일본 보안 사고가 주는 5가지 시사점

일본 보안 사고가 주는 5가지 시사점

- AhnLab 보안정보  2015년 6월 23일 -

이달 초 일본연금관리기구가 해킹으로 125만 건의 개인정보가 유출된지 9일만에 

도쿄상공회의소가 해킹돼 회원기업 정보 1만 건이 유출됐다. 

이번 일본 보안 사고를 통해 문제점을 짚어봤다.

우리나라는 지난 몇 년 간 사이버 공격으로 개인정보 유출이나 데이터 손상 등으로 큰 피해를 입었다. 사건 사고가 빈번해진 이유 때문인지 이제는 몇 만 명 정도의 개인정보 유출은 무감각해진 상태이다. 주변국인 일본도 최근 사이버 공격으로 몸살을 앓고 있다. 교도통신의 보도에 따르면 지난 6월 1일 일본연금기구가 해킹 당해 125만 건의 개인정보가 유출됐으며, 6월 10일에는 도쿄상공회의소가 해킹돼 회원기업 정보 1만여 건이 유출됐다(교도통신, 日 도쿄상공회의소, 회원기업 정보 1만여 건 유출). 최근 발생한 일본의 보안 사고를 통해 몇 가지 문제점을 살펴봤다.

▲ [그림 1] 일본연금기구 개인정보 유출 관련 공지

교도통신(교도통신, 日정부, 사이버 공격 방호대상에 연금기구 “대상外”…위기감 결여) 보도에 따르면 도쿄상공회의소 해킹도 직원에게 악성코드가 첨부된 업무 관련 메일이 발송됐다. 이 메일을 열어본 후 해킹을 통해 개인정보가 유출됐다.

필자는 일본 연금기구 해킹 사고를 보면서 5가지의 문제점을 발견했다. 

1. 미흡한 보안 체계

일본연금관리기구는 행정기관을 지키기 위해 정부가 지정한 중요 대상에 포함되지 않았다. 일본의 보안 체계가 어떤지 정확히 알 수는 없지만, 일본연금관리기구가 중요 대상에 포함되지 않았다면 좀더 강한 보안 심사를 받지 않았을 가능성이 높다. 개인정보가 보관된 주요 자료도 개인 컴퓨터에 저장됐거나 서버에 저장돼 있었다면 망 분리가 제대로 되지 않았을 것이기 때문이다. 문서가 암호화되지 않고 저장됐을 수도 있고 암호화돼 있다고 해도 개인 컴퓨터에서 해당 암호를 풀 수 있을 것이다. 공격자는 암호를 풀 수 있는 키나 암호 내용을 키로깅(Keylogging) 등을 통해 무용지물로 만들 수 있다.

2. 직원들의 보안 지식 부족

이번 일본의 보안 사고와 관련해 알려진 바에 따르면 5월부터 공격 메일이 수신됐고 연금관리기구는 몇 차례 직원들에게 공지를 통해 주의를 당부했다. 하지만, 이 공지는 성공하지 못한 것으로 보인다. 첨부된 악성코드는 문서 파일이 아닌 실행 파일을, 그것도 일본에서 많이 사용하는 ‘LZH’로 압축한 파일이었다. 메일에 실행 파일이 첨부되면 의심해보라는 기본적인 교육과 실천이 제대로만 됐다면 쉽게 해킹되지 않았을 것이다.

보통 목표가 정해져 집요하게 지속적으로 들어오는 APT(Advanced Persistent Threat) 공격은 예방이 어렵다. 하지만 이번 공격은 대응이 어려운 고도의 방법과는 거리가 먼, 20년도 지난 낡은 수법이었고 여전히 유효했다.

3. 대응 역량 문제 : 소극적인 대처

연금기구는 23일 19대의 컴퓨터에서 대량의 정보가 발신된 것을 확인했다. 악성코드 감염이 의심됨에도 불구하고 당일에는 컴퓨터가 설치된 부서의 인터넷 접속을 차단하는 소극적인 대처에 머물렀다. 지속적으로 악성코드를 이용한 공격이 탐지됐지만 어떻게 대응했을까? 혹시 백신 프로그램의 시그니처 업데이트와 공지가 전부이지 않았을까? 이런 사후 대응 성격이 강한 백신 프로그램만으로는 이번과 같은 표적 공격을 막을 수 없다. 분석을 통한 공격 방식, 악성코드, 접속 주소 등에 대한 다각적인 접근이 필요하다. 여기에서 궁금한 것은 일본 연금기구에 자체 대응 조직이 있을까 하는 점이다.

4. 보고 문제 : 후생노동성의 늦은 초동 대처

보안 사고는 그에 따른 대응이 필요하다. 이번 보안 사고를 통해 연금기구와 감독 관청인 후생노동성의 늦은 초동 대처가 드러났다. 내각 사이버 시큐리티 센터가 5월 8일 수상한 통신 이력이 감지됐다고 후생성에 통보하면서 처음으로 악성코드 감염이 확인됐다. 그러나 연금기구에 연락한 후생성 계장은 연금기구가 19일 경시청에 이 문제를 신고한 시점에도 상관에게 보고하지 않았다. 이후 개인정보 유출을 확인한 경시청이 28일 연금기구에 이를 통보하자 연금기구가 후생노동성에게 통보했다. 후생노동 대신은 최초 악성코드 감염 확인일로부터 20일이 지나서야 정보 유출 사태를 보고받았다고 한다.

5. 악성코드의 지역화

우리나라도 국내 사용자를 대상으로 한 악성코드 공격을 받은 지 오래다. 이번 공격에 사용된 것으로 알려진 악성코드 변형을 분석한 결과, 일본 사용자를 목표로 만든 악성코드일 가능성이 높다. 첨부 파일 이름과 정상 파일로 속이기 위한 문서는 모두 일본어로 되어 있고 변형 악성코드 중에는 일본에서 가장 널리 이용되는 야후 재팬(Yahoo Japan) 등과 같은 일본 사이트와 관련된 문자열도 존재했다. 

▲ [그림 2] 악성코드 내 야후 재팬 문자열

그 외에도 일본의 한글 워드프로세스에 해당하는 이치타로(Ichitaro)의 취약점을 이용한 공격도 발생하고 있다.

이번 일본 보안 사고를 접한 후 느낀 점은 우리나라의 보안 현실과 큰 차이가 없어 보인다는 것이다. 하지만, 국내 보안 사고에서는 실무 담당자가 책임지는 모습과는 사뭇 다르게 느껴진다(교도통신, 日 개인정보 유출 책임論… “아베, 세비 반납하라”). 스가 관방장관은 연금기구 개인정보 유출 사건에 대해 “정부로서도 책임을 느끼고 있으며 세비 반납을 포함해 대책을 검토하겠다”고 입장을 밝혔다.

그럼에도 불구하고 결과적으로 한국과 일본이 닮은 점은 양쪽 정부 모두 사이버 공격에 대해 좀더 체계적인 대응 체계 구축이 필요해 보인다.

<참고 사이트>

日 도쿄상공회의소, 회원기업 정보 1만여건 유출 

☞ http://www.47news.jp/korean/economy/2015/06/116051.html

日정부, 사이버공격 방호대상에 연금기구 “대상外”…위기감 결여

☞ http://www.47news.jp/korean/politics_national/2015/06/115691.html

日 개인정보 유출 책임論… “아베, 세비 반납하라”

☞ http://www.munhwa.com/news/view.html?no=2015061201031703019001

- AhnLab  분석팀 차민석 책임연구원 -

<출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23786&dir_group_dist=0>