[비즈니스포스트] SK쉴더스의 침해사고 대응·분석 전담팀인 '탑서트'는 12일 이반티 가상사설망(VPN) 해킹 피해 사례, 사고 원인 분석, 향후 대응 방안 등을 담은 보고서를 공개했다.

이반티 VPN은 해외 정부기관, 군 관련 조직, 통신사, 방위산업체, 금융기관, 컨설팅 업체, 항공우주 분야에서 많이 사용되는 VPN 장비로 국내에서도 2천 개 이상의 기업이 사용하고 있다.
 

한국인터넷진흥원(KISA)에 따르면 최근 3년 동안 관련 침해사고 신고 건수는 2022년 1142건에서 2023년 1277건으로 12% 증가했다. 2024년 상반기 침해사고 신고 건수는 899건으로 2023년 상반기보다 약 35% 늘어났다.

보고서는 이반티 VPN이 인증 우회와 명령 주입 등에 취약해 사고 발생 시 내부 네트워크 망 전체가 탈취될 위험성이 높다고 지적했다.

실제 이같은 취약점에 따른 피해 사례가 세계적으로 2400여 건 이상 발생한 것으로 조사됐다.

보고서는 또 공격 전술·기법·절차(TTPs)에 맞춘 예방법과 대응 방안을 제시했다. 

취약점 악용 공격이 가능했던 이유로는 VPN 장비의 특성 상 높은 탐지 난이도가 지목됐다. VPN은 네트워크 구성 상 최상단에 위치해 모든 통신 트래픽이 VPN을 통해 이뤄지는데, 이는 사용자 익명성과 데이터 보호성을 보장하지만, 동시에 모든 트래픽이 암호화돼 트래픽 내용을 직접 분석하기 어렵다. 결과적으로 이상 징후, 데이터 유출, 악성코드 전파 등 위협의 조기 탐지가 힘들어진다.

탑서트는 이반티 VPN을 사용하는 조직을 위한 단계별 해킹 피해 체크 리스트를 제시하고, 지속적 모니터링과 점검을 당부했다. 공격자들이 사용한 침해지표(IoC)와 악성코드 정보도 제공했다. 또 조직 전체의 보안 위협을 실시간으로 감지하고 신속한 대응을 지원하는 위협탐지대응(MDR) 서비스 도입도 제안했다.
 
김병무 SK쉴더스 정보보안사업부장 겸 부사장은 “이반티 VPN를 사용하는 기업이라면 체크리스트를 활용해 자가 점검을 필수적으로 해야 한다”고 말했다. 이동현 기자