2021년 사이버보안 관련 사건 / 사고 정리
월 | 사건/사고 | 공격 방법 |
1월 | AI 챗봇 ‘이루다’의 서비스 중단 | 개인정보 |
2월 | 미국 수처리 시설의 사이버 테러 | 공급망공격 |
3월 | MS 익스체인지 서버 제로데이 취약점 | 제로데이 |
4월 | 코로나19 수기명부 지침 개선... 개인정보 대신 개인안심번호 | 개인정보 |
5월 | 기상청의 이메일 해킹... 국정원 통보받고 해킹 사실 알아 | 사회공학공격 |
6월 | VPN 취약점 노린 연속 해킹의 서막 ‘한국원자력연구원·대우조선해양·한국항공우주산업’ 해킹 | VPN |
7월 | 최악의 공급망 공격, 카세야 사태 | 공급망공격 |
8월 | 콘티 랜섬웨어 해커조직의 한화생명 베트남 법인 공격 | 랜섬웨어 |
9월 | 서울성모병원 구 홈페이지 해킹, 일본 올림푸스(Olympus)가 사이버공격 | 개인정보 유출, 랜섬웨어 |
10월 | QR코드 이용한 악성메일 등장 | 사회공학 + QR코드 악성메일 |
11월 | 한국 아파트 월패드 해킹 | IoT 취약점 |
12월 | Log4j 취약점, 제2의 워너크라이 사태 우려 | 오픈소스 제로데이 |
1월 : AI 챗봇 ‘이루다’의 서비스 중단
- AI 챗봇 ‘이루다’가 정식출시(20년 12월 23일) 2주만에 성희롱 이슈와 개인정보보호법 위반으로 서비스를 중단했다(21년 1월 12일).
관련 기사 :
1) 김민선 기자, 개인정보보호위, AI봇 '이루다' 개인정보 유출 조사 착수, Zdnet Korea, 21.01.12.,
https://m.boannews.com/html/detail.html?mtype=1&idx=94049
김윤희 기자, 개인정보법 위반 '이루다', 과징금 5천만·과태료 5천만, Zdnet Korea, 21.04.28., https://zdnet.co.kr/view/?no=20210428124558 "AI 기업 제재 첫 사례…개인정보위 "스캐터랩, 카톡 대화 가명처리 전혀 안해"
2월: 미국 수처리 시설의 사이버 테러
- 2월초 미국 플로리다의 소도시 올즈마(Oldsmar)에 위치한 수처리 시설이 사이버 테러를 당했다.
해당 사이버 공격을 시도한 공격자는 데스크톱의 공유 소프트웨어인 팀뷰어(TeamViewer)를 통해 원격으로 제어시설에 접근해 주거용 및 상업용으로 사용되는 식수의 수산화나트륨 농도를 100배 이상 높이려고 시도했다. 다행히 이번 테러 시도는 수처리 시설의 운영자에 의해 원격 접속이 차단돼 성공에 이르지는 못했다.
하지만, 이는 국가기반시설 제어망에 대한 사이버 테러가 재발된 사건으로, 공격이 성공적으로 이뤄져 식수가 오염됐다면 극심한 인명피해를 유발할 수 있는 매우 심각한 사건으로 기록됐다.
관련 기사 : 문가용 기자, 올즈마 수도 시설 해킹 사건, 사회 인프라 공격의 포문을 여나, 보안뉴스, 21.2.15., https://m.boannews.com/html/detail.html?mtype=1&idx=94891
3월: MS 익스체인지 서버 제로데이 취약점
- 3월 2일, 마이크로소프트의 ‘익스체인지 서버(Exchange Server)’의 긴급 패치 소식과 함께 제로데이 취약점을 노린 10개 이상의 해킹 그룹의 공격이 이뤄지고 있다는 소식이 전 세계를 강타했다. 특히, 미국 백악관까지 최신패치 적용을 촉구하였다. 하지만 한국에서는 해당 사항이 큰 이슈가 되지 못하였지만, 추후 패치를 하지 않아 문제가 될 수 있다고 지적했다.
