brunch

매거진 Cyber Security

라이킷 7 댓글

You can make anything
by writing

C.S.Lewis

계정을 잊어버리셨나요?

by Patrick 김도연 Apr 30. 2024

베트남 기업의 해킹 피해 사례 2편

테크밸리, 코드프레소, 나루시큐리티 베트남 호찌민에서 보안 세미나 개최

[클라우드·보안]

"지금 베트남 은행과 기업도 사이버 해킹ㆍ랜섬웨어에 시달리고 있다"

테크밸리, 코드프레소, 나루시큐리티 베트남 호찌민에서 보안 세미나 개최

Cloud & SaaS전문 컨설팅 기업 테크밸리 (대표 김도연)와 IT실무 교육 플랫폼기업 코드프레소 (대표 이동훈), 사이버 보안 전문 기업 나루시큐리티 (대표 김혁준)는 2024년 4월 8일 베트남 호찌민에서 “사이버 배틀 필드”라는 주제로 최근 베트남의 해킹 사고, 사이버 공격 및 방어 훈련 수행에 대해 4시간 동안 심도 깊은 강의를 진행하였다.

사이버 배틀필드 베트남 보안 세미나 (왼쪽부터 테크밸리 김도연 대표, 코드프레소 이동훈 대표, 나루시큐리티 김혁준 대표)

베트남 사이버 보안 전문 회사 Bkav 2022년 조사 자료에 따르면 2022년 베트남의 약 1만 9천대의 서버가 랜섬웨어의 피해를 입었고, 해외의 13만 악의적 IP (malicious IP)로 공격을 받았으며 2023년은 사이버 보안 사고가 2022년 비해 약 35% 증가하였다.

최근 화제가 되고 있는 지난 2024년 3월 베트남 3위 증권사 VN Direct 해킹 사건만 보더라도 아무리 큰 IT기업이라도 보안에 대해 완벽할 수 없다는 것과 우리 회사도 언젠가 표적이 될 수 있다는 잠재적 위험 속에 노출되어 있다는 것을 알 수 있다.

최근 베트남에서 발생하는 해킹, 랜섬웨어 사고를 보면 베트남은 보안에 현재 무방비 상황으로 해석이 된다. 이는 단순히 베트남 기업에만 해당되는 것이 아니라 베트남에 진출한 외국 및 해외 기업에게도 해킹의 표적이 되는 만큼 베트남 현지에서 해킹 방지와 보안 의식, 교육이 필요하다.

이번 칼럼에서는 호찌민에서 주체한 3사 보안 세미나 주제 중 베트남 보안 사고 사례를 중심으로

이를 대비하기 위한 방안을 모색해 보도록 하겠다.

2024년 3월 베트남 사이버보안 최대 해킹 사고

– VNDIRECT 증권과 PTI 보험사

앞서 말씀드린 바와 같이 2024년 베트남 IT의 최대 키워드는 VNDIRECT 증권사의 랜섬웨어 & 해킹이다.

VNDIRECT는 베트남에서 SSI와 VPS 다음으로 3번째로 큰 증권 중개사 (Stock brokerage and Security)이며 베트남 PTI 보험사의 2대 주주이기도 하다. (참고로 PIT의 1대 주주는 한국의 DB보험사)

VNDIRECT의 빛과 그림자 (출처 : Google image)

2개의 증권사와 보험사가 같은 주주이다 보니 회원 정보도 어느 정도 서로 공유되고 시스템 도 공동 설계 및 제휴를 하다 보니 해커는 그 유사성과 연관성을 바탕으로 하나의 사이트를 공격하며 2개의 기업을 동시에 침투한 것으로 보인다. 이 두 기업의 홈페이지는 2024년 3월 24일 동시에 공격을 받고 하루 이상 마비 되었다.

VNDIRECT와 PIT 보험사 웹사이트 다운 (출처 : DAN TRI)

해커가 랜섬웨어 침투를 통해 요구한 돈은 공식적이지 않으나 최초 협상 금액은 약 1억 4천만 달러 (한화로 약 2,000억 원)로 추정된다. 베트남에서 증권사의 경우 철저한 시스템 이중 설계, 하드웨어 보안 장비 및 소프트웨어 설루션으로 단단히 무장하였으나 이렇게 허무하게 무너지니 보안이라는 게 단순히 돈을 많이 투자한다고 안전하다고 할 수는 없다.

이후 사건은 FPT, Viettel, Bkav에 의해 하루 만에 복구 및 해결되었으나 베트남 증권 투자자와 보험 이용자에게는 상당한 신뢰를 잃어 회사의 평판에 상당한 타격을 받고 있으며 베트남 증권 거래 위원회 SSC (The State Securities Commission)은 다급하게 베트남 증권사에게 2024년 말까지 보안 계획, 백업 계획, DR (Disaster Recovery) Center 구축 계획안을 보고 하라는 공문을 보냈다.

