보안대책으로 마련한 기업 중앙배포서버가 악성코드 배포에 악용

3.20 사이버 테러의 준비단계인 악성코드 유포 과정에서 국내 기업들이 보안을 목적으로 운용해 온 서비스가 악용된 것으로 조사 결과 드러났다.

보안 솔루션 자체에 취약점 등 문제가 있었던 탓인지, 아니면 이를 운용하는 고객 기업의 서버 관리에 문제가 있었던 탓인지는 아직 명확하게 드러나지 않았으나 어쨌든 보안용 서비스가 악성코드의 유포 경로로 쓰였다는 점에서 비판을 피하기 어렵게 됐다.

10일 미래창조과학부 등 민·관·군 합동대응팀의 조사결과 발표에 따르면 지난달 20일 사이버 공격을 불러 온 악성코드 배포에 백신 등 프로그램의 중앙배포 서버가 이용됐다.

이런 중앙배포 서버는 보안 취약점을 막기 위해 기업 차원에서 중앙집중식으로 백신을 설치하거나 소프트웨어를 업데이트하는 데 쓰인다.

기업들이 이 같은 솔루션을 도입하는 것은 보안 패치 설치나 업무용 소프트웨어의 업데이트 등을 개인에게만 맡겨 두면 보안에 큰 위협이 될 수 있기 때문이다.

그러나 이번에는 이런 중앙배포 서버가 악성코드가 퍼지는 ‘숙주’ 노릇을 했다. 보안을 위해 도입한 솔루션이 보안 침해 사고를 불러온 꼴이다.

다만, 이번 사고가 보안 솔루션 자체의 취약점 탓인지, 이를 납품받아 내부 PC들을 관리해 온 고객 기업의 탓인지에 대해서는 주장이 엇갈리고 있다.

국내 1위 보안업체인 안랩과 지난달 20일 사고의 피해 기업 중 하나인 농협이 벌이고 있는 책임 공방이 대표적 예다.

농협은 안랩으로부터 ‘APC서버’라는 자산·중앙관리 서버를 납품받아 사용하고 있었는데, 이 서버의 계정이 안랩의 관리소홀로 탈취된 흔적이 있다는 것이다.

또 안랩이 농협에 납품한 APC서버에 버그가 있어 파일을 업로드할 때 아이디와 패스워드를 입력하는 인증 절차가 없었는데도 인증실패 처리가 되지 않는 취약점이 뒤늦게 발견됐다.

농협은 이를 근거로 “안랩의 관리자 아이디·패스워드 관리소홀이나 APC서버의 취약점이 없었더라면 악성코드가 농협 내부 컴퓨터에 전달되지 않았을 것”이라고 주장하고 있다.

이에 대해 안랩은 악성코드가 농협 내부 컴퓨터에 침투한 것 자체는 APC서버의 로그인 취약점과 무관하고 안랩의 책임이 아니라고 주장하고 있다.

악성코드 침투에 대한 직접적인 책임이 어느 쪽에 있든, 국내 1위 보안 솔루션 업체와 이를 사용하던 대형 금융기관이 북한 정찰총국 소속으로 추정되는 해커에게 철저히 농락당한 것은 사실이라는 얘기가 된다.

안랩 홍보팀 관계자는 “이번 정부 발표는 종합적인 내용이어서 달리 얘기할 부분은 없다”며 “농협 외에 다른 기업이나 기관에서 APC서버의 문제점이 지적됐던 일은 없다”고 말했다.

연합뉴스