TechValley x Code.Presso 베트남 사이버보안 동향과 대응
2024년 04월 15일베트남 VNDIRECT 증권사 해킹과 대응안
2024년 05월 01일베트남 사이버 시큐리티 보안 사고 종합
2023년과 2024년은 베트남 신문과 인터넷에서는 해킹과 랜섬웨어 사고가 한창 헤드라인으로 장식하였습니다.
최근 베트남 3위 증권사 VN Direct 해킹 사건만 보더라도 아무리 큰 IT기업이라도 보안에 대해 완벽할 수 없다는 것과 우리 회사도 언젠가 표적이 될 수 있다는 잠재적 위험속에 노출되어 있습니다.
베트남 사이버 보안 전문 회사Bkav 2022년 조사 자료에 따르면 2022년 베트남의 약 1만 9천대의 서버가 랜섬웨어의 피해를 입었고, 해외의 13만 악의적 IP (malicious IP)로 공격을 받았습니다. 2023년은 사이버 보안 사고가 2022년 비해 약 35% 증가하였습니다.
베트남 정보통신부 (MIC : Ministry of Communication) 산하의 AIS (Authority of Information Security)에 의하며 2021년 사이버 보안사고의 80% 원인은 사용자의 비밀번호 취약성 (예를 들어 1234…) 사고로부터 발생하였고 4천 2백만개의 비밀번호 유출이 있었습니다.
베트남에서 가장 단순하게 사용하는 비밀번호는 123456 이며 (한국 사람은 123456789) 이는 각종 시스템, 서버, Wifi 비밀번호로 베트남에서 널리 사용되고 있으며 이 취약한 비밀번호(123456)를 사용한 베트남 유저는 약 34만명이라고 합니다.
해커는 어떤 시스템이건 123456를 입력해도 뚫리는 시스템이 있다는 의미입니다.
베트남의 주요 사이버 보안 사고
베트남 항공 해킹 사건 (2016년 7월)
2016년 베트남 항공 해킹 사건을 기억하는 베트남 분들은 여전히 많습니다.
저도 당시에 베트남에서 근무를 하면서 하노이- 호치민을 자주 출장 다녔는데 저는 그 사건이 일어난 그 전주에 하노이 노이바이 공항 (Noi Bai Airport)과 호치민 턴션녓 (Tan Son Nhat) 공항을 이용하였습니다.
2016년 7월 29일 베트남 항공사 홈페이지는 아래와 같이 다소 위협적인 그림과 화면으로 변경되었고, 베트남 항공의 모바일 앱은 아예 작동하지 않았습니다.
또한 베트남 항공사 회원 정보 (사용자 정보, 연락처, 마일리지, 항공 예약 등)도 모두 해킹되어 삭제되었습니다.
해커는 중국에서 가장 유명한 해커 집단인 1937cN 그룹이며 해킹의 목적은 정확히 알려지지 않지만 당시 베트남과 중국간의 정치적 대립, 반중감정, 남중국해 영유권 분쟁등으로 인한 정치적인 선동도 한목 작용하였습니다. (해킹된 웹사이트 내용을 보면 베트남의 비하 및 중국 군사, 정치의 우수함을 드러냄을 볼 수 있습니다.)
이 해킹 사건은 여기에 멈추지 않고 같은 날 호치민 턴션넷 공항의 모든 디지털 전광판 (Digital Signage)를 마비시켰습니다.
2016년 7월 29일은 호치민-하노이의 모든 출항 정보가 지워졌고 항공편도 정상 운행할 수 없는 공항 마비, 베튼남 사상 최대의 해킹으로 기록되고 있습니다.
또한 같은 날 하노이 노이바이 공항의 방송 시스템에는 뜻하지 않은 방송이 영어로 나오게 되었는데 그 내용은 1937cN 해커가 남중국해는 중국 영해라는 내용의 방송이 나오게 되어 노이바이 공항은 아수라장이 되었고 공항에 있는 모든 사람들을 섬뜩하게 하였습니다.
