2025-01-15 18:45 (수)
서울메트로 해킹, 북한소행 아닌 2013년 스트럿츠2 취약점이 원인일 가능성 제기
상태바
서울메트로 해킹, 북한소행 아닌 2013년 스트럿츠2 취약점이 원인일 가능성 제기
  • 길민권
  • 승인 2015.10.12 08:47
이 기사를 공유합니다

2013년 당시 서울메트로, 아파치 스트럿츠2 취약점 공격 대상에 포함돼
정확한 근거 없이 북한 소행 주장은 정보보호 발전 저해시켜
지난 5일 하태경 새누리당 의원은 서울 지하철 1~4호선을 운영하는 서울메트로가 해킹을 당해 서버권한 탈취(2대)를 비롯해 악성코드 감염 PC(58대), 비인가 접속 피해 PC(213대) 등의 피해가 발생했다고 밝혔다. 하지만 특정할 만한 근거도 없이 서울메트로 해킹의 주체가 3.20 사이버테러를 주도했던 북한 정찰총국의 소행으로 추정된다고 밝힌 것에 대해 보수정권 유지를 위해 북한을 이용하고 국민 불안감을 더욱 부추기고 있다는 비판도 일고 있다.
 
◇북한 아닌 다른 형태 해킹 가능성도 염두에 둬야
북한이라는 확실한 증거가 없는 한 북한이 아닌 다른 해킹 가능성도 염두에 두어야 한다. 이런 가운데 서울메트로 해킹이 지난 2013년 7월 이슈가 됐던 Apache Struts2(아파치 스트럿츠2) 취약점을 이용한 공격에 의한 것일 수도 있다는 제보가 데일리시큐에 접수됐다. 
 
2013년 7월 18일 데일리시큐는 아파치 스트럿츠2 취약점을 이용한 공격툴이 중국에서 개발돼 해당 프레임워크를 사용하는 중국 및 한국의 공공기관, 대기업, 금융기관, 통신사, 게임사 등 대형 사이트들이 무차별적으로 공격당하고 있다는 단독 보도를 한 바 있다. 당시 많은 기관과 기업들이 이 공격을 방어하는데 애를 먹었고 실제 피해도 상당히 많이 발생했던 사건이었다.
 
KISA(한국인터넷진흥원)은 당시 2013년 7월에도 아파치 스트럿츠2에 대한 보안패치를 공지했으며 이후 11월에도 패턴 기반으로 위협을 탐지하는 웹방화벽 등 보안장비는 이 공격을 탐지하지 못한다며 재차 보안패치 적용을 공지한 바 있다. 그만큼 많은 사이트들이 위험성을 간과하고 있었고 패치도 제대로 하지 않아 지속적으로 공격이 발생했기 때문이다.


2013년 당시 제보자가 서울메트로 측에 취약점 전달과 보안패치 적용 권고 메일발송한 내용
 
◇2013년, 아파치 스트럿츠2 취약점 공격이 한창일때 서울메트로도 공격 대상에 포함
이번에 데일리시큐에 제보한 보안전문가 홍순열씨는 “당시 아파치 스트럿츠2 이슈가 너무 커 정보수집 차원에서 구글 검색을 통해 공격대상을 리서치 하던 중 서울메트로가 공격대상에 포함된 것을 확인했다”며 “더욱이 해당 공격이 통한 것을 발견하고 즉시 그 근거 자료와 보안패치를 당부하는 메일을 당시 서울메트로 개인정보보호 책임자, 담당자, 홈페이지 보호 책임자 등 4명의 이메일로 전송했다. 너무 위험한 상황이었다. 구글에 검색이 될 정도면 공격자들에게 당연히 타깃이 됐을 것이고 당시 공격툴로 취약한 운영서버를 해킹하는 것은 손 쉬운 일이었을 것”이라고 전했다.
 
하지만 당시 서울메트로 측은 제보를 받고도 언제 보안패치를 했으며 어떻게 조치했다는 내용을 제보자에게 전달하지도 않았고 어떠한 답변도 주지 않았다고 한다. 
 
한편 서울메트로 측은 통합로그관리시스템이 구축되어 있지 않았고 로그기록도 6개월만 보관하고 있었다. 즉 해킹과 정보유출을 인지한 시점이 2014년 7월 23일이기 때문에 로그기록은 6개월 이전인 1월부터라고 볼 수 있다. 그 기록만을 가지고 국정원 측은 2013년 발생했던 3.20과 유사한 공격방식이라며 서울메트로 해킹도 북한의 정찰총국 소행으로 추정된다고 서울메트로 측에 전달한 것이다.
 
북한 정찰총국이 국내 다양한 기관들을 공격하고 있다는 것은 공공연한 사실이다. 국내 대부분의 기관들이 공격을 받고 있고 많은 정보들이 유출되고 있다. 정부 및 공공기관들은 모르고 있을 수도 있고 알고도 쉬쉬하고 있는 상황이다. 실제로 뚫려서는 안되는 기관까지 북한의 공격에 해킹을 당한 정황이 포착되고 있다.
 
하지만 이번과 같이 로그기록도 부족한 상황에 정황상 유추된 부족한 단서들만을 가지고 북한 소행이라고 몰고 가는 것은 국내 정보보호 역량 강화 및 침해사고 대응력을 발전시키는데 전혀 도움이 되지 않는다. 아파치 스트럿츠2가 이번 사건과 전혀 연관이 없을 수도 있지만 이와 동시에 북한이 전혀 연관되지 않았을 수도 있다. 북한은 이미 다른 시기에 서울메트로를 공격해 정보를 유출해 갔을 수도 있다. 문제는 부족한 근거만을 가지고 마치 정확한 정보로 위장돼 국민들을 현혹하는 것은 지양되어야한다는 것이다. 이런 식의 발표가 계속 되기 때문에 국민들이 “또 북한소행이야?”라며 정부의 발표를 신뢰하지 못하는 것이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★