베트남 증권 관리 위윈회 SSC (출처 : Google image)

베트남 국영 에너지 회사 해킹

해커의 대상은 국영 기업에까지 자신의 영향력을 과시하고 있다.

VNDIRECT 해킹 사고가 불과 며칠 되지도 않았는데 2024년 4월 베트남 국영 에너지 회사 PVOIL이 정체를 알 수 없는 해커에게 해킹된 사건이 발생하였다.

PVOIL은 베트남 국영 에너지 회사로 전국에 34개 직영점 (Petroleum wholesaler)와 760개의 주유소를 보유한 베트남 정유 오일 유통의 17%를 차지하고 있다.

PVOIL의 IT 담당자에 따르면 해커는 PVOIL의 피싱과 암호 취약성, 악성 코드를 통해 PVOIL 내부에 침투하여 웹사이트 및 전국의 PVOIL의 직영점, 대리점, 주유소 연동 전자 세금 계산서 시스템, 결제 시스템, 정산 시스템 등을 모두 마비시켰다고 한다.

PVOIL 랜섬웨어 공격 보도 (출처 : VNEXPRESS)

VNDIRECT와 같이 해커는 랜섬웨어 공격으로 상당한 금액의 돈을 요구한 것으로 추정된다. 이는 2021년 미국 최대 송유관 운영사 콜로니얼 파이프라인 (Colonial Pipeline)의 랜섬웨어 공격을 떠오르게 하는데 해커가 사회 간접 자본 (SOC : Social Overhead Capital)을 공격의 대상으로 삼으로면 그 피해는 정부뿐만 아니라 사회의 인프라를 사용하는 국민들에게 고스란히 가게 된다.

본 시스템 복구는 약 2일 정도 소요되었으나 2일간 영업 손실과 사회적 파장은 매우 클 것으로 예상된다.

베트남 Vien Tim HCM 병원 검진 시스템 마비

VNDIRECT와 비슷한 시기에 호찌민에 위치한 Vien Tim 병원에서 사이버 공격 사건이 일어났다.

본 병원은 하루 약 400명의 환자가 Vien Tim 병원의 HIS (Hospital Information System) 운영시스템 안에 있는 온라인 검진 시스템 (Online medical examination)을 온라인으로 접속하여 온라인 검진을 받고 있는데, 2024년 3월 27일 당시에는 하루 접속자가 약 500만 명 갑자기 접속하여 온라인 검진 시스템, HIS 시스템, 병원 홈페이지를 마비시키는 사고가 있었다.

Vien Tim 병원의 온라인 검진 시스템 접속 화면 (출처 : Vien Tim 병원 웹사이트)

이 해킹 사고로 베트남 병원이 범국민적으로 추진하던 의료 디지털 전환에 빨간불이 들어왔다.

베트남은 고질적으로 적은 의사수를 보강하기 위해 온라인 검진, 원격진료 등을 베트남 보건부와 정통부의 주요 국가 핵심 과제로 추진하였으나 디지털의 양적인 보급뿐만 아니라 질적인 보강, 개인 정보 보호, 보안 등의 보완의 중요성을 인식시키게 되었다.

본 사건은 베트남 정보통신부 (MIC) 산하의 PA03, PA05 부서의 조치로 우선 복구가 된 상태이나 원인과 해커는 계속 찾고 있는 중이다.

최근 베트남 랜섬웨어 진화된 공격

최근 들어 베트남에서는 랜섬웨어 공격이 나날이 급증하고 그 누구도 여기서 예외가 될 수 없다는 것을 인지하고 있다.

최근 만나본 베트남 증권사 담당자들에 의하면 베트남 증권위원회 (SSC)가 요구하는 보안 권고 사항 중 DR Center 구축과 모의 해킹 테스트, 3-2-1 백업 (클라우드 1차, 별도 Device 2차, 다른 물리적 지역 3차), 보안 감사와 직원들의 보안 교육 프로그램 등을 긴급하게 준비 중이라고 한다.

3-2-1 백업 원칙 (출처 : STONEFLY)

지금껏 돌아볼 때, 베트남도 IT의 양적 성장이 중요하다 보니 보안의 중요성과 인식이 한국에 비해 상대적으로 크지 않았다.

이는 모든 IT의 민간, 국가사업에서 흔히 나타나는 개발 최우선, 후방어 (Development then Defend)와 같다고 볼 수 있다. (한국도 2000년 초반 모 카드 회사 및 금융권 해킹 등으로 엄청난 피해를 경험했다.)

