[이데일리 권하영 기자] 국가·공공기관 등에 데이터베이스(DB) 관리 솔루션을 공급하는 국내 업체가 해킹당한 것으로 확인됐다. 해커는 해당 업체의 기술지원 사이트에 악성파일을 심어 공공기관 등 고객사가 내려받게 하는 수법으로 2차 해킹을 시도한 것으로 파악된다. 현재까지 2차 해킹 피해가 발생한 고객사는 없으나, 공공 소프트웨어(SW)를 납품하는 업체들을 일차적인 표적으로 삼아 공공 시스템을 우회 해킹하려는 시도가 확산될 수 있다. 공공 SW 공급망에 대한 체계적인 보안 대책 수립이 시급하다는 지적이 제기된다.

국산 1위 DBMS 사이트 해킹…고객사 2차 피해 확인 중

18일 당국과 관련업계에 따르면 국내 DB관리솔루션(DBMS) 제공업체인 티맥스티베로는 자사 고객지원 사이트에 대한 사이버 침해사고 사실을 확인하고 한국인터넷진흥원(KISA)과 고객사 피해 여부를 전수조사 중이다.

티맥스티베로는 고객지원 사이트 ‘테크넷’에서 자사 DBMS ‘티베로7’ 설치파일을 제공하고 있는데, 해커가 이 설치파일을 몰래 악성파일로 바꿔둔 것이 골자다. 악성파일을 내려받은 고객사 시스템에 악성코드가 유포되고, 이를 토대로 해커가 2차 해킹을 감행할 수 있는 상황이다.

티맥스티베로와 KISA는 고객지원 사이트의 다운로드 내역을 일일이 확인해 고객사 해킹 피해 여부를 확인하는 전수조사를 진행 중이다. 업체에 따르면 해당 설치파일을 다운로드한 고객사는 수백여 곳이며 그중 실제 악성파일을 다운로드한 고객사는 십여 곳이다. 현재까진 악성파일을 내려받은 십여 곳을 포함해 고객사 중 해킹을 당한 곳은 없는 것으로 나타났다.

그러나 정확한 해킹 발생 시점과 피해 기간은 아직 특정하지 못하고 있다. 티맥스티베로는 지난 7월 경기남부경찰청 안보사이버수사대로부터 해킹 정황을 통지받은 이후에야 KISA에 침해사고 사실을 신고했다. 티맥스티베로 관계자는 “해킹 인지 후 즉각 신고한 뒤 사이트를 폐쇄해 보안 점검 중”이라며 “전수조사는 약 70%가량 진행된 상태”라고 밝혔다.

행안부·경찰청 등 공공기관 노린 우회 해킹 시도로 분석

문제는 티맥스티베로와 같이 공공기관에 SW를 공급하는 업체들을 대상으로 이 같은 해킹 수법이 반복될 경우, 국내 공공 SW 공급망에 심각한 위협이 될 수 있다는 점이다.

티베로는 조달청 디지털서비스몰 DB관리 SW 분야에서 지난해 기준 8년 연속 판매 1위를 차지한 대표 국산 DBMS로, 삼성전자·현대자동차 등 대기업뿐만 아니라 행정안전부와 경찰청 등 주요 국가기관과 농협·신한 등 제1금융권에도 납품되고 있다.

보안업계 관계자는 “공공 영역에 중요한 개인정보들이 많다 보니 해킹 시도는 꾸준히 있었지만, 공공기관을 직접 해킹하려는 것이 아니라 공공 SW를 통해 해킹을 시도했다는 점에서 특이한 사례”라고 평했다. 또 다른 관계자는 “공공 시스템 또는 공공기관에 납품되는 SW 자체는 철저하게 보안 인증을 거치고 있어 직접 해킹하는 것이 매우 어려운 일”이라며 “상대적으로 관리가 허술한 고객지원 사이트를 타깃으로 삼은 것으로 보인다”고 분석했다.

SW업계 관계자는 “티베로7은 기본적으로 ‘관계형DBMS(RDBMS, Relational Database Management System)’라 모든 데이터를 집어넣는 매우 중요한 DB”라며 “SW 자체가 해킹당한 것은 아니지만 사이트 해킹을 통해 2차, 3차 피해로 이어질 수 있다”고 말했다.

공공 SW 공급망 관리체계 필요하지만…걸음마 단계

보안 전문가들은 이번 사태와 관련해 현재 우리나라의 공공 SW에 대한 공급망 관리가 체계적이지 못하다는 점을 가장 우려한다. 기관들은 공공 시스템을 구축·운영할 때 가급적 국산 SW를 우선하고자 하는데, 공공 SW 시장에는 주로 중소·중견 업체들이 많아 정보보호 투자 여력이 상대적으로 부족하다는 점에서 개별 기업에만 관리를 맡길 수 없기 때문이다.

SW가 사용자에게 전달되기까지 전 생애주기 공급 경로를 의미하는 SW 공급망은 그러나 이제야 범정부 관리 체계를 구축하려는 단계에 접어든 상태다. 과학기술정보통신부·KISA와 국가정보원 등 공급망 보안을 위한 범정부 합동 태스크포스(TF)는 지난해 처음으로 ‘SW 공급망 보안 가이드라인’을 발표했고, 범정부 차원 SW 공급망 보안 기준과 대책을 강구하는 ‘SW 공급망 보안 로드맵’ 마련은 당초 예정한 올해 1월에서 연내로 시기가 미뤄진 분위기다.

김승주 고려대학교 정보보호대학원 교수는 “현재 정부의 공급망 보안 정책은 SW에 포함된 오픈소스 구성을 관리하는 SBOM(SW자재명세서) 분야에 치중돼 있는데, 그보다 선행돼야 할 것이 모든 공공기관들을 대상으로 공급망 보안 문제는 없는지 전수조사를 하는 것”이라며 “외국의 경우 제3자가 만든 SW가 공급될 때 안전성 확인 제도를 만드는 것은 물론 정보기관이 SW 공급업체의 이력까지 세밀히 조사한다”고 지적했다.