2010년 3월호

정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’

‘경찰청 e메일’ ‘외교부 출장정보’도 뚫려 있다

  • 송홍근│동아일보 신동아 기자 carrot@donga.com│

    입력2010-03-02 17:08:00

  • 글자크기 설정 닫기
    • “중요정보 및 개인정보 획득 가능”
    • 행정안전부 대검찰청 국민권익위원회도 ‘심각’
    • 보안전문가 A씨 “놀랍다. 이렇게 허술하다니… 지금 바로 뚫을 수 있다”
    • 국세청 보건복지가족부만 ‘우수’
    정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’
    “일부 회원이 호기심으로 한 일을 수사기관이 포착하면서 한국 사회가 한바탕 떠들썩했죠.”

    2003년 국세청 보안서버가 해킹으로 뚫린 적이 있다. 전 국민의 세금 정보가 유출될 뻔한 것. A씨는 7년 전 ‘와우해커(www.wowhacker.com)’ 회원 11명이 경찰에 붙잡힌 사건을 얘기하면서 웃었다.

    A씨가 몸담았던 와우해커는 이후 한국에서 손꼽히는 보안 전문가 그룹으로 성장했다. 지난해 7월 디도스(DDoS) 공격 형태로 발생한 동시다발 사이버 테러 때는 10만명 넘는 이가 이 그룹이 만든 백신을 내려받았다.

    해커는 ‘블랙’과 ‘화이트’로 나뉜다. A씨는 소문난 화이트해커(네트워크·정보보안 전문가). 블랙, 화이트는 종이 한장 차이다. 솜씨를 어떻게 쓰느냐에 따라 범죄자, 보안 전문가로 길이 갈린다.

    해킹은 국가 안보와도 밀접하다. 중국 IP(인터넷 주소)를 사용하는 해커가 한미연합사 ‘작전계획 5027’의 일부 내용을 절취해간 사실이 지난해 12월 드러났다. 국군기무사령부는 북한 해커부대를 용의자로 의심했다. 지난해 7월 조선닷컴, 국민은행, 옥션, 행정안전부가 공격받았을 때도 북한은 국가정보원에 의해 배후로 지목됐다.



    배후는 북한?

    올 1월에도 국가·공공기관을 상대로 한 해킹 시도가 있었다. 국가·공공기관을 상대로 신원미상의 해외 조직이 해킹 메일을 유포한 것. 사이버 위협 경보단계가 정상→관심으로 한 단계 높아졌는데, 해외에 서버를 둔 지메일(gmail) 야후(yahoo)를 통해 공격이 진행됐다고 한다.

    그렇다면 국가기관 웹페이지의 보안 수준은 어떨까? ‘신동아’가 국가기관의 해킹 방어능력을 점검한 정부 문건을 단독 입수했다. ‘보존기간 3개월’ ‘2010년 10월31일까지 대외비’로 분류된 이 문건엔 외교통상부 기획재정부 통일부 대검찰청 등 23개 국가기관 웹페이지의 해킹 방어 능력이 담겼다. 실태 점검은 지난해 10~12월 이뤄졌다.

    “충격적이다”

    정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’

    2009년 7월7일 동시다발 사이버 테러의 ‘배후’는 아직까지 확인되지 않았다. 2009년 7월9일 경찰 관계자가 수사 현황을 설명하고 있다.

    ‘신동아’는 앞서의 A씨와 또 다른 보안전문가 B씨, 대학에서 정보보안을 가르치는 C교수에게 기관과 웹페이지의 이름을 가린 문건을 보여준 뒤 평가를 부탁했다. 해커 출신인 A씨와 B씨는 “충격적이다” “믿을 수 없다”고 총평했다. C교수도 A, B씨가 문건에서 지적한 것과 똑같은 대목을 가리키면서 고개를 가로저었다.

    “집에 가서 지금 바로 뚫을 수 있어요. 중요한 정보도 있을 텐데, 이런 식으로 관리하면…. 점검을 잘못한 게 아닌가 싶어요. 국가기관이 이렇게 허술할 순 없어요. 충격적입니다. 실력이 떨어지는 해커도 공격이 가능해요. 완전한 보안은 불가능하지만 이건 상황이 심각합니다.”(A씨)

    B씨에게는 정부기관의 보안 실태가 담긴 문건이라는 점을 일러주지 않았다. B씨는 “구닥다리 방식으로도 정보를 빼올 수 있겠다. 기업들이냐?”고 되물었다. 국가기관이라고 답하자 B씨는 어이없다는 표정을 지었다.