RaaS를 통해 누구나 쉽게 해킹

최근 랜섬웨어의 공격을 살펴보면 다양한 이해관계 해커들로 구성되는 경향을 볼 수 있다.

예를 들어 비밀번호만 뚫는 해커, 랜섬웨어를 심어 놓는 해커, 그리고 협박과 위협으로 협상과 결제를 담당하는 등 고도화 분업화 되고 있다. 이들은 서로가 누가 누군지를 알 수 없고, 신뢰할 수 없는 상황에서 텔레그램으로 소통하고 가상화 화폐로 거래가 이루어지고 있다.

해킹은 다양한 이해 관계자들의 분업으로 이루어진다. (출처 : tinnhanhchungkhoan.vn)

또한 최근 들어 랜섬웨어 공격의 새로운 트렌드는 인터넷이나 오픈소스를 통해서 랜섬웨어 공격 소스, 패턴들을 쉽게 얻을 수 있다.

여기에 RaaS (Ransomware as Service)라는 일종의 구독형 서비스도 등장하게 되었는데 일정 금액을 내면 소스코드, 해킹 방식등의 성공사례 위주의 실질적인 사이버 보안 공격에 대한 노하우와 소스코드를 누구나 인터넷과 다크넷에서 쉽게 얻을 수 있다.

마치 인터넷에서 불법적으로 공유, 거래되는 폭발물 제조나 무기 거래등의 서비스가 사회적인 범죄를 유발하듯 이러한 구독형의 Ransomware 기술 공유, 거래는 사이버상의 무기 불법 거래와 유사하다고 볼 수 있다.

다양한 RaaS 랜섬웨어 서비스 (Ransomware-as-a-Service) 출처 : TechValley

사이버 보안 공격에 대한 방어는 결국 자신의 몫?

사이버 보안에 대한 관심이 최근 급격히 늘어나고 있지만 과거와 같이 단순히 하드웨어 장비나 소프트웨어를 도입하여 해결되는 문제는 아닌 것이 확실해졌다.

최근 다양한 사이버 사이버 보안에 대한 솔루션, 진단 컨설팅, 모의 해킹등의 서비스가 등장하고 있지만 어떤 모두 비슷한 서비스에 만일 해킹을 당하면 피해는 고스란히 피해 기업으로 가게 된다는 것을 알고 있다.

다양한 사이버 보안 솔루션 (출처 : TechValley)

결국 해킹과 랜섬웨어 공격의 피해에 대해서는 IT 담당자나 피해 회사의 몫이라도 자책할 수도 있다.

조금 비슷한 얘기일 수도 있는데 과거 20년간 대한민국은 끊임없는 북한의 해커로부터 가상화폐 거래소, 인터넷 뱅킹, 피싱, SOC 인프라, 국가 및 국정원 정보까지 위협을 받아 오고 있다.

하여 필자는 국정원과 청와대 IT 보안, 해킹 방지를 담당하셨던 분을 운 좋게 만나게 되어 이번 호찌민 사이버 보안 세미나를 기획하게 되었고 이런 국가적인 해킹 진단, 분석, 방지를 솔루션화 하여 해외의 우리 기업에게 제공하는 사업을 추진할 수 있었다.

보안 진단 서비스의 경우는 과거엔 각 시스템에 보안 에이전트 (Agent)를 설치하고 라이브 시스템 혹은 테스트베트 (Test Bed)에 모의 해킹 Penetration Test를 하는 게 일반적이었으나 최근에는 외부에 노출된 공인 IP만으로도 에이전트 없이 보안 진단이 가능하게 되었다.

하지만 새로운 백신이 나온다고 해도 변이 바이러스가 계속 진화하는 것과 같이 우리는 하나의 설루션에 안심할 수는 없다. 하여 지속적인 보안 인식, 교육 그리고 사고에 빠르고 효과적으로 대처하는 경험과 능력이 필요로 하게 되었다.

** 자세한 사항은 기술적인 부분이라 여기서는 생략하고 필자의 회사 (TechValley)에 문의를 주시면 진단과 방어, 교육의 명제하여 별도 안내를 드리도록 하겠습니다.

TechValley는 보안 전문 기관, 파트너와 협력으로 베트남 및 해외에 있는 기관, 기업들의 보안 진단 서비스를 제공하고 있습니다. Agent 설치 필요 없이 공인 IP만으로 아래와 같은 사이버 보안 자가 진단, 운영, 직원의 보안 수준 평가, 정기적인 보안 교육을 받으실 수 있습니다.