이슈메이커스랩 "피싱 사이트 포착"…공사 "피해 없어"
[서울=뉴스핌] 이영태 기자 = 지난 3월 대한송유관공사(Daehan Oil Pipeline Corporation, DOPCO)에 대한 해킹 시도가 있었던 것으로 뒤늦게 알려졌다. 자유아시아방송(RFA)은 북한 해킹 조직으로 알려진 '탈륨'의 소행으로 추정된다고 9일(현지시각) 전했다.
대한송유관공사는 지난 1990년 설립 이후 한국의 전국 주요도시와 공항, 비축 기지를 연결하는 송유관망을 구축해 한국 내에서 소비되는 경질 석유류 수요의 과반 이상을 수송하는 역할을 수행하고 있다. 지난 2001년 민영화됐다. '탈륨'으로도 불리는 북한 해킹조직 '김수키'는 지난 2014년 한국의 전력, 발전분야 공기업인 한국수력원자력을 공격한 바 있다.
이슈메이커스랩 홈페이지 2021.06.10 [이미지=홈페이지 캡처] |
북한의 해킹을 전문적으로 추적, 연구하는 한국 내 민간단체인 이슈메이커스랩은 이날 RFA에 북한의 해킹 조직이 대한송유관공사의 전자우편 접속 홈페이지로 위장해 놓은 피싱 사이트를 지난 3월 포착했다고 밝혔다. 피싱은 전자우편 등을 활용해 개인정보 탈취를 시도하는 해킹 수법을 의미한다. 이슈메이커스랩은 국내 백신업체의 전·현직 악성코드 전문 분석가들로 구성된 악성코드 추적 전문그룹이다.
이슈메이커스랩은 "당시 북한이 구축해 놓은 피싱 사이트는 현재 사라진 상황"이라며 "다만 북한이 대한송유관공사를 공격 대상으로 삼았다는 것 자체로 봤을 때 앞으로도 지속적인 해킹 시도가 이뤄질 가능성이 있다"고 말했다.
지난 2014년 김수키는 한수원 협력업체 직원의 개인정보를 탈취해 이를 한수원 공격에 활용한 바 있다. 이번에도 대한송유관공사 직원들의 개인정보를 빼내 추가적인 공격 시도에 활용하려 했던 것으로 추정된다.
대한송유관공사는 RFA에 지난 3월 해킹 시도에 대해 인지한 뒤 관련 조치를 취했으며 피해는 발생하지 않았다고 답변했다.
대한송유관공사 관계자는 "지난 3월 당사 웹메일과 동일한 웹사이트를 생성 후 내부 직원에게 계정과 비밀번호 입력을 요청하는 피싱 메일을 확인했다"며 "당사 보안팀이 이를 즉시 인지해 관련 조치를 취했다"고 말했다.
대한송유관공사에 따르면 당시 피싱 전자우편을 수신한 것으로 확인된 직원은 10명이다. 이에 따라 대한송유관공사 보안팀은 전사를 대상으로 시스템 점검을 한 뒤 전자우편 서버 관리자 계정의 보안을 강화하고 취약점 해킹 공격에 대한 보완 조치를 완료한 상황이다.
공사 관계자는 외부로부터의 해킹 시도가 빈번한지를 묻는 질의에 "이 같은 공격 시도의 경우 흔하지는 않지만 사전에 관련 시도를 차단해 피해를 방지했다"고 답했다.
대한송유관공사는 사내 업무망과 송유 운영을 위한 시스템망을 분리해 운영하고 있다. 이에 따라 사내 업무망에 문제가 발생해도 송유 관련 운영에는 지장이 없다는 입장이다. 특히 송유 운영을 담당하는 시스템망의 경우 외부로부터의 접속이 원천적으로 차단돼 있어 외부로부터의 직접적인 침입이 불가능하다고 설명했다.
앞서 미국 최대 송유관 운영사인 '콜로니얼 파이프라인'은 지난달 랜섬웨어 공격을 당해 송유 시설 가동을 중단한 바 있다. 랜섬웨어 공격은 해커가 컴퓨터 시스템에 침투해 중요 파일을 사용하지 못하도록 접근을 차단한 뒤 이를 풀어주는 대가로 보상을 얻어내는 수법을 말한다.
콜로니얼 파이프라인에 대한 해킹은 '다크 사이드'로 알려진 해커 조직의 소행으로 드러났는데, 콜로니얼 파이프라인 측은 송유 시설 재가동을 위해 440만달러 규모의 비트코인을 해커 조직에 지불하기도 했다.
medialyt@newspim.com