[MG수첩] 현대차, 해커 공격에 고객 정보 등 잇따라 유출…어디서 뚫렸나?

이번 시간에는 해킹에 노출된 현대차그룹에 대해 살펴보겠습니다. 최근 연이어 발생한 현대차그룹의 내부 정보 유출 사례를 짚어보면, 올해 1월 현대차 러시아법인에서 130만명의 고객 개인 정보가 딥웹에서 판매됐습니다. 현대기아차 아랍에미리트 법인에서 유출된 데이터도 다크웹에서 거래가 이뤄졌습니다. 이어 미국에서는 현대기아차뿐 아니라, 현대글로비스와 현대오토에버 등 내부 자료가 다크웹에 올라온 것이 확인됐습니다. 미국에서는 고객 정보는 물론, 임직원 전화번호와 이메일 백업 자료, 은행 거래 기록, 해외 법인 실적보고서, 그리고 IT·보안 문서 및 조직도 등이 흘러나왔습니다. 특히, 미국에서는 내부 자료 유출 외에도 기아 유보와 기아 커넥트 등 모바일 서비스가 일시적으로 마비됐습니다. 이와 관련해 앞서 1~2월 현대차그룹은 "현재 시점에서 랜섬웨어 공격을 받았다고 할 근거가 없다"라고 답했습니다. 하지만, 최근 현대차그룹 한 관계자는 "일부 해외 법인이 해킹 공격을 당한 것은 맞지만, 내부적으로 그리 심각한 문제는 아니라고 판단 중"이라며 일부 해킹 사실을 인정하였습니다. 이번 주제는 IT 보안 전문가와 함께 인터뷰 형식으로 진행하였습니다. # 랜섬웨어 감염에 대해 간단히 설명해 주세요. 랜섬웨어는 악성 프로그램 같은 건데요. 이 프로그램은 컴퓨터에 있는 중요 문서라든지 이미지 등 이런 파일들을 암호화를 합니다. 암호화를 해서 일정 시간 안에 이것을 풀지 못하면 영영 아무도 못 풀게 합니다. 하루나 이틀 정도 장시간에 걸쳐서 티 가 안나게 몰래 작업을 하는데, 암호화가 다 진행되면 보통 바탕화면에 파일 몇 개를 노출합니다. 그 파일을 열어보면 이제 요구 사항들이 있는 거죠.  최근에는 비트코인, 가상화폐를 요구하는 경우가 대부분이고요. 협상에 응하지 않으면 이 암호화된 파일들을 풀 수 없게끔 조치를 취하는 게 보통 일반적인 방식입니다. 기업마다 다르긴 한데 일부 기업들은 꼭 필요한 자료에 대해 대가를 지불하고 파일을 복구합니다. 그런데 가끔은 복구를 못하는 경우도 있어요. 한글 파일이나 프로그램이 특별한 파일의 경우 복구를 해도 되돌아오지 않는 경우도 있고요. 임의로 복구를 시도한다던가, 해커 조직이랑 다른 방법을 써서 시도를 했다가 못 푸는 경우가 있는데, 그러면 날아가요. 그렇기 때문에 이런 문제가 생긴다면 정말 조심해서 접근해야 합니다 # 중요 파일 같은 경우에는 돈을 주던, 비트코인을 지불을 하더라도 푸는 경우가 많다는 말씀이시죠. 네, 그래야겠죠. 아무래도 꼭 필요하다면요. 그래서 대기업들은 이제 중요한 문서나 이런 것들을 개인 PC에 보관하는 걸 일절 금지하고 있어요. 정책적으로요. 그런데 이번 현대차 사태를 보면, 본사가 아니라 해외 법인이잖아요. 그러니까 해외 법인에서는 이런 본사에서 정해놓은 보안 정책이나 교육이 잘 이뤄지지 않았던 것 같아요. # 현대차그룹 해외 법인은 어떻게 문제가 됐을까요. 이 같은 경우에는 아마 처음부터 현대차를 타깃하고 공격을 한 걸로 추정이 됩니다. 해당 조직에 있는 담당 직원의 이메일을 통해 랜섬웨어 파일을 아마 보내지 않았을까 싶어요. 담당자 입장에서는 뭔가 신뢰 관계에 있는 기존 거래처라든지 이런 메일 계정을 통해서 보냈을 것이라고 저는 생각이 듭니다. 아마 중요 문서 파일이라고 위장을 한 상태에서 랜섬웨어를 심었던 것 같습니다. 아무래도 목적은 금전적인 이득인 것 같아요. 해킹한 조직들이 비용을 받지 못해서 외부 유출이 이뤄진 것 같습니다. # 다크웹으로 자료를 유출한다는 게 이례적인 것이죠. 그렇죠. 