[디지털데일리 최민지기자] 최근 한국인터넷진흥원(KISA)은 국내의 한 전사적자원관리(ERP) 솔루션 공급업체를 대상으로 악성코드 유포 관련 현장조사에 돌입한 후 원인 분석에 착수했다.

지난달 말, 이 회사의 ERP 솔루션을 사용하는 고객사를 노린 악성코드 감염 공격이 발견됐다. 이에 지난달 28일부터 KISA는 이 회사의 현장 조사를 실시하고 악성코드 명령제어(C&C) 서버를 차단한 후 백신사에 샘플을 공유해 백신 프로그램에서 해당 악성코드를 탐지할 수 있도록 했다.

ERP는 생산, 물류, 재무, 회계, 영업, 구매, 재고 등 경영활동 프로세스를 통합적으로 연계해 관리하는 기업의 핵심 경영정보 시스템이다. 기업 내에서 다양한 용도로 활용하고 있어 사이버공격자들이 침입하게 되면 직원들의 월급 및 세금계산서부터 중요한 내부 기밀정보까지도 접근 가능할 수 있다.

따라서 이러한 시스템을 해커가 장악하게 되면, 급여계좌를 조작해 직원들에게 돌아가야 할 월급을 해커에게 보내거나, 직원들의 상세한 개인정보부터 외부에 알려지면 곤란한 기밀정보까지 훔쳐내 기업에게 협박을 가하며 몸값을 요구할 수도 있다. 또한 중요 시스템을 파괴하는 최악의 시나리오까지 예상된다.

이같은 사안의 중대성때문에 KISA는 이번 사건의 원인에 대해 다양한 가능성을 열어놓고 조사를 진행하고 있다.

복수의 업체에게 악성코드가 유포됐는지 사실 여부부터 시작해 고객사 시스템의 문제인지, 공격을 당한 ERP회사의 과실인지, 아니면 스피어피싱과 같은 공격 형태인지 등에 대해 조사하면서 감염경로 등을 파악하고 있는 상태다.

이동근 KISA 침해사고분석단장은 “악성코드가 복수의 고객사에 유포됐는지 확인이 더 필요하다”며 “다만 이번건과 관련해 다른 ERP 업체를 통한 악성코드 감염사례는 없다”고 말했다.

해커가 ERP 솔루션을 노린 사례는 이번이 처음은 아니다. 내부망에 침입하고 중요 정보를 탈취하기 위해서는 ERP와 같은 전사솔루션에 접근하는 것이 해커 입장에서 용이하기 때문이다.

이 단장은 “ERP처럼 전사를 중앙에서 관리하는 솔루션을 통한 공격은 지난 2013년 3·20 사이버테러 때도 있었다”며 “ERP는 전사적으로 사용하는 솔루션이다 보니 영향을 미치는 범위가 넓다”고 설명했다.

지난 2016년 SK계열 17곳과 한진계열 10곳 등 대기업을 대상으로 한 전산망 해킹사건도 공격자가 기업의 PC관리시스템을 뚫은 사건이다. 이로 인해 방산자료 4만여건이 유출된 바 있다. 전사적으로 PC와 같은 자원을 관리하는 시스템이나 정상적인 소프트웨어를 악용한 공격이 우려되는 이유다.

이번에 문제된 악성코드는 차단된 상태이나, 해당 고객사들은 최신 보안 업데이트를 반드시 진행해야 한다. 또한, 해당 솔루션과 접점이 있는 부분은 보안점검이 필요하다는 설명이다.

이와 관련 ERP회사 관계자는 “ERP 보안과 관련하여 국가보안기관의 권고에 따라 해킹 및 악성코드 감염으로부터 철저히 대응하고 있다”며 “네트워크 망 분리(폐쇄망)를 통해 외부로의 소스유출이나 해킹시도를 차단하고 있으며, 클린 서버를 운영하여 보안 검사 후에 고객사로 안전하게 패치하고 있다”고 공지했다.

이어 이 관계자는 “조치할 수 있는 부분은 다 했으며, KISA의 원인분석을 기다리고 있는 중”이라며 “고객사에게 별도로 보안패치를 하라는 안내를 했다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr