티스토리 뷰
■ 3줄 요약
① 윤대통령의 영국 순방일정이 북한 추정세력에게 해킹되는 사건 발생
② 편리함을 위한 행정관의 네이버 외부메일 사용이 원인(내부 규칙위반)
③ 편리함과 기밀성은 반비례한다.
=============================================================================================
① 사고 개요
- 윤석열 대통령의 지난해 영국 국빈방문 기간 중(11.20~23) 대통령실 행정관 이메일이 북한 추정세력에게 해킹당했던 사실이 13일 확인됐다고 한다.
유출 정보는 국빈방문 일정·시간표와 구체적인 행사 내용, 대통령의 메시지 등으로 추측된다. 아웅산 묘소 폭탄 테러 사건 사례에서도 알 수 있듯이, 대통령의 일정은 탑시크릿으로 관련 정보가 외부로 유출되면 절대 안되는점을 고려할때 자칫 윤 대통령의 안위에 문제가 발생할 수도 있는 아찔한 상황이였다.
② 사고 원인
- 번거로움으로 업무에 상용 이메일(네이버 메일)을 사용한 행정관 개인의 부주의에 따른 보안규정 위반이 원인으로 보인다.
관련 관계자는 대통령실 공식 이메일이 있긴 하지만 보안절차가 까다로워 급하게 처리해야 할 업무가 있는 경우 자신이 만든 대통령실 자료를 외부 이메일에 저장해놓고 이를 전송했다가 해킹 피해를 입었을 가능성이 있다고 말했는데, 해킹 피해자인 행정관은 업무 과정에서 대통령실 이메일과 포털사이트 이메일 등을 혼용해 사용했으며, 북한이 해킹한 이메일은 네이버 이메일 계정이었던 것으로 국정원을 통해 알려졌기 때문이다.
③ 상세 원인(추정)
1. 메일 피싱, DNS 파밍 등 계정 유출
2. 크리덴셜 스터핑
공격 2개가 가장 가능성이 높아보이며 보안업계에서도 의견이 모아지고 있다. (상세 유출 내역은 비공개임으로 추정임)
1. [ 메일 피싱, 파밍 추정 시나리오 ]
- 행정관의 네이버 메일 피싱(SMS, 이메일)이나 DNS 변조를 통한 계정정보 탈취
→ 국정원 피싱 메일, 파밍 공격 조사 중 행정관이 피해자로 확인 후 통보
*개인적으로 북한 공격의 대부분이 스피어 피싱인 경우로 보아 현실성이 가장 높다고 생각
2. [ 크리덴셜 스터핑 추정 시나리오 ]
- 다크웹에 유출되어 있는 해당 행정관의 계정정보를 입수
→ 무작위 대입 후 로그인에 성공 후 탈취
④ 사고 대응
정부 : 영국 방문에 동행했던 고위 당국자들은 현지에서 극비리에 긴급대책 회의를 가졌던 것으로 알려졌다. 대통령실은 북한의 해킹 이후 국정원 등의 지원을 받아 대통령실 내 사이버 보안 조치를 강화한 것으로 전해졌다.
⑤ 대응 방안 (사견)
- 이 사건의 경우 네이버 메일의 사고가 주 원인이지만 근본적인 원인은 내부 메일을 사용하지 않는 휴먼 에러이다.
결국 정보보호 교육과 인식제고가 중요하단 말이지만, 수동적인 해당 행위로 원인은 해결하긴 어려울 것 같다.
대통령실이다 보니 정보보안 대응방안(주기적 비밀번호 변경, 정책와 같은 크리덴셜 스터핑 대응 등)이나 피싱 방어 등 기술력(솔루션 등)은 부족하지 않았을 것이다. MDM을 도입하여 내부 메일 반출 시 등에 승인이 필요한 건 수에 실시간으로 대응하는 환경을 제공하거나, 사후 승인 등 일부 편의성을 도입하는것도 방법일 듯 하다.
또한 업무 중요 문서 생성, DRM 해제 및 외부 반출기록, 프로그램 실행 기록 등 사용자 PC에서 발생하는 다양한 행태 정보를 모니터링해 이상징후를 정교하게 탐지하는 방법이 통제를 강화하는 것보다 더 효과적일 수 있을것 같다.