(서울=뉴스1) 김민재 기자 = 글로벌 보안업체 '포티넷'의 방화벽과 가상사설망(VPN) 수만 대가 해킹 공격을 당했다. 이에 보안 당국은 포티넷 계정의 아이디와 비밀번호를 변경하라고 권고했다.
22일 해외 보안업체 '레코디드 퓨처'(Recorded Future) 블로그에 따르면 포티넷은 최근 러시아어를 사용하는 위협 세력으로부터 사이버 공격을 받았다.
레코디드 퓨처는 194개국 2만 1600개 이상의 도메인에서 약 7만 3932개의 포티넷 방화벽 및 VPN 자격 증명(아이디·비밀번호)이 유출됐다고 밝혔다.
일본과 대만, 베트남, 이라크, 튀르키예의 기업들이 피해를 보았다. 특히 튀르키예의 북대서양조약기구(NATO) 국방 계약업체에서는 기밀문서가 유출된 것으로 알려졌다.
해커들은 포티넷 시스템을 대상으로 11억 6000만 번가량의 인증 시도를 수행했다. 마이크로소프트(MS)의 SQL 서버 시스템에서는 자격 증명 시도를 약 21억 번 했다.
공격자들은 탈취한 계정으로 사내망 전체 권한을 통제하는 AD 환경에 침투했다. 이들은 해킹 과정에서 비밀번호 데이터를 외부로 무단 반출해 해독했다.
따라서 피해 기업 시스템에는 해킹을 의심할 만한 접속 실패 기록조차 남지 않았다. 기업들이 초기 자격 증명 도난 사실을 인지하기 어려웠던 이유다.
레코디드 퓨처는 해커들이 내부망을 탐색하고 데이터를 빼낼 준비를 한 것은 물론, 자신들의 활동 증거를 없애기 위해 로그 기록마저 삭제하려 한 정황을 포착했다.
이러한 광범위한 해킹 피해에 국내 보안 당국도 주의를 당부했다.
한국인터넷진흥원(KISA)은 해커들이 인터넷에 노출된 포티넷의 방화벽과 VPN 장비를 자동화 도구로 탐색한 뒤, 과거 데이터 유출 사고 등을 통해 확보한 비밀번호를 활용해 침입했다고 분석했다.
KISA는 해외 보안업체 보고서를 인용해 "장비 하나가 침해되면 이를 감청 거점으로 활용해 네트워크 트래픽을 모니터링하고 추가 자격 증명을 수집한다"고 설명했다.
그러면서 "새롭게 확보한 계정 정보를 다시 다른 장비 공격에 활용하는 자기증식형 구조"라고 덧붙였다.
당국은 포티넷 장비 해킹 위험 검색 사이트를 통해 침해 사고 여부를 확인하고, 이상 증상을 발견하면 즉시 KISA에 신고하라고 안내했다.
또한 KISA 측은 "포티넷 제품을 사용하고 있는 경우 관리자 등 모든 계정의 아이디와 비밀번호를 변경하라"고 권했다.
한편 과학기술정보통신부가 국회 과학기술정보방송통신위원회 박충권 국민의힘 의원실에 제출한 자료에 따르면 지난해 접수된 사이버 침해사고 신고는 총 2383건이다.
minjae@news1.kr