관련 기사 :
1) 문가용 기자, MS 익스체인지 서버 노리던 공격자들, 활동량을 폭발적으로 늘려, 보안뉴스, 21.3.4., https://m.boannews.com/html/detail.html?mtype=1&idx=95347
2) 문가용 기자, MS 익스체인지 사태, 결국 백악관까지 나서 “패치하라” 촉구, 보안뉴스, 21.3.8., https://m.boannews.com/html/detail.html?mtype=1&idx=95419
3) 이상우 기자, MS 익스체인지 사태로 드러난 지능화 공격 추세, 어떻게 맞서야 하나, 보안뉴스, 21.3.11., https://m.boannews.com/html/detail.html?mtype=1&idx=95500
4월: 코로나19 수기명부 지침 개선... 개인정보 대신 개인안심번호
- 4월에는 코로나19로 인해 방문객의 개인정보를 수집하다 이를 악용한 개인정보 유출 이슈가 발생해 개인정보위가 ‘개인안심번호’를 쓰도록 하는 수기명부 지침을 개선해 시행했다.
개선된 수기명부 지침은
①연락처에는 원칙적으로 개인안심번호를 적도록 권고하고
②수기명부 작성 시 신분증 확인 절차 생략하며
③지자체·주민센터 등 공공기관은 연락처에 우선적으로 개인안심번호를 기재하고
④수기명부 양식에 개인안심번호를 안내·홍보하는 그림을 알아보기 쉽도록 추가했다.
관련 기사 :
김윤희 기자,공공기관 방문 시 코로나19 '안심번호' 써야, Zdnet Korea, 21.4.7., https://zdnet.co.kr/view/?no=20210407102736
5월: 기상청의 이메일 해킹... 국정원 통보받고 해킹 사실 알아
- 기상청에서 최근 5년 간 4번의 정보보안 사고가 일어났으며, 특히 5월에 발생한 해킹사건은 국정원이 통보할 때까지 몰랐던 것으로 확인됐다.
2021년 3월 기상청 레이더분석과에서 발주한 연구용역 제안평가 과정에서 평가위원의 개인 상용메일(네이버)로 송부한 평가 자료가 제3자에게 탈취되었으며, 그 과정에서 15명의 개인정보가 유출됐다. 탈취된 자료는 기술개발의 설계도에 해당하며, 암호화 조치가 이루어지지 않았던 것으로 확인되었다. 특히, 사고 이후에도 자료가 어디로, 누구한테 흘러갔는지에 대한 추가조사도 이루어지지 않은 것으로 확인됐다. 아울러 정보유출 사실도 국가정보원 국가사이버안보센터를 통해 뒤늦게 확인됐다.
관련 기사 :
원병철 기자, 반복되는 기상청 정보보안 사고... 지난 5월에도 해킹사건 발생, 보안뉴스, 21.9.16., https://m.boannews.com/html/detail.html?mtype=1&idx=100825
6월: VPN 취약점 노린 연속 해킹의 서막 ‘한국원자력연구원·대우조선해양·한국항공우주산업’ 해킹
- [한국원자력연구원]
6월 18일 하태경의원실이 한국원자력연구원이 북한 정찰총국 산하 해킹조직인 ‘김수키(Kimsuky)’로 추정되는 IP를 통해 해킹됐다고 공개했다. 연구원은 ‘가상사설망(VPN) 취약점을 통해 신원불명의 외부인이 일부 접속에 성공했다’며 지난달 14일 사고 신고를 했다. 13개의 외부 IP가 VPN 시스템에 무단으로 접속된 기록이 발견되었다.
- [대우조선해양]
이어 6월 21일에는 잠수함을 건조하는 대우조선해양을 비롯한 방위산업체들이 해킹 시도를 당한 사실이 속속 밝혀졌다. 특히, 대우조선해양의 경우 한국 최초 3,000톤급 잠수함인 도산안창호함을 비롯해 안무함 등 우리나라의 주력 잠수함을 건조하는 핵심 방산기업으로, 지난 2016년에도 북한 추정 해커 그룹에 의해 잠수함 관련 핵심기술 둥 1~3급 군사기밀 60여 건을 포함한 4만여 건의 내부자료를 탈취당한 바 있다.