아마 처음에는 해킹 조직이 협상을 했는데, 그게 잘 안돼서 결국 다크웹을 통해 외부로 자료를 유출 시킨 것으로 짐작이 됩니다. 그 배후에 경쟁사가 있다든가 그런 건 아니고 단순하게 금전적인 걸 요구했던 것 같습니다. 경쟁사 스파이나 해커라면 그거를 유출해서 넘기지, 다크웹으로 흘리지는 않죠. # 최근 현대차그룹에서 한두 번 털린 게 아닌데 왜 이렇게 계속 발생하는 걸까요. 최악의 경우에는 이렇게 공격을 당한 다음에도 원인을 찾지 못해서 계속 방치됐을 수도 있고, 아니면, 뭔가 해결을 시도한 상태에서 그 다음에 또 공격이 발생한 경우도 있을 거라 생각은 드는데요. 기본적으로 해외 법인에 대해 보안 정책부터 확실히 바로 잡고 가야되지 않을까 생각이 듭니다 # 이게 (해외)법인별로 다르다고 보시나요. 아무래도 본사랑은 좀 다르죠. 시스템적으로도 많이 다를 거에요. 제 경험으로는 아마 본사에 보고를 하지 않고 자체적으로 해결을 하려다가 일이 점점 더 커진 걸로 유추가 됩니다. 그렇기 때문에 지금 와서는 꽤 많은 파일과 많은 pc가 감염이 된 걸로 생각이 듭니다. # 랜섬웨어 말고도 피싱사이트 사례도 있습니다. 이거는 생각보다 조용히 하는 게 아니라 대담하게 일을 벌이는 것 같은데요. 이렇게 피싱사이트를 개설까지 해서 뭔가를 한다고 보면, 아무래도 확실하게 목적이 있지 않을까 생각이 드네요. 해당 기사에 북한 추정이라고 하는데 아마 북한이 맞을 겁니다. 회사 사내 메일로 위장을 해서 전체 메일을 보내고, 그 메일을 통해서 뭔가 접속을 유도를 하는 건데요. 그렇게 하면 보통 아이디와 패스워드를 갈취를 해서 내부 전산망이 접근하게끔 하는 게 목적입니다. 도메인이나 ip도 흡사하게 헷갈릴 정도로 같은데, 은행 같은 경우에는 계좌번호, 비밀번호, OTP 번호 이런 것까지 다해서 해커들이 직접 계좌이체를 한다든가 그런 방법들이 있습니다. # 방금 북한 이야기가 나왔는데, 중국이나 베트남 이런 곳은 개인이 아닌 정부가 관리하는 해커가 있다고 하는데 진짜인가요. 저도 실제로 그들을 만나거나 직접 접촉한 적은 없지만, 대부분 업계에 있는 사람들은 있다고들 얘기를 합니다. # 제품으로 넘어가서, 저희 회사에서 운영하는 아반떼로 보안 테스트를 해봤잖아요. 어땠나요. 최근에 기본적으로 있는 현대 디지털 키라든지 아니면  블루링크 기능을 통해서 차 문을 열고, 차에 시동을 걸고 이런 것들을 시도 해봤는데요. 생각보다 보안이 잘 이뤄졌다고 저희는 판단했습니다. 물론, 저희에게 시간을 더 준다면 다양한 시도를 해보겠지만 너무 시간이 길어질 것 같고요. 차가 아닌 현대차 서버를 건드는 것은 법적 문제가 발생할 수 있기 때문에 차만 살펴봤습니다.   먼저 디지털 키 같은 경우에는 최근에 나온 소프트웨어 기반이고 아무래도 최신 앱이라 보안이 생각보다 더 잘 되어 있었습니다. 기본적인 루팅이라든지 이런 거에 대해서는 완벽하게 방어를 하는 모습이었고요. 저희가 인위적으로 라이브러리나 이런 걸 통해서 특정 기능을 실현시키고, 그런 기능들이 어떻게 움직이는지 살펴보려고 했는데 생각보다 바이너리 파일에 대한 패킹이 잘 되어 있어서 어느 정도는 믿고 쓸 정도였던 것 같습니다. 블루링크는 핸드폰과 자동차 사이 서버를 통해서 작동시키는데, 통신을 분석했더니 저희가 뭔가 유추할 수 있는 부분들이 있었습니다. 기본적으로는 SSL 피닝이라고, 저희가 임의로 만든 인증서로 바꿔서 작동을 시켰더니 그 부분은 작동을 하더라고요. 쉽게 말해 등록된 휴대폰을 통해 서버에 보냈던 명령어를 저희가 다른 폰에서 인위적으로 다시 넣어 명령을 실행했더니 그 부분에 대해서는 작동이 이뤄졌던 걸로 확인이 됐습니다. # 디지털 키에 비해서 블루링크는 좀 어느 정도 해킹에 약간 취약한 점이 있다는 말씀이신가요. 