울지않는벌새 : Security, Movie & Society

하우리(Hauri) 해킹을 통한 문서 유출 사고 소식 (2015.8.12)

벌새::Security

바이로봇(ViRobot) 보안 제품을 서비스하는 하우리(Hauri) 보안 업체가 2015년 상반기경에 외부 해킹을 통해 업무용 PC 1대가 감염되어 군 관련 문서가 유출되었다는 소식입니다.

언론 보도를 확인해보면 최초 경찰청 사이버안전국이 특정 사건(※ 북한(North Korea)이 관여한 것으로 보이는 해킹 사건에서 사용된 서버를 입수하여 수사를 진행하는 과정에서 발견된 것이 아닌가 생각됩니다.)에 대해 수사를 진행하는 과정에서 하우리(Hauri) 보안 업체에서 유출된 것으로 추정되는 문서를 발견하여 국방부에 사건을 이첩하였다고 합니다.

 

이를 통해 국방부 수사 결과 하우리(Hauri) 보안 업체의 내부 업무용 PC 1대에 저장되어 있던 국방부 바이러스 방역체계 구축 사업 일환인 백신 사업 입찰 제안서를 비롯한 내부 문서가 외부로 유출된 것을 확인하였습니다.

하우리(Hauri) 보안 업체의 경우 이미 2차례 국방부 백신 공급자로 선정된 적이 있었으며, 이번 백신 사업 입찰에서도 낙찰되어 2014년 11월부터 2016년 말까지 군부대에 백신을 제공하게 되었습니다.

 

경찰청, 국방부, 하우리(Hauri) 보안 업체에서 관련 해킹 사건과 관련하여 추가적인 정보를 공개하지 않아서 공격의 주체가 누구인지는 명확하게 알려진 것이 없지만 군 내부망 침입을 위해 산하 기관 또는 외부 업체를 해킹하여 정보에 접근하는 최근의 북한 공격 방식을 감안하면 정보 수집 행위가 아닐까 강하게 의심이 되고 있습니다.

특히 올해 Kaspersky, BitDefender 보안 업체가 외부 해킹에 의해 정보 유출 및 금전 협박을 받는 사고가 있었다는 점에서 보안 업체는 더욱 자신들의 정보 자산을 보호하는데 신경을 써야 한다는 것을 잊지 말아야 할 것입니다.

 

 업데이트 : 하우리(Hauri) 해킹을 통한 K대학교병원 서버 장악 (2015.8.14)

 

북한에 의한 하우리(Hauri) 보안 업체 해킹을 통해 문서 유출 사건과 관련하여 추가적으로 공개된 정보를 살펴보도록 하겠습니다.

우선 하우리(Hauri) 보안 업체에 대한 해킹은 2014년 8월 이전에 발생하여 업무용 PC 1대가 해킹되어 국방부 백신 사업 입찰 제안서를 비롯한 14건의 문서가 외부로 유출되었습니다.

 

이 과정에서 공격자는 하우리 바이로봇(Hauri ViRobot) 백신 업데이트 서버의 취약점을 찾아 2014년 8월경 고객사인 K대학교병원 서버에 침투하여 제어권을 완전히 탈취하는데 성공하였습니다.

위와 같은 백신 업데이트 서버의 취약점을 통한 악성코드 유포 행위는 2013년 3월 20일에 발생한 방송사, 금융사를 표적으로 한 북한의 사이버 공격과 매우 동일함을 알 수 있습니다.

 

단지 의문이 드는 부분은 병원을 처음부터 노렸다는 보다는 하우리(Hauri) 보안 업체의 정보 수집을 목적으로 침투하였다가 문서 유출 외에 업데이트 서버의 취약점을 찾아 고객사에 2차적인 공격이 이루어진 것으로 보입니다.

 

피해를 입은 K대학교병원에서는 진료 정보가 기록되는 서버는 별도로 분리되어 있으며 내부 인트라넷 서버만 해킹되어 환자 정보 유출은 없다고 밝히고 있지만, 8개월 이상(2014년 8월 ~ 2015년 4월) 제어권이 탈취된 상태에서 가만히 두었다는 점이 더욱 놀랍습니다.(※ 정말로 아무런 악의적인 행위를 하지 않았다면 병원과 같은 의료 시설 침투 실전 훈련의 일종으로 봐야 할 것 같습니다.)

 

특히 경찰청 사이버안전국에서는 "북한 사이버 테러의 목적이 정보 유출이 아니라 기능 장애에 있기 때문에 의료 정보를 탈취하지는 않을 것으로 보인다."라고 밝히고 있는데 이런 부분은 한수원 해킹건만 봐도 누구나 알 수 있는 경찰의 헛소리라고 할 수 있습니다.(※ 북한을 비롯한 모든 해킹의 기본은 상대방에 대한 정보 수집을 통해 기능 장애와 같은 물리적 공격으로 이어진다는 점에서 해당 병원 서버 장악 후 행해진 증거를 파악하지 못한게 아닌가 생각됩니다.)

 

하우리(Hauri) 보안 업체의 경우 2014년 8월 이전에 해킹된 사실을 인지하지 못하고 있다가 2015년 4월경 경찰청의 통보를 통해 해킹된 사실을 확인하여 보안 조치를 수행한 것으로 보입니다.

해당 해킹 사건과 관련하여 북한에서는 지금까지 모든 사이버 공격에 대한 변함없는 모르쇠 전술을 통해 자신들과는 무관하다고 주장하고 있지만, 경찰 수사에서 밝혀진 북한 IP와 이전과 동일한 백신 업데이트 서버를 노린 점은 북한의 사이버 공격이었음을 알 수 있습니다.