업을 진행 중

- 확인된 피해 대상자가 주로 비트코인 등 가상자산 분야 투자인 만큼, 외화벌이 목적으로 진행된 사이버 공격으로 추정

□ 우리 정부는 사이버 위협 분석과 예측, 보안 투자 확대 등으로 사고 예방 노력

ㅇ 과기정통부는 ‘2022년 사이버 보안 위협 분석 및 2023년 사이버 보안 위협 전망’ 발표

ㅇ 2023년 사이버 보안에 대응하기 위하여 △경계형 보안에서 제로트러스트 보안으로 전환 △공급망 보안체계 도입 △사이버 레질리언스 대응체계 전환하는 등 사이버 공격에 선제적으로 대응해 나갈 방침

- (제로트러스트) 기업 업무망이 복잡해지고 연결망 경계가 모호해지면서 내부 직원의 계정과 권한을 탈취한 해커를 정상 이용자로 신뢰하면서 내부망의 자료가 유출되는 등 사고사례가 증가

- 이러한 문제를 해결하기 위해 모든 대상에 대한 잠재적인 위협을 미리 식별하고 새로운 접근에 대해서는 거듭 확인하여 적절한 권한을 부여하는 ‘제로트러스트’ 보안으로 전환할 방침

- (공급망 보안체계 도입) 소프트웨어 공급망의 보안 위협을 줄이고 위험성을 관리해야 할 필요가 높아진 만큼, 공급망 보안 강화할 계획

- (사이버 레질리언스) 고도화된 방어체계에도 불구하고 예측 불가능한 침해사고가 발생하기 마련이며 조직은 방어에만 치중하기보다는 그 피해가 확대되지 않도록 조기에 대응하고 회복하는 대응체계를 갖추는 것이 중요

- 사이버 침해를 당하더라도 업무 중단이 되지 않도록 백업체계를 마련하고 신속한 복구 절차를 사전에 훈련하는 등 사이버 레질리언 대응체계를 도입할 예정

ㅇ 아울러 금년 정부 정보보호 정책 사업에 전년대비 4.5%p 증가한 2,928억 원을 투입하며 사이버보안 인력･산업 육성, R&D 등 정부 주요정책 사업 예산을 고루 증액

- (사이버 보안 인력양성) 사이버 인재 양성을 위한 청사진으로 융합 보안 대학원, 정보보호 특성화 대학 등 보안 교육 전문대학 육성과 보안 솔루션 개발자 육성 프로그램(S-개발자) 등 다양한 신규 특화 교육 사업을 추진할 방침

- (정보보호 산업 육성 확대) 혁신 보안 제품의 인증 절차를 최소화하는 신속확인제 도입에 따라 보안 기업의 공공 시장 진출도 가속화될 전망

- (사이버 위협 대응 보안 기술 R&D 활성화) 각 부처는 차세대 보안 기술개발을 통해 디지털･지능화를 통한 국민 안전성 강화할 방침