- [한국항공우주산업]
세 번째로 한국항공우주산업(KAI)도 내부시스템이 해킹된 것으로 확인됐다. 한국형 전투기(KF-X) 시리즈를 생산하는 KAI 해킹이 사실이라면 최신 국산 전투기인 KF-21의 설계도면이 탈취됐을 가능성이 크다. 특히, KAI 해킹은 한국원자력연구원과 비슷한 시기에 이뤄졌다는 점에서 동일범인 북한 정찰총국 산하 해커 조직인 ‘김수키(Kimsuky)’의 소행일 가능성이 크다는 지적이다.
- 한편, 과기정통부와 국가정보원이 이번 연속 해킹사건을 조사한 결과 VPN을 통한 전산망 침투를 확인한 것으로 알려졌다. 이와 관련 정부부처 및 공공기관을 중심으로 VPN 점검에 나선 것으로 확인됐으며, 공공기관에 많이 공급된 국내 특정 VPN 솔루션이 중점 점검대상이 되고 있는 것으로 본지 취재 결과 드러났다.
특히, 국가정보원은 원자력연구원에 취약한 VPN 운영을 중단하도록 조치했고, 연구원 보안장비를 통해 해킹 경유지를 차단하도록 하는 등 긴급 대응했다고 밝혔다. 아울러 관계부처와 합동으로 피해규모와 공격 배후에 대해서도 확인하고 있다고 덧붙였다. 또한 국가/공공기관을 대상으로 취약점이 확인된 VPN 제품에 대해 장비제조사와 협조해 보안패치를 설치토록 하는 등 추가 피해예방을 위해 노력하고 있다고 밝혔다.
관련 기사 :
1) 이상우 기자, "한국원자력연구원, 北 해커 추정 세력에 서버 뚫렸다", 보안뉴스, 21.6.18., https://m.boannews.com/html/detail.html?mtype=1&idx=98423
2) 권준 기자, 원자력연구원 이어 대우조선해양까지... 수면 위로 드러나는 北 해커 세력의 연쇄 해킹 실체, 보안뉴스, 21.6.21., https://m.boannews.com/html/detail.html?mtype=1&idx=98443
3) 원병철 기자, 한국원자력연구원 이어 한국항공우주산업 'KAI'도 해킹 당했다, 보안뉴스, 21.6.30., https://m.boannews.com/html/detail.html?mtype=1&idx=98721
4) 원병철 기자, 원자력연·KAI 해킹 통로 VPN 취약점, 한국판 익스체인지 사태로 커지나, 보안뉴스, 21.7.5., https://m.boannews.com/html/detail.html?mtype=1&idx=98828
7월: 최악의 공급망 공격, 카세야 사태
- 7월 미국 독립기념일 연휴기간동안 발생한 이른바 ‘카세야’ 사태는 미국 IT 관리용 솔루션 제공 업체 ‘카세야(Kaseya)’의 VSA(IT 관리용 플랫폼) 제품이 랜섬웨어 유포 경로로 악용된 사건이다. 공격은 레빌(REvil) 랜섬웨어 조직에 의해 감행된 공급망 공격으로, VSA 서버를 통해 고객사 약 200여 곳에 랜섬웨어가 업데이트 되어 파일들이 암호화되는 피해를 입은 것으로 드러났다. 특히, 당시 공급망 공격으로 랜섬웨어 감염 피해를 기업 가운데 스웨덴의 슈퍼마켓 체인 COOP은 전산망 마비로 점포 800여 곳의 문을 닫은 것으로 알려졌다.
