보안 기업 윈스테크넷이 사용하는 그룹웨어가 해커의 공격을 받아 1000여명의 직원 정보가 유출되는 피해를 입었다. 다만 외부 그룹웨어 솔루션이 해킹을 당한 상황으로, 윈스테크넷 내부망이나 서버가 피해를 입진 않은 것으로 확인됐다.
21일 본지 취재를 종합하면 윈스테크넷 관계자는 "정부 지침에 따라 클라우드에 민감 정보를 저장하지 않기 위해 자체적으로 온프레미스 그룹웨어를 도입해 관리하고 있었는데, 지난해 11월 그룹웨어의 제로데이(0-day) 취약점으로 인해 직원 정보가 유출되는 피해를 입었다"고 해킹 배경에 대해 설명했다.
윈스테크넷이 사용하는 그룹웨어는 더존비즈온이 공급하는 '비즈박스 알파' 제품이다. 지난해 해킹 공격이 있었을 당시 솔루션에서 제로데이 취약점이 발견돼 해킹으로 이어졌다는 게 윈스테크넷 측의 설명이다.
윈스테크넷 관계자는 "그룹웨어 솔루션이 공격을 받은 건이라 윈스테크넷 내부망이나 내부 서버에 피해가 있지는 않다"며 "만약 내부망이나 서버에 대한 공격이 있었으면 대응이나 관리가 더욱 빨랐을 것이다. 그룹웨어 업체에서 제공하는 패치나 취약점 진단도 정기적으로 하고 있었고, 필요 시에는 추가적인 조치까지 완료했었는데 외부 프로그램에 공격이 이뤄지다 보니 해킹 사실을 즉시 확인할 수 없었다"고 1년 만에 해킹 피해를 확인하게 된 배경에 대해 설명했다.
그는 이어 "개인정보가 유출된 재직·퇴직 직원에 대한 내부 공지도 마친 상태"라며 "현재 한국인터넷진흥원(KISA)과 개인정보보호위원회(개보위) 측에 침해신고 및 유출신고를 완료했고 조사가 진행 중"이라고 밝혔다.
아울러 그룹웨어를 변경할 것이냐는 질문에 윈스테크넷 측은 "이번 사건 이전에도 지금 사용하고 있는 그룹웨어 변경과 관련한 내부 논의가 진행 중이었다"며 "이번 침해사고로 그룹웨어 변경 논의가 더욱 본격화될 것으로 예상한다"고 말했다.
반면 윈스테크넷에 그룹웨어 솔루션을 공급한 더존비즈온 측은 고객사의 상황에 맞춰 그룹웨어를 구축해줄 뿐, 보안 운영 관리에 대한 책임은 고객사 측에 있다는 입장이다.
더존비즈온 관계자는 "비즈박스 알파는 온프레미스 구축형으로 공급이 되기 때문에, 보안 운영 관리 책임은 전적으로 고객사에 있다"며 "더존비즈온은 고객사의 요구에 맞춰 로컬에 설치하는 역할만 했을 뿐이지 보안 사고와는 관련이 없다"고 일축했다.
그는 "일각에서 제기하고 있는 취약점과 관련한 이슈 역시 솔루션 자체에 취약점이 발견돼 해킹 공격이 있었으면, 더존비즈온이 확보하고 있는 수십만 고객사 모두에게 피해가 있어야 하는데 그렇지 않다"며 "현재 KISA 등에서 원인에 대해 명확히 조사하고 있는 상황인데 결과가 나오기 이전에 원인을 예단하는 것은 바람직하지 않아 보인다"고 밝혔다.
다른 더존비즈온 관계자도 "현재까지 윈스테크넷으로부터 정확한 침해 내역을 수신한 바가 없고 고객사 측 서버에 접근해 확인할 수 있는 권한이 없는 상황이라 KISA 조사 결과 및 증거 데이터 확인 후에야 판단이 가능할 것"이라며 "외부 그룹웨어 해킹 관련 내용은 고객사의 주장일 뿐"이라고 일축했다.
이용준 극동대 해킹보안학과 교수는 "이번 사건은 2가지 관점에서 명확한 조사가 필요한데, 그룹웨어 자체에 문제가 있었는지 혹은 그룹웨어 관리를 사용자가 허술하게 했는지가 핵심"이라며 "아직 입증이 정확히 된 상황이 아니기 때문에 조사 결과를 받아 봐야 자세한 내용을 알 수 있을 것"이라고 요약했다.
한편 직장인 익명 커뮤니티 '블라인드' 등에 따르면 이번 윈스테크넷 그룹웨어 해킹과 관련해 2019년에 퇴사한 직원도 개인정보 유출 관련 문자를 수신했다는 내용의 게시글이 올라왔다. 이에 수년 전 퇴사한 직원의 정보까지 보관하고 있다가 해킹 당시 유출 피해가 발생했다는 점은 정보 관리를 소홀히 한 것이 아니냐는 주장이 제기된다.
