[Weekly Threat] 신한카드 19만 유출·북한 해킹 '아르테미스' 포착
보안사고는 '일상'입니다. 이번 주 국내외에서 발생한 주요 사이버 위협과 사건·사고를 소개합니다. 최신 소식이 궁금하다면, '위클리 쓰렛(Weekly Threat)'을 확인해 보세요. <편집자주>
[디지털데일리 김보민기자] 쿠팡이 대규모 개인정보 유출과 관련해 자체 조사 결과를 발표하면서 정부와 보안업계가 발칵 뒤집혔다. 정부 민관합동조사단과 별개로 진행한 조사인 데다, 유명 보안기업에 포렌식을 의뢰했다는 사실 만으로 신빙성을 입증하려 한다는 비판이 이어지고 있다.
이러한 분위기 속 신한카드도 일부 가맹점 대표자 개인정보가 유출되는 사고를 겪으며 도마에 올랐다. 유출 규모는 약 19만명으로, 내부 직원이 모집 영업에 이를 활용하기 위해 악의적으로 범행을 가한 것으로 추정된다. 기업 내부 보안통제 사각지대가 다시 한번 드러났다는 평가도 제기됐다.
국내 기업들이 유출 사고로 곤욕을 치르는 가운데, 국가 배후 해킹 공격이 고도화되고 있다는 분석도 나왔다. 특히 북한과 연계된 APT37 해킹그룹은 한글(HWP) 문서 내부에 악성 파일을 삽입하는 작전을 추진 중인 것으로 나타났다. 북한이 주요 공격 도구로 한글 문서를 악용하는 모습이다.
 |
이러한 분위기 속 신한카드도 일부 가맹점 대표자 개인정보가 유출되는 사고를 겪으며 도마에 올랐다. 유출 규모는 약 19만명으로, 내부 직원이 모집 영업에 이를 활용하기 위해 악의적으로 범행을 가한 것으로 추정된다. 기업 내부 보안통제 사각지대가 다시 한번 드러났다는 평가도 제기됐다.
국내 기업들이 유출 사고로 곤욕을 치르는 가운데, 국가 배후 해킹 공격이 고도화되고 있다는 분석도 나왔다. 특히 북한과 연계된 APT37 해킹그룹은 한글(HWP) 문서 내부에 악성 파일을 삽입하는 작전을 추진 중인 것으로 나타났다. 북한이 주요 공격 도구로 한글 문서를 악용하는 모습이다.
◆ 성탄절에 깜짝 발표…"사설탐정 조사인가" 비판도
25일 쿠팡은 개인정보 유출 사태와 관련해 고객 정보를 유출한 전직 직원을 특정했고, 유출자가 범행을 자백하고 고객 정보에 접근한 방식도 구체적으로 진술했다고 밝혔다. 탈취한 보안 키를 이용해 약 3300만 계정의 기본 정보에 접근했지만, 실제 저장한 고객 정보는 3000개에 불과하다고 설명했다.
이에 대해 과학기술정보통신부는 "일방적인 주장"이라고 반박했다. 이날 과기정통부는 민관합동조사단에서 정보 유출의 종류와 규모, 경위 등을 면밀히 조사 중인 상황에서 쿠팡이 조사 중인 내용을 일방적으로 대외에 공개했다며 반박했다. 또 쿠팡이 주장한 피해 규모와 경과는 민관합동조사단을 통해 아직 확인되지 않았다고 강조했다.
보안업계도 이번 자체 조사에 대한 신빙성이 부족하다고 입을 모았다. 쿠팡은 초기 단계부터 맨디언트, 팔로알토네트웍스 등 글로벌 보안업체에 의뢰해 포렌식을 진행했다고 밝혔지만 보안 전문가들은 "사설탐정 조사나 마찬가지"라는 비판도 쏟아냈습니다. 쿠팡은 정부 지시에 따라 조사를 진행한 것이라며 독자적인 행보가 아니라고 선을 그었습니다.
 |
뭇매를 맞은 곳은 쿠팡뿐만이 아니다. 신한카드는 23일 가맹점 대표자 개인정보 19만여건이 유출됐다고 발표했다. 유출 정보는 휴대전화번호가 대부분이며 이름, 생년월일, 성별 등이 포함됐지만 주민등록번호나 카드·계좌번호 등 민감정보는 유출되지 않은 것으로 알려졌다.
이번 사고는 2022년 3월부터 올해 5월까지 최소 5개 영업소 소속 직원 12명이 개인정보를 조회해 사진 촬영이나 전달 등의 방식으로 빼낸 것으로 알려졌다. 신한카드는 "외부 침투는 없었고 추가 확산 우려도 없다"고 설명했지만, 보안업계에서는 외부 공격이 아니라는 점 자체가 내부 통제 미흡을 방증한다는 지적이 나온다. 전문가들은 최소 권한 원칙에 기반한 세밀한 접근 통제와 내부자 위협에 대한 인식 제고가 부족했다고 평가한다.
신한카드는 내부 모니터링 시스템을 운영 중이었으나, 권한을 가진 직원들이 수년간 소량으로 분산 조회해 탐지가 어려웠다고 해명했다. 현재 접근권한 축소, 마스킹 강화, 영업지점 대상 추적관리 시스템 운영 등 대책도 추진 중이라고 강조했다. 업계에서는 쿠팡 사례와 마찬가지로 내부자 통제와 이상행위 탐지, 제로트러스트 도입이 선언에 그치지 않고 실효성 있게 작동해야 한다는 목소리가 커지고 있다.
 |
북한과 연계된 APT37 해킹그룹이 HWP 문서에 악성 파일을 삽입하는 '아르테미스 작전'을 전개한 정황이 포착됐다. 지니언스시큐리티센터는 22일 APT37이 스피어피싱을 통해 악성 한글 문서를 유포하며 표적 공격을 수행한 사실을 확인했다고 밝혔다. 앞서 미국 북한 전문 매체 38노스도 한글 문서가 북한 사이버 공격의 주요 수단으로 활용되고 있다고 지적한 바 있다.
공격은 타인을 사칭한 이메일로 시작돼, 문서에 내장된 악성 개체연결및포함(OLE) 실행을 통해 초기 침투가 이뤄졌다. 이후 스테가노그래피 등 복합 기법을 활용해 악성코드 실행 흐름을 은폐하고 보안 탐지를 회피했다. JPEG 이미지 내부에 'RoKRAT' 악성 파일을 숨겨 전달하는 방식이 사용됐으며, 마이크로소프트 시스템 유틸리티를 악용해 정상 DLL로 오인되도록 하는 수법도 동원됐다.
APT37은 지난 8~11월 공격을 지속적으로 고도화하며 대학 교수나 방송사 작가를 사칭한 표적형 기만전술을 구사했다. 국회 국제회의 초청 요청서나 북한 인권 관련 인터뷰 요청 등 수신자의 관심사를 노린 접근으로 신뢰를 쌓은 뒤 악성 문서를 전달한 사례가 다수 확인됐다. 지니언스는 이러한 공격이 장기간 은밀하게 진행되는 지능형지속위협(APT) 특성상 탐지되지 않은 침해 시도가 더 존재할 가능성이 크다며 주의를 당부했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.