7월 2일 금요일 14시 30분 경, 인터넷에 연결된 카세야(Kaseya) VSA 서버들 중 일부에 악성 트래픽이 일제히 몰리기 시작했다. 이 서버들은 MSP 업체들이 호스팅하고 있었다. 전부 같은 시간대에 발생한 일로, 공격자들은 특정 시간에 맞춰 한꺼번에 움직인 후 사라졌다. 그리고 다시 16:30, 거의 동시에 침해된 서버들이 명령 스크립트를 실행하기 시작했다. 각종 보안 기능을 비활성화시키고 악성 페이로드를 실행시키는 스크립트였다. 이 악성 페이로드는 레빌 랜섬웨어였다. 최초 침해에서 랜섬웨어 감염으로 이어진 시간이 겨우 두 시간이었다는 것이 보안 업체 헌트레스 랩스(Huntress Labs)의 조사 결과다.
관련 기사 :
1) 권준 기자, 대규모 공급망 공격 또 발생! IT 관리 SW 통해 랜섬웨어 연쇄 감염, 보안뉴스, 21.7.4., https://m.boannews.com/html/detail.html?mtype=1&idx=98819
2) 문가용 기자, 주말 동안 난리가 난 ‘카세야 사태’, 핵심은 랜섬웨어 사건이라는 것, 보안뉴스, 21.7.5., https://m.boannews.com/html/detail.html?mtype=1&idx=98830
3) 문가용 기자, 카세야 사태 일으킨 레빌, 단 두 시간 만에 공격 성공했다, 보안뉴스, 21.7.8., https://m.boannews.com/html/detail.html?mtype=1&idx=98935
8월: 콘티 랜섬웨어 해커조직의 한화생명 베트남 법인 공격
- 8월에는 콘티 랜섬웨어 해커조직이 한화생명의 베트남 법인을 공격해 내부 문서 샘플을 다크웹에 공개했다.
2020년 처음 등장해 피해 기업을 해킹하고 데이터를 훔쳐 공개하는 것으로 악명을 떨친 콘티 랜섬웨어 조직이 지난 8월 26일 한화생명 베트남 법인의 내부 자료 일부를 공개했다. 본지가 다크웹 내 해당 페이지를 직접 조사한 결과, 공개된 자료는 한화생명 베트남 법인의 홈페이지와 주소, 기업 설명과 함께 1개의 일본 재류카드(Residence Card)와 49개의 문서자료였다.
관련 기사 :
원병철 기자, 콘티 랜섬웨어 해커조직, 한화생명 베트남 법인 공격, 보안뉴스, 21.8.27., https://m.boannews.com/html/detail.html?mtype=1&idx=100212
9월: 서울성모병원 구 홈페이지 해킹 외
- 9월 1일에는 가톨릭대학교 서울성모병원의 구 홈페이지가 해킹을 당해 회원 개인정보가 유출됐다고 공지했다. 2013년 2월 이전에 가입한 회원이 대상이며, 특히 이번에 유출된 정보는 구 홈페이지의 △아이디 △패스워드 △이름 △주민등록번호 △우편번호 △주소 △이메일 △전화번호 △휴대전화번호 △등록일 등 10개 항목이다. 다만 개인별로 유출된 정보가 달라 휴대전화번호로 개별 문자 연락을 취한 상태다.
가톨릭대학교 서울성모병원은 홈페이지 공지사항에 이번 회원정보 유출사실을 공지했다. 다만 언제, 어떤 형태의 외부 공격을 받았는지, 피해 규모는 어느 정도이며 구 홈페이지와 현재 홈페이지의 차이는 무엇인지 등 주요한 내용은 포함되지 않았다.
- 9월 둘째 주 주말에는 일본 올림푸스(Olympus)가 사이버공격을 당했다고 발표했다. 올림푸스 측은 공격에 대한 세부 내용을 발표하지 않았지만 익명의 제보자가 “블랙매터(BlackMatter)라는 랜섬웨어 공격자들이 9월 8일부터 협박을 해온 상태”라고 밝혔다. 이에 따르면 올림푸스의 네트워크는 마비된 상태라 일부 지역에서는 사업 진행이 불가능한 상황까지 이르기도 했다. 한편, 블랙매터는 최근 등장한 랜섬웨어 그룹으로 5월 콜로니얼 파이프라인(Colonial Pipeline) 사태를 일으키고 사라진 다크사이드(DarkSide)의 뒤를 잇는 그룹으로 여겨지고 있다.