네. 법적인 문제가 가장 크겠지만, 저희가 블루링크 서버에 대해서는 아무런 시도를 하지 않았기 때문에 차마 서버의 보안 취약점까지는 확인하지 않았고요. 아무래도 블루링크 서버는 예전부터 있었다는 점, 그리고 디지털 키와 비교해 외부 서비스와 연계성이 있기 때문에 그 부분에 대해서 현대차가 앞으로 좀 더 모니터링을 잘 하셔야될 것이라고 생각이 듭니다. # 갑자기 든 생각인데, 분노의 질주 더 익스트림에서 나왔던 장면처럼 해커가 차에 시동을 걸고 움직이잖아요. 실제로도 가능한가요. 물론, 영화이기 때문에 약간 더 과장이 더해진 면도 있지만, 기본적으로 서버를 통해 차를 제어하는 게 가능하면 충분히 일어날 수 있는 일이라고 저는 생각합니다. 지금 상태에서는 중앙서버를 통해 제어가 가능한 테슬라 정도가 가능할 것 같은데, 현대차나 다른 브랜드는 아직 좀 어렵겠네요. 다른 차들은 연계성이 떨어지니까 OBD단자나 캔 통신을 통해서 인위적으로 특정 상황을 발생시켜서 핸들을 튼다던가 엑셀이나 브레이크를 밟게 하는 수준까지는 가능합니다. 다만, 순수하게 소프트웨어 해킹으로 차를 움직이려면 테슬라처럼 차량이 메인 서버에 종속된 구조여야만 가능합니다. # 마지막으로 현대차그룹의 IT 보안에 대해서 정리를 좀 해보자면 어땠나요. 현대차가 최근 자동차에 디지털 친화적인 기능들을 많이 넣고 있는데요. 기본적으로 돈을 많이 쓰는 만큼 각 기능에 대한 보안성은 뛰어나다는 생각이 듭니다. 하지만 최근 해외법인에서 일어난 사건들을 봤을 때는 직원분들이 뭔가 보안 의식이나 이런 것들이 소홀한 것 같아요. 저는 아무래도 사람에 대한 보안 관리가 더 철저히 필요하다고 봅니다. 개인의 부주의나 일탈로 발생할 수 있는 것들을 좀 더 시스템적으로 보완을 해야 한다고 봐요. 정말 중요한, 아직은 유출되지 않는 내부 기밀이 유출되기 전에 하루 빨리 새로운 시스템을 도입하고 그에 대한 전문가들의 컨설팅을 받아야 한다고 생각합니다.  사실 예전보다 해킹이 훨씬 더 쉬워졌어요. 그러니까 목적과 타깃만 뚜렷하면 정말 방법이 다양해요. 거래처로 위장할 수도 있고, 요즘은 소셜이 잘 발달되니까 누가 누구고 어디서 일하는지 다 찾아 쉽게 접근할 수 있죠. SNS를 통해서 이제 누가 어디서 어느 부서에서 일하는지 쉽게 파악이 되죠. 옛날에는 SNS도 없고 아무것도 없잖아요. 지금은 검색만 잘하면 그 사람이 인스타로 식당, 헬스장, 취미 어디에 가는지 다 나오잖아요. 접근하기도 쉬워요.  그리고 핵심 임원이나 키맨에게 접근하는 게 아닙니다. 인턴이나 직급이 낮은 사람도 기본적인 로그인 정보는 있잖아요. 직급이 낮아도 조직의 일원이라는 것이 엄청난 메리트거든요. 다른 부서도 상관없어요. 오히려 사내 보안정책에 사각지대에 있기 때문에 더 쉽죠. '설마 쟤가 흘렸겠어?'라고 하는 경우가 꽤 있어요. 이해관계가 전혀 없기 때문이죠. 현대차는 협력사에 하청업체도 굉장히 많고 프리랜서 식으로 계약하는 이들도 많은데 그 많은 사람 중에 한명만 섭외하면 되니까요. 아무리 기술이 앞서도 사람을 공략하면 이기질 못해요. 인력 유출이나 해킹이 아니라 위장 취업으로 시키면 더 쉽죠. 중국이 왜 스파이를 쓰겠어요. 아직 기사만 안 떴지 더 비일비재하지 않을까요. 특히 한국 같은 경우에는 해킹을 당하고 유출이 되어도 쉬쉬하고 숨기죠. 이걸 윗선에 보고하면 자기는 집으로 가야 하는데, 하청업체는 계약이 끊기는데, 누가 말하겠어요. 다 사적으로나 뒤로 해결하려고 하죠. 경찰에 신고하면 어떤 자료가 유출됐는지 다 말해줘야 하는데 신고할 수 있을까요.