베트남 회사의 해킹 피해 사례 1편
베트남 사이버 시큐리티 보안 사고 종합
안녕하세요. 금일 IT칼럼에서는 최근 베트남 IT업계뿐만 아니라 베트남의 산업군을 떠들썩하게 한 사이버 해킹, 랜섬웨어 (Ransomware) 사고에 대해 포스팅해 보겠습니다.
2023년과 2024년은 베트남 신문과 인터넷에서는 해킹과 랜섬웨어 사고가 한창 헤드라인으로 장식하였습니다.
최근 베트남 3위 증권사 VN Direct 해킹 사건만 보더라도 아무리 큰 IT기업이라도 보안에 대해 완벽할 수 없다는 것과 우리 회사도 언젠가 표적이 될 수 있다는 잠재적 위험 속에 노출되어 있습니다.
베트남 사이버 보안 전문 회사 Bkav 2022년 조사 자료에 따르면 2022년 베트남의 약 1만 9천대의 서버가 랜섬웨어의 피해를 입었고, 해외의 13만 악의적 IP (malicious IP)로 공격을 받았습니다. 2023년은 사이버 보안 사고가 2022년 비해 약 35% 증가하였습니다.
베트남 정보통신부 (MIC : Ministry of Communication) 산하의 AIS (Authority of Information Security)에 의하며 2021년 사이버 보안사고의 80% 원인은 사용자의 비밀번호 취약성 (예를 들어 1234…) 사고로부터 발생하였고 4천2백만 개의 비밀번호 유출이 있었습니다.
베트남에서 가장 단순하게 사용하는 비밀번호는 123456이며 (한국 사람은 123456789) 이는 각종 시스템, 서버, Wifi 비밀번호로 베트남에서 널리 사용되고 있으며 이 취약한 비밀번호(123456)를 사용한 베트남 유저는 약 34만 명이라고 합니다.
해커는 어떤 시스템이건 123456을 입력해도 뚫리는 시스템이 있다는 의미입니다.
베트남의 주요 사이버 보안 사고
베트남 항공 해킹 사건 (2016년 7월)
2016년 베트남 항공 해킹 사건을 기억하는 베트남 분들은 여전히 많습니다.
저도 당시에 베트남에서 근무를 하면서 하노이- 호찌민을 자주 출장 다녔는데 저는 그 사건이 일어난 그 전주에 하노이 노이바이 공항 (Noi Bai Airport)과 호찌민 떤션녓 (Tan Son Nhat) 공항을 이용하였습니다.
2016년 7월 29일 베트남 항공사 홈페이지는 아래와 같이 다소 위협적인 그림과 화면으로 변경되었고, 베트남 항공의 모바일 앱은 아예 작동하지 않았습니다.
2016년 베트남 항공사 웹사이트 해킹 화면 (자료 제공 : 인터넷)또한 베트남 항공사 회원 정보 (사용자 정보, 연락처, 마일리지, 항공 예약 등)도 모두 해킹되어 삭제되었습니다.
해커는 중국에서 가장 유명한 해커 집단인 1937cN 그룹이며 해킹의 목적은 정확히 알려지지 않지만 당시 베트남과 중국 간의 정치적 대립, 반중감정, 남중국해 영유권 분쟁등으로 인한 정치적인 선동도 한목 작용하였습니다. (해킹된 웹사이트 내용을 보면 베트남의 비하 및 중국 군사, 정치의 우수함을 드러냄을 볼 수 있습니다.)
이 해킹 사건은 여기에 멈추지 않고 같은 날 호찌민 텐션넷 공항의 모든 디지털 전광판 (Digital Signage)를 마비시켰습니다.
2016년 7월 29일은 호찌민-하노이의 모든 출항 정보가 지워졌고 항공편도 정상 운행할 수 없는 공항 마비, 베튼남 사상 최대의 해킹으로 기록되고 있습니다.
호치민 떤선녓 공항의 전광판이 모두 작동이 멈췄고 모든 항공 관련 업무는 항공사, 공항 직원에 의해 수기로 작성하고 수동으로 처리함. (출처 : vnexpress)또한 같은 날 하노이 노이바이 공항의 방송 시스템에는 뜻하지 않은 방송이 영어로 나오게 되었는데 그 내용은 1937cN 해커가 남중국해는 중국 영해라는 내용의 방송이 나오게 되어 노이바이 공항은 아수라장이 되었고 공항에 있는 모든 사람들을 섬뜩하게 하였습니다.
https://www.youtube.com/shorts/OqpUzFqKZxI?feature=share
중국 1937cN이 사용한 해킹 방식은 이메일 피싱 (Phishing email) 방식을 이용해 베트남 항공사의 내부 시스템에 침투하였고 악성 코드 (Malicious code)를 배포하여 시스템의 스캔, 웹사이트 스캔을 하였으며 이때 비밀번호 취약성 (weak password)을 통한 침투도 사용되었습니다.
호찌민 은행 해킹 사고 (2023년 7월)
작년 2023년 7월 베트남 해커 (Duong Minh Tam)은 피싱메일, 악성코드, DDoS 공격을 통해 호찌민의 한 은행에 침투하여 회원 정보를 해킹하였고, 은행의 트랜잭션 조작을 통해 약 미화 42만 불 (VND 10 billion)의 금액을 탈취하였습니다.
사이버 보안 침투를 통해 이용자의 ID가 해킹되는 장면 (출처 : VN EXPRESS)또한 당시 해킹에 사용한 기술은 API의 취약성을 통한 시스템 침투 방식입니다.
API는 각 은행과 타사의 기관 (금융기관, 핀테크, 은행 앱 등)과 연결하기 위한 하나의 규약 프로토콜인데 서로 액세스를 위해 API 취약성 (loopholes)가 있을 수 있으며 API 연결 규약을 파트너사에게 오픈하면 SQL Injection이나 Token, script로 API가 침투될 가능성이 큽니다.
마치 트로이 목마 (Trojan Horse)와 같이 한번 침투하게 되면 어떤 시스템이든 최고 권한 (Full control)을 가질 수 있습니다.
API Hacking 예시 (출처 : invozone)한 가지 주목할 점은 베트남의 RaidForum 해킹 포럼들에서는 서로 해킹한 개인 정보나 소스코드를 돈을 주고 파는 행위도 비공식적으로 일어나고 있습니다.
Raidforum 에서 개인정보와 소스코드를 교환 (출처 : Bkav)다음 2편에서는 베트남 증권사 VNDIRECT 등의 해킹 관련 사항을 포스팅하도록 하겠습니다.
Vietnam IT 블로거, TechValley 대표
구독 문의 : patrick@techvalley.biz | go2hanoi (카카오톡) |
LinkedIn : www.linkedin.com/in/patrickdykim/
** 본 내용의 동의 없이 무단 도용 및 2차 가공 시에는 저작권에 위배될 수 있습니다.