- 이어 추석연휴에는 북한 추정 사이버 공작원(해커)들의 공격 시도가 이어진 것으로 드러났다. 북한의 사이버 공격을 집중적으로 연구·추적하고 있는 연구그룹 싸이버워(CyberWar)에 따르면 남북 군사분야 합의서가 체결된 지 3주년이 된 지난 9월 19일에도 북한의 사이버 공작원들이 우리나라 대북 분야 관계자들을 타깃으로 한 사이버 공격 정황이 포착됐다.
관련 기사 :
1) 원병철 기자, 서울성모병원, 구 홈페이지 해킹으로 주민등록번호 등 개인정보 유출, 보안뉴스, 21.9.1., https://m.boannews.com/html/detail.html?mtype=1&idx=100358
2) 문가용 기자, 기술 분야 대기업 올림푸스, 블랙매터 랜섬웨어에 당해, 보안뉴스, 21.9.3., https://m.boannews.com/html/detail.html?mtype=1&idx=100688
3) 권준 기자, 추석 연휴에도 북한 해커들의 사이버 공격은 계속된다, 보안뉴스, 21.9.21., https://m.boannews.com/html/detail.html?mtype=1&idx=100895
10월: QR코드 이용한 악성메일 등장
- 보안 업체 앱노멀 시큐리티(Abnormal Security)에 의하면 9월 15일과 10월 13일 사이 이상한 큐알코드가 삽입된 메일을 200통 이상 발견해 차단했다고 한다. 피싱 메일의 내용은 음성 사서함에 저장된 메시지가 있으니 확인하고 싶으면 큐알코드를 스캔하라는 것이다. 많은 기업들에서 사용하는 이메일 보안 솔루션들은 악성 첨부파일과 링크만을 탐지하기 때문에 악성 큐알코드는 탐지가 안 되는 경우가 많다.
공격자들의 목적은 아웃룩 계정 크리덴셜을 탈취하는 것이었다. 큐알코드를 피해자가 스캔할 경우 구글과 아마존 도메인과 연결된 정상적인 사이트로 연결되는데, 이는 당연히 피싱 페이지다. MS의 크리덴셜을 입력하도록 만들어져 있다. 메일 패턴을 분석했을 때 특정 조직이나 단체를 노린 것으로 보이지는 않는다고 한다.
관련 기사 :
남혁우 기자, 이메일 보안 우회하는 QR코드 사이버공격 등장, ZDnet Korea, 21.10.28., https://zdnet.co.kr/view/?no=20211028033523
11월: 한국 아파트 월패드 해킹
- 11월 중순, 다크웹에 한국 아파트에 설치된 월패드를 해킹해 촬영한 영상이 올라와 큰 이슈가 됐다. 특히, 해킹 아파트의 명단이 온라인을 통해 유포되면서 사건이 커졌다. 이번 사건이 처음 알려진 것은 지난 10월 중순 홍콩의 한 포럼에 한국 아파트 17만 가구의 월패드를 해킹해 촬영했다는 사진이 올라오면서부터다. 이후 11월 중순 해당 영상을 판매한다는 글이 다크웹의 한 포럼에 올라왔고, 해킹된 아파트 리스트가 공개됐다. 문제는 이미 유출된 영상에 대한 대책이 전혀 없다는 사실이다.
