안랩 보안 제품이 해킹통로로..뭐가 문제였나

[이데일리 김현아 기자] 안랩(053800)이 ‘3.20 사이버 테러’ 당시 농협의 전산망 해킹을 불러온 원인 중에는 자사 제품의 하자가 있었다며 29일 국민에 사과했다.

그동안 제품의 허점이나 자사 내부에 있는 마스터서버 해킹 공격에 의한 게 아니라 농협 직원의 PC를 통해 해커가 관리자의 아이디와 패스워드를 탈취했기 때문이라고 주장해 왔지만, 자사 제품(APC서버, 자산 및 중앙관리서버)의 특정 버전이 버그가 있었음을 스스로 인정한 것이다. 해당 버그는 아이디와 패스워드 없이 파일을 업로드할 수 있는 것으로 해커는 이를 악용해 악성코드를 배포했다. 백신 업데이트를 관리하는 APC 서버에서는 다른 소프트웨어도 배포하는데 여기에 악성코드를 심은 것.

안랩은 농협 해킹의 첫 출발은 지속공격해킹(APT)로 인한 APC서버 관리자의 계정 탈취에 있고, 악성코드를 배포하는 마지막 과정에서 자사 제품의 취약점을 활용한 것으로 드러났다고 밝혔다.

보안회사 제품이 해킹통로로..고객사 점검

안랩이 인정한 APC서버의 취약점은 특정 버전에 공급됐다. 농협외에도 이 버전의 보안제품을 구입한 기업 고객들은 피해를 입을 수 있는 것. 안랩은 이에 대해 “현재 특정버전에서 발견되는 버그를 제거했고, 27일부터 해당 제품을 구입한 고객사를 대상으로 고객 보안 정책을 점검하고 있다”고 말했다.

내부 PC감염→안랩 제품 장악→농협 내부망 공격

안랩에 따르면 농협의 경우 공격자가 내부 PC를 감염시켜 장악하고 내부망을 통해 APC 서버의 버그를 찾아냈다. 그 뒤 이를 악용해 악성코드를 정상적인 소프트웨어로 위장했으며, 농협의 내부망을 타고 돌아다니면서 취약점을 지속적으로 찾아내 하드 디스크를 파괴했다.

안랩은 전형적인 지능형 지속공격해킹(APT) 방식으로 보이는 이번 공격은 공격자가 악성코드로 고객 PC를 감염시킨 것은 공통적으로 볼 수 있으나 해당 기업의 취약점이 다를 것으로 보여 동일한 방식으로 공략하지는 않은 것으로 보인다고 설명했다.

김홍선 안랩 대표는 “APT 공격이 이뤄져 관리자의 아이디와 패스워드를 탈취했고, 이후 악성코드를 배포하는 마지막 과정에서 APC서버의 취약점을 활용했다”면서 “APC서버의 취약점이 직접 해킹의 원인이 되지는 않았지만 통로가 된 측면이 있다”고 말했다.

보안 제품이 해킹 통로로.. 농협에 사과

이번 농협 해킹사건처럼 컴퓨터 바이러스를 잡는 보안 제품의 취약점을 활용해 해킹한 사례는 없었다.

김 대표는“안랩의 관리 소홀 및 제품 기능 상 이슈에 대해서는 책임을 통감한다. 신속히 보완대책을 강구 중이며 고객사인 농협에 대해 진심으로 사과의 뜻을 전한다”고 밝혔다.

용어설명: 지능형 지속공격 해킹(APT: Advanced persistent threat)이란 내부망에 있는 한 직원에게 메일을 보내 감염시켜 놓고 차례로 네트워크에 연결된 주변 직원에게 바이러스를 감염시킨다. 내부자 컴퓨터에 메일을 보내 컴퓨터 하나를 장악하고 이후 다른 컴퓨터도 다 감염시키는 방식이다.