    A씨에게 “실제로 해킹해볼 수 있느냐”고 물었다. A씨는 불법이라면서 고개를 가로저었다.

    “제가 아직도 요주의 대상이거든요.”

    A씨는 “2003년 국세청 해킹 사건 때는 연루되지 않았으나 철없던 시절 나쁜 짓을 한 적이 있다”면서 이렇게 말했다.

    “어릴 적 일인데, 1등 상품인 DVD에 눈이 멀어서 경품사이트를 해킹한 적이 있어요. 1등 당첨자를 제 이름으로 바꿔놓았죠. 그런데 해킹하면서 뭔가를 잘못 건드려 ‘1등’이 ‘1당’으로 바뀌었어요. 실수로 해킹 흔적을 남기는 바람에 역추적당했습니다. 경품사이트 해킹은 사실 아주 쉽습니다. 홈페이지를 임시로 만드는 터라 보안에 신경을 덜 쓰거든요.”

    국세청은 ‘우수’

    전문가 3인의 평가를 종합하면 국세청, 보건복지가족부는 ‘우수’했다. 두 기관이 운영하는 웹페이지들엔 취약점이 거의 없었다. 여성부 기상청 문화재청도 ‘양호’했다. 반면 행정안전부 대검찰청 경찰청 등이 운영하는 일부 웹페이지는 ‘심각’했다. 보안 실태가 ‘나쁨’이거나 ‘심각’한 웹페이지를 가진 기관이 23개 기관 중 18곳에 달했다.

    우수 : 국세청 보건복지가족부

    양호 : 여성부 기상청 문화재청

    나쁨 : 기획재정부 국토해양부 외교통상부 통일부 농림수산식품부 법무부 병무청 산림청 중소기업청 특허청

    심각 : 행정안전부 대검찰청 경찰청 해양경찰청 농촌진흥청 식품의약품안전청 국민권익위원회 공정거래위원회

    ‘심각’으로 분류된 정부기관은 하나같이 A공격(문건엔 구체적인 공격루트와 방법이 적혀 있으나 기사에선 A, B, C, D, E 공격으로 표기했다)에 취약함을 드러냈다. 이 공격을 통해 해커들은 관련 기관의 중요 정보를 획득하거나 데이터베이스의 구조, 내용을 파악할 수 있다. 외국의 해킹그룹 사이트엔 이 공격을 수행하는 도구도 공개돼 있다고 한다.

    “A공격으로 어렵지 않게 관리자 권한을 획득할 수 있어요. 심각한 정도를 0부터 5까지로 나누면 5에 해당하는 사안입니다. 시급히 보완책을 마련해야 합니다.”(A씨)

    “A공격은 널리 알려진 방법입니다. 웹페이지를 개발할 때부터 방어 코딩에 신경을 써야 하는데 그렇게 하지 않았던 것 같습니다.”(B씨)

    “이 취약점을 이용해 디도스 공격도 할 수 있습니다. 정부기관 웹페이지가 다른 곳을 공격할 때 숙주 기능을 할 수도 있다는 거죠.”(C교수)

    지난해 7월7일부터 사흘간 이어진 디도스 공격은 정보를 절취해가는 형태의 해킹은 아니었다. B씨는 “지난해 디도스 공격은 더욱 강력한 공격을 위해 트래픽 정보를 얻어가는 차원에서 한 것으로 볼 수 있다. 공격 대상의 능력과 특성을 알아두면 나중에 치명적 공격을 감행할 때 큰 도움이 된다”고 말했다.

    국세청, 보건복지가족부를 제외한 거의 모든 기관에서 해커가 특정 정보조회명령을 입력해 특정 페이지를 노출시킨 뒤 디렉토리 정보나 라이브러리 정보를 획득할 수 있는 취약점도 발견됐다.