관련 기사 :
1) 원병철 기자, 아파트 월패드 해킹 이슈 일파만파... 해킹 아파트 리스트 유포중, 보안뉴스, 21.11.25., https://m.boannews.com/html/detail.html?mtype=1&idx=102768
2) 김윤희 기자, 사이버보안 구멍 '아파트'…해킹 거점으로도 악용, ZDNet Korea, 21.12.3., https://zdnet.co.kr/view/?no=20211203150830
12월: Log4j 취약점, 제2의 워너크라이 사태 우려
- 거의 모든 서버에 영향을 미칠 수 있는 매우 심각한 제로데이 취약점이 발견됐다. 로그4j(Log4j)는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램으로, 대부분의 서버에서 광범위하게 사용되는 프로그램이다. 보안전문가들은 현재 해당 취약점을 이용한 악성코드(크립토마이너, 봇넷 등)의 유포가 이미 활발하게 이뤄지고 있고, 패치되지 않은 시스템을 대상으로 한 무차별적인 공격은 이미 시작된 상태라고 우려하고 있다. 보안기업 S2W는 “log4j 취약점으로 영향을 받는 국내 호스트만 해도 4만여 개 이상”으로 추정하고 있으며, “특히 CVE-2021-44228은 아파치 서버에만 영향을 미치는 취약점이 아니며, 서버의 종류와 상관없이 log4j를 사용하는 모든 서버 및 서비스에 영향을 미친다”고 지적했다.
특히, log4j의 신규 취약점과 새로운 패치가 나와 보안담당자들의 시급한 업데이트가 요구된다. 아파치재단은 12월 18일 ‘Log4j 2.16.0’ 버전에서 동작하는 CVE-2021-45105 취약점을 추가로 공개했다. Log4j에 대해 취약점 스캔, 해킹 점검 툴 등 다양한 대응 방안이 제시되고 있지만 취약한 대상을 확인하는 것만으로는 충분치 않은 것으로 알려졌다. 탐지 정보가 나오기 전에 이미 공격을 당한 제로데이 공격 및 침투 사례가 속속들이 밝혀지고 있기 때문이다. 실제로 국내 기업·기관을 대상으로 유사한 내용이 확인되어 긴장감이 높아지고 있다. Log4j의 취약점 발견 후 탐지정보와 패치가 제공되기 전에 이뤄졌기 때문에 침해의 여부조차 알 수 없는 상황으로 현재의 보안 대응 체계가 무력화 될 수도 있기 때문이다.
따라서 현재의 보안대응 체계에 더해 제로데이 침투가 이뤄진 내부 IP를 찾아내고 외부 IP로의 통신 차단과 멀웨어 제거가 이뤄질 수 있도록 취약점에 대한 방어, 조치·해결, 조사 등 종합적이고 다각적인 접근이 필요하다고 보안전문가들은 조언한다.
관련 기사 :
1) 권준 기자, 거의 모든 서버가 위험하다! 매우 치명적인 ‘로그4j’ 보안 취약점 발견, 보안뉴스, 21.12.11., https://m.boannews.com/html/detail.html?mtype=1&idx=103257
2) 원병철 기자, Q&A로 알아보는 로그4j 취약점 대응 가이드, 보안뉴스, 21.12.15., https://m.boannews.com/html/detail.html?mtype=1&idx=103344
3) 원병철 기자, [긴급] 로그4j 신규 취약점 ‘CVE-2021-45105’과 패치 ‘Log4j 2.17.0’ 나와, 보안뉴스, 21.12.20., https://m.boannews.com/html/detail.html?mtype=1&idx=103443
4) 문가용 기자,이번 달에만 취약점이 5개! 로그4j에서 또 다른 취약점 나왔다, 보안뉴스, 21.12.29. https://m.boannews.com/html/detail.html?mtype=1&idx=103763
5) 원병철 기자, 2022년에도 계속되는 로그4j 사태... 3가지 취약점 추가 공개, 보안뉴스, 22.1.23., https://m.boannews.com/html/detail.html?mtype=1&idx=104304
6) 권준 기자, 최악의 보안 취약점 ‘Log4j’, 남은 이슈와 보안담당자들의 과제, 보안뉴스, 22.3.14., https://m.boannews.com/html/detail.html?mtype=1&idx=105394
[ 참고 ]
1. 보안뉴스, 2021년을 괴롭혔던 ‘사이버보안 사건·사고’ 어떤 것들이 있었나? 上, https://www.boannews.com/media/view.asp?idx=103732&page=1&kind=1
2. 보안뉴스,2021년을 괴롭혔던 ‘사이버보안 사건·사고’ 어떤 것들이 있었나? 下, https://www.boannews.com/media/view.asp?idx=103733&page=1&kind=1