또 SSL-VPN 보안 미흡 랜섬웨어...해성디에스도 당해

개인정보보호위원회 로고 (사진 출처 : 개인정보보호위원회)

SSL-VPN은 인터넷과 같은 공용 네트워크에서 안전하고 암호화된 연결을 제공하는 가상 사설망 기술로, 사용자와 기업 내부 네트워크 간의 안전한 통신을 가능하게 합니다. 이러한 SSL-VPN은 특히 재택근무 및 원격 근무가 보편화되면서 더욱 중요한 역할을 하고 있습니다. 그러나 보안이 취약할 경우, 해커에게 공격의 표적이 될 수 있습니다.

 

최근 해성디에스에서 발생한 해킹 사건은 이러한 SSL-VPN의 보안 미흡이 얼마나 심각한 문제인지 보여주는 사례입니다. 2023년 10월 11일부터 29일 사이 신원 미상의 해커가 해성디에스가 운영 중인 SSL-VPN 장비의 취약점을 악용하여 내부 시스템에 접근한 것으로 확인되었습니다. 이 공격을 통해 해커는 73,975명의 개인정보를 포함해 다양한 내부 데이터를 유출하고, 랜섬웨어를 배포하여 시스템을 감염시키는 사태가 발생했습니다.

 

해성디에스는 이 사건이 발생하기 전, 해당 SSL-VPN 장비의 취약점이 이미 발견되어 있었다는 점에서 더욱 문제가 됩니다. 한국인터넷진흥원과 제조사로부터 보안 업데이트 필요성이 공지되었음에도 불구하고, 해성디에스는 이를 소홀히 하여 결국 해킹 사고를 초래한 것입니다. 이러한 보안 조치의 부재는 해커가 SSL-VPN 인터페이스를 통해 원격으로 코드를 실행할 수 있는 기회를 제공하게 되었습니다.

 

해킹 사건의 결과로 해성디에스는 개인정보 보호위원회로부터 총 4억 4460만 원의 과징금과 과태료를 부과받았습니다. 특히, 개인정보 보호법을 위반한 데 대한 처벌로 3억 4300만 원의 과징금이 부과되었으며, 이 사실은 운영 중인 홈페이지에 공표하도록 명령받았습니다. 이러한 제재는 기업이 개인정보 보호에 소홀할 경우, 실질적인 경제적 피해를 입을 수 있음을 잘 보여줍니다.

 

이번 사건은 단순한 해킹 사건이 아니라, 기업의 보안 시스템 전반에 대한 경각심을 일깨우는 계기가 되어야 합니다. 해성디에스와 같은 기업은 SSL-VPN을 비롯한 모든 보안 시스템에 대해 주기적인 점검과 업데이트를 통해 취약점을 사전에 차단해야 합니다. 또한, 직원들에게 보안 교육을 강화하여 부실한 비밀번호 사용 등의 문제를 사전에 예방하는 노력이 필요합니다.

 

이 사건을 통해 우리는 기업의 데이터 보호와 보안 관리가 얼마나 중요한지를 다시 한 번 깨닫게 되었습니다. 앞으로는 보다 강력한 보안 정책을 수립하고, 정기적인 보안 점검을 통해 잠재적인 위험 요소를 사전에 제거하는 것이 필수적입니다.

 

보안은 단지 IT 부서의 몫이 아니라, 모든 임직원이 함께 해결해야 할 문제라는 점을 명심해야 할 것입니다. 기업의 데이터 보호를 위한 노력이 계속되어야 하며, 이를 통해 해킹 사건을 예방하고, 고객의 신뢰를 지키는 것이 무엇보다도 중요합니다.