    “요즘엔 이런 방법으로 공격자가 특정 페이지를 열어 볼 수 있는 곳이 많지 않습니다. 그 페이지를 통해 공격자가 해킹 힌트를 얻을 수 있거든요. 이런 것도 막아놓지 않다니 이해하기 어렵네요. 물론 이 페이지가 나타난다고 해서 해킹이 이뤄지는 건 아니지만 이건 아닙니다. 정부기관 웹페이지의 보안은 무척 중요하지 않나요. 국민의 개인정보가 범죄 집단에 넘어가거나 장관 소유 e메일의 패스워드 같은 게 외부로 알려지면….”(B씨)

    “이 페이지가 나타나면 안 돼요. 비교적 심각한 사안입니다. 해커가 이 페이지를 통해 공격의 단서를 찾을 수 있기 때문입니다.”(C교수)

    아이디/패스워드 해킹

    지난해 7월12일 ‘연합뉴스’는 정보당국자의 말을 인용해 “2004년 이후 현재까지 북한이 해킹을 통해 최소 165만명에 달하는 남측 인사의 개인 신상정보를 빼낸 것으로 당국이 파악하고 있다”고 보도했다. ‘신동아’도 지난해 7월 “북한이 정동영 전 장관을 비롯한 안보당국자 e메일을 대량 해킹했다”고 보도한 바 있다.

    “정보당국을 가장 긴장케 한 것은 해커그룹이 안보당국 관계자들의 e메일 패스워드를 다량 확보해 리스트화해 놓았다는 사실이었다. 그 직전까지 통일부 장관과 국가안전보장회의(NSC) 상임위원장을 겸임했던 정동영 당시 열린우리당 의장의 장관 시절 e메일을 포함해, 관련 당국자만 해도 수백 건의 e메일과 패스워드가 역해킹한 자료에서 확인됐다. 문제는 그 가운데 당국자들이 개인적으로 사용하는 포털사이트 e메일 패스워드뿐 아니라 정부기관 메일의 아이디와 패스워드도 일부 포함돼 있었다는 사실. 뒤집어 말하면 해당 정부 당국자들이 개인 메일을 통해 주고받은 자료를 해커들이 열람할 수 있었던 것은 물론, 정부 메일을 통해 오간 자료에도 접근할 수 있었다는 이야기였다. 이렇듯 유출된 e메일 패스워드의 당사자는 청와대 안보실과 국방부, 합동참모본부 등 주로 안보부처 당국자들이었지만, 사실상 정부 중앙부처 거의 전 기관에 걸쳐 패스워드 해킹이 시도됐다.”(신동아 2009년 8월호 ‘北, 2006년 정동영 전 장관 등 안보당국자 e메일 대량 해킹’ 제하 기사 참조)

    이렇듯 정부를 상대로 한 사이버 공격은 어제오늘 일이 아니다. 2006년 안보당국자 e메일 대량 해킹은 “해커가 관리자인 것처럼 서버에 접근해 저장돼 있는 주요 인사들의 패스워드 계정을 통째로 복사해가는 식이었다”고 관계자들은 전한다.

    관리자는 ‘신’

    ‘신동아’가 입수한 문건에 따르면 ‘경찰청 e메일’은 공격자가 B공격을 이용해 사용자의 개인 정보 및 중요 정보를 이용할 수 있다. 또한 해커가 ‘쉽게 관리자로 로그인이 가능하다’는 지적도 받았다. ‘사이버 경찰청’도 사정은 비슷하다. 관리자 페이지 접근이 가능했으며 특정 파일을 업로드해 가동하는 방식으로도 해킹이 가능하다.

    A씨는 “관리자는 웹상에서 ‘신’이라고 생각하면 된다”면서 “외부인이 관리자 지위를 얻었다는 건 시스템 안에 있는 모든 정보를 빼낼 수 있다는 의미로 이해하면 된다”고 설명했다. 외교통상부의 ‘성과시스템’ ‘해외출장정보’ 등도 ‘쉽게 관리자로 로그인 가능’하거나 중요정보를 공격자가 이용할 수 있는 것으로 드러났다. 특히 외교통상부의 한 웹페이지는 로그인 인증을 우회해 관리자처럼 접근하는 것도 가능했다.

    한 전문가는 “로그인을 우회해서 관리자 페이지로 접근할 수 있는 것은 보안 담당자의 실수 혹은 무지로도 보이는 사안으로 심각하면서도 멍청한 일”이라고 꼬집었다.

