KISA “모의침투 해보니, 89% 기업서 해킹 가능한 취약점 확인”

한국인터넷진흥원(KISA)이 2023년부터 2025년까지 주요 기업을 상대로 모의침투 점검을 한 결과, 점검 기업의 약 89%에서 중요정보 탈취, 개인정보 탈취, 내부망 침투, 관리자 권한 탈취, 시스템 제어권 획득 등 5개 목표 가운데 최소 1개 이상의 보안 취약점이 확인됐다.

KISA는 누적된 모의침투 결과를 바탕으로 지난 20일 ‘모의침투 점검 기업 주요 취약점 사례집’을 제정했다. KISA가 꼽은 주요 위협 사례는 ▲외부에 노출된 상용 제품 취약점 악용 ▲DMZ(Demilitarized Zone) 통제 미흡 ▲다크웹 유출 계정 재사용 ▲여러 취약점의 연쇄 악용 ▲대규모언어모델(LLM) 서비스 운영 미흡 5가지다.

서로 다른 유형으로 보이는 이 사례들이 실제로는 외부 노출 자산 관리 실패, 기본 계정 방치, 패치 지연, 과도한 권한 부여, 내부 접근 통제 부실 같은 공통 문제에서 출발했다고 KISA는 분석했다. 중요 정보 탈취 가능성이 확인된 기업 가운데 자사 정보가 ‘최대 약 1조 원에 이르는 핵심 기술’이라고 평가한 사례도 있었다.

외부 노출된 상용 제품이 가장 먼저 뚫려

KISA가 먼저 짚은 지점은 가상사설망(VPN), 그룹웨어, 문서중앙화 솔루션, 네트워크 저장장치(NAS) 같은 상용 제품이다. 이런 제품은 업무에 꼭 필요하지만, 인터넷과 맞닿아 있고 운영체제의 높은 권한으로 돌아가는 경우가 많아 한 번 침해되면 피해 범위가 빠르게 커진다. KISA는 실제 점검에서 일부 상용 제품의 ‘공개 취약점 및 노출(CVE)’이나 잠재 취약점이 초기 침투의 원인이 되는 사례를 반복적으로 확인했다고 밝혔다.

침투 흐름은 비교적 단순했다. 공격자는 먼저 인터넷에 공개된 매뉴얼과 브로셔로 제품 구조와 제조사 기본 계정을 파악했다. 이어 파일 첨부 기능의 허점을 이용해 웹셸을 올렸다. 웹셸은 서버를 원격으로 조종하게 하는 악성 파일이다. 서버를 장악한 뒤에는 그 안에 평문으로 저장된 접속 정보와 설정 파일을 모았고, 이를 바탕으로 데이터베이스와 사내 서버, NAS, 직원 PC로 옮겨 갔다. KISA는 이 과정이 전사적 랜섬웨어 확산으로 이어질 수 있다고 설명했다.

세부 사례도 확인됐다. 그룹웨어에서는 악성 파일 업로드와 SQL 인젝션이 반복됐다. SQL 인젝션은 로그인창이나 검색창 같은 입력칸에 악의적인 질문을 넣어 데이터베이스를 읽거나 조작하는 공격이다. 문서중앙화 솔루션에서는 유출된 계정 정보를 다른 서비스에 그대로 넣어보는 크리덴셜 스터핑, 파일 다운로드 경로 조작, 단일로그인(SSO) 검증 미흡, 세션 위조 문제가 나왔다. NAS에서는 오래된 운영체제와 펌웨어, 기본 계정 미변경, 익명 파일전송(FTP) 활성화가 문제로 지적됐다. 웹 방화벽(WAF), 데이터 유출 방지(DLP), VPN 같은 보안 장비도 예외가 아니었다. KISA는 패치 지연과 취약한 계정 관리가 보안 장비까지 공격 거점으로 바꿀 수 있다고 적었다.

KISA는 여기서 제로데이와 원데이도 함께 설명했다. 제로데이는 제조사도 아직 모르거나 패치를 내놓기 전의 취약점이다. 원데이는 취약점과 패치가 이미 공개됐지만, 현장에서 적용이 늦어 악용되는 경우다. KISA는 서비스 중단 우려와 사전 검증 부담 때문에 실제 현장에서는 패치가 수주에서 수개월씩 늦어지는 일이 반복됐고, 공격자는 그 틈을 자동화 도구로 노렸다고 분석했다.

DMZ와 느슨한 방화벽 정책이 내부 침투 원인으로 등극

KISA는 DMZ 사례도 별도로 다뤘다. DMZ는 외부 공개 서비스와 내부 핵심망 사이에 두는 구간인데, 원래는 내부망을 보호하는 완충 지대 역할을 해야 한다. 하지만 KISA는 이 구간의 통제가 느슨하면 오히려 내부 침투의 대상이 된다고 봤다.

실제 점검에서는 DMZ 안의 웹 서버에 불필요한 포트가 열려 있었고, 관리자 페이지와 테스트 페이지도 외부에 노출된 경우가 확인됐다. 여기에 웹 서비스 입력값 검증 미흡이 겹치면서 공격자는 웹셸을 심어 시스템을 장악했다. 문제는 그다음이다. DMZ와 내부망 사이 방화벽 규칙이 너무 넓게 열려 있거나, 내부에서 외부로 나가는 통신을 막지 않은 경우 공격자는 장악한 DMZ 서버를 디딤돌 삼아 데이터베이스와 NAS로 더 깊숙이 들어갈 수 있었다.

