[단독] 中 해커, 산업부 산하 재단법인 뚫었다

깃허브에 유포된 161건 개인정보, 한국인정지원센터서 유출된 것으로 추정

컴퓨팅입력 :2023/01/27 19:32    수정: 2023/01/28 13:55

깃허브에 올라온 161명의 개인정보가 산업통상자원부 산하 재단법인인 한국인정지원센터(KAB)에서 유출된 것으로 추정된다.

27일 보안 업계에 따르면 중국 해커그룹 '샤오치잉(晓骑营)'이 유포한 것으로 추정되는 161명의 개인정보는 민간기구인 한국인정지원센터에서 유출된 데이터일 가능성이 높은 것으로 파악됐다.

한국인정지원센터 개인정보유출대응TF팀은 "지난 26일 오후 수사기관으로부터 해외 해커조직의 해킹으로 회원 정보가 유출됐을 수 있다는 연락을 받아 관련 자료를 제출했다"며 "현재 한국인터넷진흥원(KISA)이 조사하고 있으며, 정확한 유출 경위와 일시, 개인정보 유출 건수 등에 대해서 확인하고 있는 중"이라고 말했다.

이어 "아직 자사 홈페이지에서 유출된 정보가 맞는지 확실치 않으며, 161건이 맞는지도 정확하지 않다"며 "조사 완료 후에 정확한 확인이 가능할 것 같다"고 말했다.

(사진=픽사베이)

한국인정지원센터에 따르면 현재까지 확인된 유출개인정보 항목은 이름, 아이디, 비밀번호, 생년월일, 이메일, 연락처, 주소, 소속 회사, 근무부서, 소속 회사 주소 등 총 10개다.

한국인정지원센터는 회원들에게도 개인정보 유출 사실을 통지했다. 한국인정지원센터는 해당 사실을 통지하며 "유출 통보를 받은 후 즉시 KISA에 신고하고, 해당 IP와 불법접속 경로를 차단했으며 취약점 점검과 보완 조치를 이행했다"며 "또한 유지보수 업체에서는 관련 수사기관과 협조해 모니터링 체계를 강화했다"고 밝혔다.

이어 "혹시 모를 피해를 최소화하기 위해 한국인정지원센터 홈페이지 회원 정보의 비밀번호를 즉시 변경해주실 것을 간곡히 부탁드린다"며 "재발방지를 위해 회원 로그인 절차 개선 등 필요한 모든 조치를 취하겠다"고 덧붙였다.

한국인정지원센터는 산업부로부터 인정기관으로 지정받은 산하 재단법인으로, 품질 및 환경 분야를 포함한 경영시스템 인증과 자격인증 분야의 인정기관으로 활동하고 있다. 산업부 지원 아래 환경경영시스템, 녹색경영시스템, 식품안전경영시스템, 정보보안경영시스템, TL 9000, ISO 45001, ISMS, FSSC 22000, 반부패, 비즈니스연속성 및 항공우주 품질경영시스템 등에 대한 인정업무를 관장하고 있다.

지난 25일 KISA에 따르면 중국 미상의 해커조직인 '샤오치잉'은 대한건설정책연구원을 비롯해 12개 국내 학술기관의 홈페이지를 해킹했다. 샤오치잉에 대한 관심이 집중된 가운데, 이달 7일 깃허브에 161명의 개인정보를 유포한 이들은 샤오치잉의 전신인 '텅 스네이크(Teng Snake·腾蛇)'인 것으로 파악됐으며, 해당 정보는 지난해 11월 이들이 이미 공개했던 정보였던 것으로 확인됐다. (☞관련기사) 당시 이들은 161명의 개인정보를 한국 정부 플랫폼에서 빼냈다고 주장했으나, 그 출처가 정확히 어딘지는 밝혀지지 않았다. 

깃허브에 유포된 161명의 개인정보를 분석해 보면, 이들의 소속은 ▲LG전자 ▲LG화학 ▲삼성전기 ▲포스코 ▲식품의약품안전처 ▲국립수산과학원 ▲제주에너지공사 ▲한국환경공단 ▲검찰 ▲서울시 등으로 파악된다.

개인정보가 유출된 이들은 품질 및 환경 분야를 포함한 경영시스템 인증 등을 받기 위해 한국인정지원센터에 가입한 회원이었을 것으로 추정된다. 이들이 한국인정지원센터에 가입한 아이디와 비밀번호를 자신들이 속한 기업·기관에서 동일하게 사용했다면, 해커가 이를 활용해 해당 기업·기관도 침투했을 가능성이 있어 추가 해킹 우려가 제기된다.

보안 전문가는 샤오치잉의 공격 수법이 지난해 삼성, LG, 마이크로소프트를 해킹했던 '랩서스(Lapsus$)' 수법과 동일한 것으로 분석했다. 마이크로소프트를 해킹할 당시, 랩서스는 임직원 계정을 구매해 이를 통해 소스코드를 빼냈다. 다크웹 추적에 정통한 국내 보안 전문가는 "샤오치잉의 수법은 직원 계정을 획득해 이를 통해 데이터를 유출하는 랩서스의 공격 수법이랑 같다"며 "다크웹에서 계정을 사면 한국 기업에도 침투할 수 있어 조심해야 한다"고 말했다.

이어 "SQL 인젝션 공격으로 해당 기관이 해킹당했을 가능성이 있다"며 "SQL 인젝션 공격은 일반적으로 웹해킹에 가장 많이 사용되는 기법으로, 서버와 사용자 수준에 따라서 천차만별"이라고 설명했다. SQL 인젝션 공격은 공격자가 웹사이트로 데이터베이스(DB) 명령어인 SQL을 보내, 운영자가 의도하지 않은 DB조작을 할 수 있게 만드는 수법이다.

KISA는 이번 사안과 관련해 "유포된 161명의 개인정보가 실제 맞는 정보인지 아직 확인 중에 있다"며 "한국인정지원센터에서 유출된 게 맞는지 또한 현재 조사 중으로 확인이 어려운 상황"이라고 말했다. 이어 "웹 변조 형태가 여러가지이기 때문에 어떤 공격 수법을 사용했는데 현재 특정할 순 없고 조사 중이며, 유포된 개인정보의 진위와 공격 수법을 확인하는 데는 시간이 좀 걸릴 것으로 보인다"고 덧붙였다.

한편, 이들은 국내 정부 기관을 해킹해 54GB 데이터를 빼냈다고 주장했으나 이후 국내 정부 기관이 아닌 학회 서버에 있던 데이터 54GB를 유출한 것이라고 주장을 번복했다.

관련기사

이들은 지난 대한건설정책연구원을 포함해 국내 12곳의 학술기관을 해킹한 데 이어 지속적으로 국내 기업 및 기관을 대상으로 추가 해킹을 예고하고 있다. 지난 26일에는 텔레그램 그룹방에 40여개의 한국 학회 사이트 내부 데이터베이스를 공개했으며, 조직원 가입 조건으로 한국 정부 해킹 성공을 내걸기도 했다.

현재 과학기술정보통신부는 중국 해커 그룹의 잇따른 해킹 경고와 데이터 유포에 대응하기 위해 모니터링 인력을 늘리고 비상대응 체계를 운영 중이다.