한국산업기술시험원서 유출된 것으로 파악…"인증 고객 161명 개인정보로 추정"

(지디넷코리아=황정빈 기자)깃허브에 올라온 161명의 개인정보가 산업통상자원부 산하 공공기관인 한국산업기술시험원(KTL)에서 유출된 것으로 파악됐다.

27일 보안업계에 따르면 중국 해커그룹 '샤오치잉(晓骑营)'이 유포한 것으로 추정되는 161명의 개인정보는 한국산업기술시험원에서 유출된 자료인 것으로 확인됐다.

국내 사이버보안 전문가는 "샤오치잉의 전신인 '텅 스네이크'가 지난해 11월 정부 플랫폼에서 빼냈다고 밝힌 데이터베이스와 한국산업기술시험원에서 빼냈다고 밝힌 데이터베이스가 같은 파일이라는 것을 확인했다"라고 밝혔다.

지난 25일 한국인터넷진흥원(KISA)에 따르면 미상의 중국 해커조직인 '샤오치잉'은 대한건설정책연구원을 비롯해 12개 국내 학술기관의 홈페이지를 해킹했다. 

샤오치잉이 누구인지 관심이 집중된 가운데, 이달 7일 깃허브에 올라온 161명의 개인정보는 샤오치잉의 전신인 '텅 스네이크(Teng Snake·腾蛇)'가 유포한 것으로 밝혀졌으며, 해당 정보는 지난해 11월 이들이 이미 공개했던 정보였던 것으로 확인됐다.

당시 이들은 161명의 개인정보를 한국 정부 플랫폼에서 빼냈다고 주장했으나, 해당 한국 정부 플랫폼이 어딘지는 밝혀지지 않았다. 그러나 다크웹 추적에 정통한 보안 전문가에 따르면, 161명의 개인정보는 한국산업기술시험원에서 유출된 것으로 확인됐다.

이들은 지난해 11월 당시, 두 개의 게시글을 올리며 하나는 정부 플랫폼에서 유출했다고 밝히고 또 다른 하나는 한국산업기술시험원에서 유출했다고 밝혔다. 그러나 보안 전문가가 두 개의 게시글에 유출된 데이터베이스를 비교한 결과, 같은 데이터베이스였던 것으로 확인됐다.

한국산업기술시험원은 기업의 연구개발 성과물이 국내외 시장에서 요구하는 성능 및 안전요건을 충족하는지 여부를 검증하는 산업통상자원부 산하 공공기관이다. 해당 기관은 해외 수출을 위한 국제공인시험성적서 시험 및 해외 인증 획득 컨설팅, 해외시험인증기관 업무 협약을 통한 무역기술장벽 선제적 대응 지원 등의 역할을 한다. 공산품 품질 수준을 검사하는 'K마크 인증', 전기전자 제품의 안전에 대한 국제인증제도인 'IECEE CB인증' 등을 비롯해 기계 및 소재역학 시험 등 다양한 사업을 수행한다.

한국산업기술시험원으로부터 유출된 161명의 개인정보에는 이름, 이메일 주소, 아이디, 비밀번호, 휴대전화 번호, 직장 전화번호, 직장 주소 등 구체적인 정보가 포함됐다. 이들의 전화번호 및 이메일과 직장을 대조한 결과, 이들의 소속은 ▲LG전자 ▲LG화학 ▲삼성전기 ▲포스코 ▲식품의약품안전처 ▲국립수산과학원 ▲제주에너지공사 ▲한국환경공단 등으로 확인됐다. 이외에 검찰과 서울시 소속으로 보이는 직원들도 포함된 것으로 파악됐다.

개인정보가 유출된 161명은 연구개발 성과물을 검증받기 위해 한국산업기술시험원에 가입했을 것으로 추정된다. 이들이 한국산업기술시험원에 가입한 아이디와 비밀번호를 자신들이 속한 기업·기관에서 동일하게 사용했다면, 해커가 이를 활용해 해당 기업·기관도 침투했을 가능성이 있어 추가 해킹 우려가 제기된다.

보안 전문가는 샤오치잉의 공격 수법이 지난해 삼성, LG, 마이크로소프트를 해킹했던 '랩서스(Lapsus$)' 수법과 동일한 것으로 분석했다. 마이크로소프트를 해킹할 당시, 랩서스는 임직원 계정을 구매해 이를 통해 소스코드를 빼냈다. 보안 전문가는 "샤오치잉의 수법은 직원 계정을 획득해 이를 통해 데이터를 유출하는 랩서스의 공격 수법이랑 같다"며 "다크웹에서 계정을 사면 한국 기업에도 침투할 수 있어 조심해야 한다"고 말했다.

이어 "SQL 인젝션 공격으로 해당 기관이 해킹 당했을 가능성이 있다"며 "SQL 인젝션 공격은 일반적으로 웹해킹에 가장 많이 사용되는 기법으로, 서버와 사용자 수준에 따라서 천차만별"이라고 설명했다. SQL 인젝션 공격은 공격자가 웹사이트로 데이터베이스(DB) 명령어인 SQL을 보내, 운영자가 의도하지 않은 DB조작을 할 수 있게 만드는 수법이다.

한국인터넷진흥원(KISA)은 이번 사안과 관련해 "유포된 161명의 개인정보가 실제 맞는 정보인지 아직 확인 중에 있다"며 "한국산업기술시험원에서 유출됐다는 점 또한 현재 조사 중으로 확인드리기 이른 상황"이라고 말했다. 이어 "웹 변조 형태가 여러가지이기 때문에 어떤 공격 수법을 사용했는데 현재 특정할 순 없고 조사 중이며, 유포된 개인정보의 진위 여부와 공격 수법을 확인하는 데는 시간이 좀 걸릴 것으로 보인다"고 덧붙였다.

한편, 이들은 국내 정부 기관을 해킹해 54GB 데이터를 빼냈다고 주장했으나 이후 국내 정부 기관이 아닌 학회 서버에 있던 데이터 54GB를 유출한 것이라고 주장을 번복했다.

이들은 지난 대한건설정책연구원을 포함해 국내 12곳의 학술기관을 해킹한 데 이어 지속적으로 국내 기업 및 기관을 대상으로 추가 해킹을 예고하고 있다. 지난 26일에는 텔레그램 그룹방에 40여개의 한국 학회 사이트 내부 데이터베이스를 공개했으며, 조직원 가입 조건으로 한국 정부 해킹 성공을 내걸기도 했다.

현재 과학기술정보통신부는 중국 해커 그룹의 잇따른 해킹 경고와 데이터 유포에 대응하기 위해 모니터링 인력을 늘리고 비상대응 체계를 운영 중이다.