중국 1937cN이 사용한 해킹 방식은 이메일 피싱 (Phishing email) 방식을 이용해 베트남 항공사의 내부 시스템에 침투하였고 악성 코드 (Malicious code)를 배포하여 시스템의 스캔, 웹사이트 스캔을 하였으며 이때 비밀번호 취약성 (weak password)을 통한 침투도 사용되었습니다.
호치민 은행 해킹 사고 (2023년 7월)
작년 2023년 7월 베트남 해커 (Duong Minh Tam)은 피싱메일, 악성코드, DDoS 공격을 통해 호치민의 한 은행에 침투하여 회원 정보를 해킹하였고, 은행의 트랜잭션 조작을 통해 약 미화 42만불 (VND 10 billion)의 금액을 탈취하였습니다.
또한 당시 해킹에 사용한 기술은 API의 취약성을 통한 시스템 침투 방식입니다.
API는 각 은행과 타사의 기관 (금융기관, 핀테크, 은행 앱 등)과 연결하기 위한 하나의 규약 프로토콜인데 서로 액세스를 위해 API 취약성 (loopholes)가 있을 수 있으며 API 연결 규약을 파트너사에게 오픈하면 SQL Injection이나 Token, script로 API가 침투될 가능성이 큽니다.
마치 트로이 목마 (Trojan Horse)와 같이 한번 침투하게 되면 어떤 시스템이든 최고 권한 (Full control)을 가질 수 있습니다.
한가지 주목할 점은 베트남의 RaidForum 해킹 포럼들에서는 서로 해킹한 개인 정보나 소스코드를 돈을 주고 파는 행위도 비공식적으로 일어나고 있습니다.
2024년 사이버보안 최대 해킹 사고
– VNDIREC 와 PTI (2024년 3월)
앞서 말씀드린 바와 같이 2024년 베트남 IT의 최대 키워드는 VNDIRECT 증권사의 랜섬웨어 & 해킹입니다. 해커가 랜섬웨어로 요구한 돈은 약 천만달러 정도입니다. (한화 약 130억원)
VNDIRECT는 베트남에서 SSI와 VPS 다음의 3번째로 큰 증권 중개사 (Stock brokerage and Security)이며 PTI 보험사의 2대 주주입니다. (참고로 PIT의 1대 주주는 한국의 DB보험사)
2개의 회사 증권사와 보험사가 같은 주주이다 보니 회원 정보도 어느 정도 서로 공유되고 시스템 설계에서도 유사성과 연관성이 있어 두 개의 회사 사이트가 2024년 3월 24일 동시에 마비되었습니다.
이후 사건은 FPT, Viettel, Bkav에 의해 하루만에 복구 및 해결되었으나 증권 투자자와 보험 이용자에게는 상당한 신뢰를 잃어 회사의 평판에 상당한 타격을 받고 있습니다.
베트남 국영 에너지 회사 해킹 (2024년 4월)
VNDIRECT 해킹 사고가 불과 몇 일 되지도 않았는데 베트남 국영 에너지 회사 PVOIL이 정체를 알 수 없는 해커에게 해킹된 사건이 발생하였습니다.
해커는 랜섬웨어 공격으로 상당한 금액의 돈을 요구하였습니다. 이는 2021년 미국 최대 송유관 운영사 콜로니얼 파이프라인 (Colonial Pipeline)의 랜섬웨어 공격을 떠오르게 합니다.
PVOIL은 베트남 국영 에너지 회사로 전국에 34개 직영점 (Petroleum wholesaler)와 760개의 주유소를 보유한 베트남 정유 오일 유통의 17%를 차지하고 있습니다.
PVOIL의 IT 담당자에 따르면 해커는 PVOIL의 피싱과 암호 취약성, 악성 코드를 통해 PVOIL 내부에 침투하여 웹사이트 및 전국의 PVOIL의 직영점, 대리점, 주유소 연동 전자 세금 계산서 시스템, 결제 시스템, 정산 시스템 등을 모두 마비시켰습니다.