KISA는 특히 출발지와 목적지, 포트를 사실상 다 열어두는 Any Any 식 허용 규칙을 위험 신호로 봤다. 또 MSSQL의 xp_cmdshell 같은 기능도 문제로 꼽혔다. 이 기능은 데이터베이스 안에서 운영체제 명령을 직접 실행하게 하는 기능인데, 운영 편의를 이유로 켜둔 사례가 많았고 공격자는 SQL 인젝션으로 이 기능을 불러 서버 제어권을 넓혔다. KISA는 DMZ를 단순한 외부 서비스 구간이 아니라, 내부망 침투를 막는 1차 통제 지대로 보고 필요한 통신만 허용목록 방식으로 열어야 한다고 권고했다.

유출된 계정 하나가 VPN과 내부망 전체 침투로 이어져

계정 탈취 문제도 거론됐다. KISA는 다크웹에 유출된 아이디와 비밀번호 조합을 여러 서비스에 자동으로 넣어보는 크리덴셜 스터핑이 기업 침투의 대표 수단으로 자리 잡았다고 봤다. 원격근무 확산으로 VPN과 그룹웨어가 기업의 주요 출입문이 됐는데, 다중 인증(MFA)이 빠져 있으면 유출 계정 하나만으로도 정상 사용자처럼 로그인할 수 있다는 설명이다.

문제는 최초 로그인 뒤에 더 커졌다. KISA는 내부 게시판, 메신저, 공유폴더에 VPN 접속 매뉴얼과 초기 비밀번호, 서버 계정 정보가 평문으로 남아 있는 사례를 확인했다. 공격자는 이 정보를 모아 다른 시스템에도 같은 비밀번호를 넣어봤고, 결국 데이터베이스와 파일 서버 같은 핵심 자산으로 이동했다. 내부망을 여러 구간으로 나누는 세그먼테이션이 부족하면 이런 측면 이동을 막기 어렵다고 KISA는 지적했다.

KISA는 개별적으로 보면 심각하지 않아 보이는 취약점이 서로 연결될 때 더 큰 사고가 된다고도 분석했다. 취약점 체이닝은 웹서비스 오류 메시지 노출, 입력값 검증 부재, 데이터베이스 과권한, 운영체제 패치 지연, 아웃바운드 통제 부재 같은 문제가 차례로 이어지며 침해가 커지는 유형이다.

예를 들어 공격자는 먼저 SQL 인젝션으로 데이터베이스 구조와 버전 정보를 수집한다. 이후 데이터베이스 계정에 과도한 권한이 부여돼 있고, 운영체제 명령 실행 기능이 활성화돼 있으면 서버 제어권을 얻는다. 내부 서버에서 외부로 나가는 통신을 통제하지 않는 환경에서는 터널링이나 리버스 커넥션으로 방화벽을 우회할 수도 있다. 터널링은 내부 서버와 외부 공격자 사이에 몰래 통신 통로를 만드는 방식이다. KISA는 개별 취약점 점검만으로는 이런 실제 공격 경로를 다 설명하기 어렵고, 시스템 간 연결관계까지 포함한 점검이 필요하다고 봤다.

생성형 AI도 새 취약점으로 떠올라

KISA는 생성형 AI와 LLM 기반 서비스가 내부 데이터와 연결되면서 기존 IT 시스템과 다른 보안 문제가 생겼다고 분석했다. 특히 검색증강생성(RAG)은 외부 문서나 내부 자료를 끌어와 답변을 보강하는 구조라, 접근 통제가 약하면 질문 한 줄로 내부 자료가 새어 나갈 수 있다.

실제 사례에서는 개발 편의를 위해 만든 클라우드 저장공간이 외부 공개 상태로 남아 있었고, 그 안에 내부 데이터셋과 사용자 파일, 세션 식별자(SID)까지 평문으로 저장돼 있었다. 공격자는 이를 이용해 다른 사용자 세션으로 로그인한 뒤, 프롬프트 인젝션을 시도할 수 있다. 프롬프트 인젝션은 AI에 악의적인 문장을 입력해 원래 지시를 무시하고 공격자가 원하는 동작을 하게 만드는 방식이다. KISA는 입력 필터와 출력 마스킹이 부실하면 내부 참조 데이터와 임직원 개인정보가 답변으로 그대로 노출될 수 있다고 설명했다.

기본 통제와 모의해킹 등 실전형 점검이 중요

KISA는 반복되는 침해사고가 고도의 신종 공격만으로 생긴 것이 아니라, 외부 노출 자산 관리 실패, 기본 계정 방치, 패치 지연, 과도한 권한, 느슨한 내부 접근 통제 같은 기본 통제 부재에서 출발했다고 정리했다. 그래서 취약점 목록만 보는 점검으로는 부족하고, 실제 공격자 관점에서 들어가 보는 모의침투 점검을 상시 보안 활동으로 정착시켜야 한다고 강조했다.

또한, KISA는 기업들이 우선적으로 해야 하는 과제도 제시했다. 외부 접점에는 다중 인증을 기본 적용하고, 기본 관리자 계정은 반드시 바꾸고, 최신 보안 패치는 신속히 적용해야 한다. 서버 안의 접속 정보와 애플리케이션 프로그래밍 인터페이스(API) 키는 평문으로 두지 말고 암호화해야 한다. DMZ와 내부망, 서버와 서버 사이 통신은 꼭 필요한 것만 허용해야 한다. AI 서비스는 입력값 필터링, 출력 마스킹, 최소 권한, 비밀정보 별도 관리까지 설계 단계부터 반영해야 한다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.