한국과학기술정보연구원(KISTI)이 정보탈취형 악성코드 '폼북' 감염 사실을 부인했다. 감염 사실을 최초 분석한 보안 업체는 “안전하다는 근거가 될 수 없다”는 입장이다.
KISTI는 22일 설명자료를 내고 KISTI와 한국원자력안전기술원(KINS) 단말기가 폼북에 감염되지 않았다고 밝혔다. <본지 7월 20일자 1면 참조>
KISTI는 폼북 감염 인터넷프로토콜(IP) 주소 분석 결과 한국항공우주연구원과 KINS에서 자체 구축·운영하는 지능형지속위협(APT) 대응 솔루션 IP라고 설명했다. 폼북이 첨부된 악성 이메일이 APT 대응 솔루션으로 유입됐으며 추가 감염이나 피해 사실은 없다는 주장이다. 폼북 설치일자와 최종 접근일자 간 시간차가 있는 이유도 이 같은 악성 이메일이 빈번하게 유입됐기 때문이라고 해명했다.
보안업계는 “면피에 급급한 가설 중 하나일 뿐”이라고 지적한다.
김용대 KAIST 교수는 “보안 장비 안에서 악성코드가 동작했다는 사실이 중요한 게 아니다”면서 “악성코드가 상당 기간 설치된 상태였음에도 각 기관과 기업이 이를 파악조차 하지 못하고 있었다는 게 핵심”이라고 꼬집었다.
실제로 KINS에서 발견된 폼북은 해당 장비에서 약 7일 동안 잔류했다. KISTI 측은 “악성 이메일이 계속 유입됐기 때문”이라고 주장하지만, 보안 전문가는 보안 장비가 제대로 작동하지 않았거나 보안 관리가 부실했다고 해석한다.
서상덕 에스투더블유랩 대표는 “폼북 감염은 수집 데이터에 기반한 사실”이라면서 “악성코드가 장기간 존재했기 때문에 감염을 충분히 의심할 수 있다”고 반박했다. 이어 “이 같은 공격을 각 기관과 기업이 어떻게 처리하고 있는지, 어떤 개인용컴퓨터(PC)가 타깃이 됐고 어디까지 침투됐는지 해당 기관과 기업에서 확인해야 한다”고 말했다.
그는 폼북 감염 우려가 여전하다고 강조했다. 서 대표는 “공격자는 단 한 번의 시도로 성공할 것으로 보지 않기 때문에 침투를 지속 시도하는 것”이라면서 “이를 파악하지 못한 것이 문제이므로 전반적 보안 점검으로 가야한다”고 덧붙였다.
한편, 이번 사태와 관련해 롯데정보통신은 폼북이 자사 보안 장비인 '허니팟'에 들어온 것이지 침투 정황은 발견되지 않았다고 밝혔다.
오다인기자 ohdain@etnews.com