    정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’


    정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’

    디도스 공격 직후인 2009년 7월14일 국가정보원 국가사이버안전센터 상황실.

    공격자가 해킹을 통해 관리자 페이지에 접근할 수 있는 웹페이지를 가진 기관은 10개가 넘었다. ‘신동아’가 ‘심각’으로 분류한 기관과 ‘나쁨’으로 분류한 기관의 일부가 그렇다. 해킹이라고 하기 어려운 단순한 방법으로 관리자 페이지에 접근이 가능한 곳도 적지 않다. 관리자가 취약한 아이디, 패스워드를 사용하는 곳이다.

    “현금카드의 비밀번호를 1234 같은 식으로 지정한 것과 비슷한 경우죠. 시스템을 만든 회사가 관리자용으로 초기화해 놓은 아이디, 패스워드를 바꾸지 않고 사용하는 경우도 있을 것 같습니다.”(B씨)

    “아이디, 패스워드 관리는 해킹의 문제라기보다 보안 의식의 문제예요. 해커들은 네트워크 업체가 관리자용으로 초기 설정하는 아이디, 패스워드를 알고 있거든요.” (C교수)

    ‘작전계획 5027’ 유출 사건도 보안 의식 해이에서 비롯했다. 일부 정부기관은 업무 PC와 인터넷 접속용 PC를 분리해 사용한다. 업무자료를 보관하는 PC는 인터넷 접속을 금지하고, 인터넷 접속전용 PC엔 업무자료를 보관하지 않는다. 작전계획 5027 유출은 담당자가 USB 메모리를 인터넷이 되는 컴퓨터에 꽂아놓고 사용하면서 발생한 것으로 알려졌다.

    “조금만 신경 쓰면…”

    이밖에도 대검찰청, 행정안전부, 해양경찰청 등 5개 기관에선 ‘파일 다운로드 취약점’이 발견됐다. 해커가 C공격으로 중요파일을 내려받을 수 있는 것. 전문가들은 “C공격은 오래된 해킹 방식인데, 아직도 방비가 안 돼 있다는 건 난센스”라고 꼬집었다.

    통일부 남북출입사무소 웹페이지는 D공격으로 관리자 권한을 얻을 수 있는 것으로 나타났는데, A씨는 “쿠키를 조작하는 D공격은 해킹의 고전 중 고전이다. 보안이 그렇게 허술할 리가 없다”면서 혀를 찼다.

    정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’

    2009년 2월 열린 육군 해킹방어대회. 군은 전문대응팀을 창설해 사이버 테러에 대응하고 있다.

    ‘파일 업로드 취약점’이 드러난 웹페이지를 가진 국가기관도 10곳이 넘는다. 해커가 특정 파일을 업로드한 뒤 그 파일을 실행해 관리자 권한을 획득하거나 시스템 명령어를 실행할 수 있는 것이다. 한 기관의 특정 웹페이지는 Q·A게시판을 통해 악성파일을 올린 뒤 중요정보를 획득하거나 관리자 권한을 얻을 수 있는 것으로 나타났다. B씨는 “E공격으로 뚫을 수 있는 곳도 적지 않다”고 말했다.

    ‘신동아’가 입수한 사이버 보안 관련 정부 대외비 문건은 2009년 10~12월 점검 실태만 A4용지 60장이 넘고, 2008년치를 합하면 A4용지 200장이 넘는다. 그만큼 허점이 많다는 뜻이다.

    C교수는 “정부가 보안의 중요성을 지금보다 더욱 강조해야 한다. 전문가를 늘리고 예산을 더 써야 한다. 공개된 외부망으로부터 해킹은 시작된다. 외부망이 뚫리면 기밀이 담긴 내부망도 위험해지는 것이다”라고 말했다. A씨도 “조금만 신경 쓰면 방비가 가능한 허점도 수두룩하다”면서 “하루빨리 보완해야 한다”고 지적했다.

    “중국에서 메신저 피싱 같은 범죄에 이용되는 한국인의 개인정보가 거래된다”고 C교수는 덧붙였다. 개중엔 정부기관 웹페이지에서 흘러나간 정보가 있을지도 모를 일이다. B씨는 “국민, 국가의 정보를 보호하는 것은 국가의 의무 아니냐”고 되물었다.



    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사