“저축은행도 대규모 정보유출 가능성 높아”
상태바
“저축은행도 대규모 정보유출 가능성 높아”
  • 김선애 기자
  • 승인 2014.01.21 12:58
  • 댓글 0
이 기사를 공유합니다

빛스캔 “저축은행중앙회 홈페이지에 악성코드 링크 삽입, 정보유출 사고 발생 가능”
▲고개 숙인 카드 3사. KB국민·롯데·농협카드의 각 대표는 지난 8일 대한상공회의소에서 기자회견을 열고 고객정보 유출 사고에 대해 사과문을 발표했다.

금융기관에서 발생한 광범위한 개인정보 유출사고가 전 사회적인 이슈가 되고 있는 가운데, 지난달 초 저축은행중앙회(www.fsb.or.kr) 홈페이지에 악성코드 링크가 삽입돼 이를 통한 정보유출 사고가 일어났을 가능성이 있다는 주장이 나와 주목된다.

빛스캔(대표 문일준)은 21일 이같은 사실을 발표하며 공격자가 웹서버에 대한 모든 권한을 획득한 후 서버에서 발생하는 패킷을 변조해 이와 연결된 모든 웹서비스 방문자에게 악성코드를 유포시켰다고 설명했다.

관리자 권한 획득한 공격자, 모든 웹서비스에서 악성코드 유포
빛스캔이 밝힌 바에 따르면 12월 5일경 저축은행중앙회 웹사이트에서 악성코드 링크가 유포돼 확인 즉시 관계부서에 알렸다. 그러나 다음날 저녁 악성코드가 다시 관찰돼 8일까지 악성코드 유포가 계속됐다.

이 사고는 저축은행 중앙회 서버가 위치한 네트워크 영역에서 악성코드 감염을 위한 ARP 스푸핑 공격이 발생돼 일어난 것으로, ARP 스푸핑은 공격 대상의 IP 주소와 네트워크 장비 정보를 위조해 공격 대상 컴퓨터와 서버 사이를 오가는 트래픽을 공격자(해커)의 컴퓨터로 우회시켜 정보를 탈취하는 공격이다.

최근에는 정상트래픽에 악성코드 감염을 위한 주소를 추가시키는 방식으로 대규모 악성코드 감염에 직접 이용되고 있다.

저축은행 중앙회의 웹서버가 위치한 서버 영역 중 한 곳에 실제 침입이 발생돼 공격자가 모든 권한을 갖게 됐으며, 공격자 권한 획득 이후 서버에서 발생되는 패킷을 변조해 동일한 네트워크 장비와 연결된 모든 웹서비스에서 방문자들에게 악성코드 감염에 이용되는 링크를 자동으로 배포했다. 저축은행을 방문하는 일반 사용자는 홈페이지 방문만 해도 감염된다.

제2금융권 전체 금융사고 발생 가능성 존재
ARP 스푸핑 공격의 특성 상 해당 대역에 있는 다른 웹서비스에서도 동일하게 악성코드를 유포하는 행위가 발생하기 때문에 DMZ에 있는 웹서비스 서버에 심각한 보안상 문제가 있을 수 있다. 일부 서버의 경우, 공격자가 이미 권한을 보유하고 있는 상황을 가정한다면 내부망의 침입도 의심할 수 있다.

저축은행과 연결망을 갖고 있는 중앙회의 특성상, 제2 금융권 전체에 대한 심각한 금융사고 발생 가능성도 있다. 침해사고에 대한 분석과 대응은 관계부처에서 완료했을 것으로 보이지만, 현재 금융 관련 정보유출 사고와 같은 유형은 직접적인 공격에 의해서도 일상적으로 발생될 수 있다.

즉, 공격자는 모든 권한을 가진 상태에서 내부로 진입할 수 있는 연결지점을 확보하고, 외부보다 확연히 보안관리나 감시가 소홀한 내부망에 침입이 가능한 상태였다는 것이 핵심이다. 실제 악성코드 감염 행위는 이러한 최초 교두보 확보 이후에 나타나는 또다른 공격의 결과로 봐야 한다.

빛스캔 관계자는 “웹서비스에 대한 직접 침입은 내부망으로 들어오는 통로가 되고, 현대캐피탈이나 한화손해보험의 사례에서 보듯, 직접적인 정보유출이 발생될 수 있다. 매번 대책이 발표되고 있으나 여전히 위험성은 계속 되고 있다. 따라서 정보 유출 통로 및 침입 통로라고 할 수 있는 부분들에 대해서도 다각적인 대책이 필요하다”고 밝혔다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.