[단독] 公기관 90%, 다크웹에 직원 계정정보 떠돈다
by김국배 기자
2021.06.03 03:59:51
보안 전문기업, 공공기관 350곳 유출 실태 첫 전수조사
316곳서 59만건 새나가…1만건 넘게 유출한 기관도 10곳
해커 손에 들어간 계정정보, 기업 내부 침투에 쓰여…랜섬웨어 등 위험 키워
"다크웹 상시 모니터링, 기관 이메일 일반 사이트 로그인 정보로 쓰지 말아야"
[이데일리 김국배 이후섭 기자]
국내 공공기관 10곳 중 9곳은 ‘다크웹(특수 브라우저로만 접속이 가능한 인터넷)’에 직원 계정정보(이메일 아이디+비밀번호)가 버젓이 떠돌아다니는 것으로 확인됐다. 이 정보는 해커가 기관 내부로 침투하는 빌미를 제공할 수 있어 사이버 공격 위험에 노출된 상황을 내버려둬선 안 된다는 지적이다.
2일 다크웹을 감시하는 국내 사이버 보안 기업 NSHC가 조사한 결과 총 350곳의 공공기관(공기업 36개, 준정부기관 96개, 기타 공공기관 218개) 중 약 90%인 316개 공공기관의 직원 계정정보가 유출된 것으로 파악됐다. 국내 공공기관의 다크웹 상 계정정보 유출 실태를 전수 조사한 건 이번이 처음이다.
이번에 확인된 유출 계정정보는 약 59만 건에 달했다. 방대한 다크웹에서 보안업체 한 곳이 찾아낸 것만 이 정도다. 1000 건이 넘는 계정정보를 유출한 공공기관은 93곳이었으며, 1만 건 넘게 유출한 기관도 10곳이나 됐다. 1000 건 이하의 계정정보를 유출한 기관은 223개에 이른다. 계정정보 유출 흔적이 없는 기관은 30곳에 불과했다.
계정정보가 유출된 경위는 분명치 않다. 해당 기관이 직접 해킹을 당하지 않더라도, 기관 이메일 주소를 아이디로 가입한 다른 서비스에서 유출되는 경우도 많다. 대다수 사람들이 동일한 비밀번호를 사용하기 때문에 유출된 아이디와 비밀번호로 기관에 접속하는 것이 가능하기 때문이다.
다크웹에 유출된 계정정보는 최근 미국 송유관에 이어 세계 최대 육가공 업체까지 멈추게 만든 랜섬웨어(주요 파일을 암호화해 접근을 차단한 뒤 금전을 요구하는 해킹 공격) 등 사이버 공격의 시발점이 될 수 있다.
랜섬웨어를 유포하려면 어떤 식으로든 기업 내부에 침투해야 하는데, 다크웹에서 얻은 계정정보로 로그인(크리덴셜 스터핑 공격)에 성공한다면 랜섬웨어를 심는 게 수월하기 때문이다. 보안업계에서는 미국 송유관 업체 ‘콜로니얼 파이프라인’를 랜섬웨어에 감염시킨 해커들이 크리덴셜 스터핑 공격을 통해 내부에 먼저 진입했을 거라는 의심도 한다. 2018년 홍콩 기반 영국계 HSBC 은행에 로그인 공격을 시도한 해커들 역시 다크웹에서 계정정보를 구매한 것으로 보고된 바 있다.
최상명 NSHC 수석연구원은 “국내 공공기관은 북한 등 세계 각국의 해커들로부터 공격 대상이 되기 때문에 다크웹을 상시 모니터링해 유출된 계정정보를 파악하고 대응해야 한다”며 “유출된 패스워드는 반드시 교체해야 하며, 해당 기관의 이메일을 일반 사이트의 로그인 정보로 사용하지 않도록 직원들을 교육하는 일도 필요하다”고 말했다.
국가정보원 관계자는 “다크웹에서 국가·공공기관 종사자의 개인정보 유출이 확인되면 소속기관을 통해 비밀번호 변경 등 보안 조치를 하도록 하고 있다”며 “지난해 12월에도 다크웹에 노출된 회원 정보 중 국내 공직자와 연구기관 종사자 등의 이메일 노출 사실을 확인해 소속기관을 통해 조치했다”고 밝혔다.