본 시스템 복구는 약 2일 정도 소요되었으나 2일간 영업 손실과 사회적 파장은 매우 클것으로 예상됩니다.
베트남 Vien Tim HCM 병원 해킹 사고 (2024년 3월)
VNDIRECT와 비슷한 시기에 호치민에 위치한 Vien Tim 병원에서 사이버 공격 사건이 일어 났습니다.
본 병원은 하루 약 400명의 환자가 Vien Tim 병원의 HIS (Hospital Information System) 운영시스템 안에 있는 온라인 검진 시스템 (Online medical examination)을 온라인으로 접속하여 온라인 검진을 받고 있습니다.
2024년 3월 27일 당시에는 하루 접속자가 약 500만명 접속하여 온라인 검진 시스템, HIS 시스템, 병원 홈페이지를 마비시켰습니다.
이 해킹 사고는 베트남 정보통신부 (MIC) 산하의 PA03, PA05 부서의 조치로 우선 복구가 된 상태이나 원인과 해커는 계속 찾고 있는 중입니다.
최근 랜섬웨어 공격 급증
최근들어 베트남에서는 랜섬웨어 공격이 급증하고 있습니다.
베트남의 경우는 한국에 비해 보안에 대한 중요성과 인식이 한국에 비해 상대적으로 크지 않았습니다. 이는 모든 IT의 민간, 국가 사업에서 흔히 나타나는 “선개발 후방어” (Development then Defend)와 같습니다. (한국도 2000년 초반 LG 카드 및 금융권 해킹 등으로 엄청난 피해를 경험했었습니다.)
최근 랜섬웨어의 공격은 보다 다양한 이해 관계 해커들로 구성됩니다. 예를 들어 비밀번호만 뚫는 해커, 랜섬웨어를 심어 놓는 해커, 그리고 협박와 위협으로 협상과 결제를 담당하는 등 고도화 분업화 되고 있습니다. 이들은 서로가 누가 누군지를 알수도 알려하지 않고 사이버 보안 해킹 협업을 합니다.
최근 들어 랜섬웨어 공격의 새로운 트랜드는 인터넷이나 오픈소스를 통해서 랜섬웨어 공격 소스, 패턴들을 쉽게 얻을 수 있습니다.
여기에 RaaS (Ransomware as Service)라는 일종의 구독형 서비스도 등장하게 되었는데 일정 금액을 내면 소스코드, 해킹 방식등의 성공사례 위주의 실질적인 사이버 보안 공격에 대한 노하우와 소스코드를 얻을 수 있습니다.
사아버 보안 공격에 대한 방어는 우리 자신의 몫
사이버 보안에 대한 관심이 최근 급격히 늘어나고 있지만 과거와 같이 단순히 하드웨어 장비나 소프트웨어를 도입하여 해결되는 문제는 아닙니다.
최근 다양한 사이버 사이버 보안에 대한 솔루션, 진단 컨설팅, 모의 해킹등의 서비스가 등장하고 있습니다.
보안 진단 서비스의 경우는 과거엔 각 시스템에 보안 에이전트 (Agent)를 설치하고 라이브 시스템에Penetration Test (Pen Test)를 하는게 일반적이였으나 최근에는 외부에 노출된 공인 IP만으로도 에니전트없이 보안 진단이 가능하기도 합니다.
TechValley는 보안 전문 기관, 파트너와 협력으로 베트남 기관, 기업들의 보안 진단 서비스를 제공하고 있습니다. Agent 설치 필요없이 공인 IP만으로 아래와 같은 사이버 보안 서비스 진단, 운영, 교육을 받으실 수 있습니다.
궁금하신 점이 있으시면 언제든지 연락주시기 바랍니다.
** 본 내용은 2024년 4월 8일 Cyber Security 보안 세미나 (호치민)의 내용을 바탕으로 정리하였으며 저작권은 TechValley에 있습니다. 발표 자료가 필요하시면 따로 연락을 주시기 바랍니다. **