협력사 뚫고 연쇄 붕괴… 공급망 해킹에 속수무책

대기업을 직접 겨냥하기보다 보안이 취약한 협력사를 먼저 침투한 뒤 내부망을 타고 들어가는 ‘공급망 해킹’이 금융·통신·공공 분야 전반으로 확산되고 있다. 최근 지제이텍, LG유플러스 협력사, 빅데이터 업체 텍스톰 등이 잇따라 피해를 입으면서 정부가 직권 조사 강화에 나섰다.

이달 초 전산관리업체 지제이텍은 국제 랜섬웨어 조직 ‘킬린(Qilin)’의 공격을 받았다. 킬린은 9월 15일 10곳을 시작으로 18일 3곳, 19일 6곳 등 총 19곳의 자산운용사 내부 정보를 다크웹에 공개했다. 여기에는 멜론, 어썸, 클라만 등 중소형 사모펀드 운용사가 포함됐다.

지제이텍은 금융사에 IT 인프라 구축과 펀드 운용 지원 서비스를 제공하는 업체다. 어썸자산운용은 “지제이텍 서버가 랜섬웨어에 감염돼 서버를 사용하는 운용사들이 동시에 피해를 입었다”며 금융당국에 자진 신고했다고 밝혔다.

LG유플러스 사건 역시 공급망 해킹 아니냐는 의혹이 제기됐다. 박충권 국회 과학기술정보방송통신위원회 소속 의원(국민의힘)은 KISA로부터 제출받은 자료를 근거로 “LG유플러스 외주 보안업체 시큐어키가 7월 31일 KISA에 시스템 해킹을 신고했고, KISA는 다음날인 8월 1일 기술 지원을 실시했다”고 밝혔다.

앞서 미국 해킹 전문지 ‘프랙(Phrack)’이 8월 8일 공개한 자료에 따르면, 해커는 시큐어키에서 탈취한 계정 정보로 LG유플러스 내부 네트워크에 접근했다는 정황이 담겨 있다. 이 과정에서 서버 8938대 정보, 4만2526개의 계정, 167명의 직원 정보가 유출된 것으로 기록돼 있다.

LG유플러스는 이와 관련해 “외부 침입 흔적은 확인되지 않았다”는 공식 입장을 유지하고 있다.

공급망 해킹은 공공 부문으로도 확산되고 있다. 빅데이터 전문기업 텍스톰이 해킹을 당해 3만6000여 명의 개인정보가 유출됐다. 이 회사는 한국지능정보사회진흥원(NIA)과 함께 중앙부처와 지자체를 지원하는 업체로 다수 공공기관과 파트너십을 맺고 있다. 텍스톰은 개인정보 유출 사실을 인지한 즉시 KISA와 개인정보보호위원회 운영 개인정보포털에 사고를 신고했다고 밝혔다. 또 현재 관계 기관과 협력해 사고 원인 분석과 2차 피해 방지를 위한 가이드 마련 및 자문을 받고 있다고 설명했다.

업계 관계자는 “기업 대부분이 수십 개 이상의 협력사를 두고 있으며, 특히 제조업은 그 수가 훨씬 많다”며 “협력사들은 보안 역량이 취약해 정보가 쉽게 탈취되고 있다”고 말했다.

한 대형 기업 보안 담당자는 “공격자는 단 하나의 구멍만 찾으면 되지만, 기업은 내부 직원부터 협력사까지 전 영역을 방어해야 하기 때문에 어려움이 크다”고 설명했다.

홍주연 기자
jyhong@chosunbiz.com