최근 중국 모 보안 커뮤니티에서 한국에 위치한 공공, 병원, 학교, 일반기업, 개발자 등 371개 시스템의 VNC 접속IP와 패스워드 정보가 그대로 공개된 것이 확인됐다. 해당 커뮤니티에는 한국 이외에도 중국 VNC 정보도 상당수 올라와 있었다.   

 
VNC는 원격제어 프로그램으로 5900 PORT를 이용해 대상 시스템을 원격에서 모니터링 하거나 제어하는데 사용하는 프로그램이다. 현재 커뮤니티에 공개된 371개 한국 시스템의 VNC 접속IP와 패스워드만으로도 상당수 시스템에 접근이 가능함은 물론이고 실제 원격조정도 가능하다. 이외에도 개인정보를 빼내 올 수도 있고 조작도 가능하며 악성코드를 심어 좀비PC화 할 수도 있어 상당히 위험하다.  
 
공개된 VNC IP와 패스워드 정보중 심각한 곳은 바로 국내 모 대형 병원이다. 병원 원무행정 시스템에 그대로 접속이 가능하며 병원을 이용한 환자들의 주민등록번호, 주소, 연락처, 보험증번호, 진료과목, 진료시간뿐만 아니라 환자의 병력까지 모두 볼 수 있어 심각한 정보유출로 이어질 수 있는 상황이다.

 
한편 해당 병원 시스템에서는 중국 악성 원격제어 프로그램 설치 시도까지 이루어진 것이 포착됐다. 이는 악성 해커가 지속적으로 병원과 환자 정보를 빼내 올 수 있도록 여러가지 시도를 한 것으로 추정된다. 
 
또 모 지방 국립대학교 시스템에 대한 접근도 가능한 상황이다. 대학교 시스템은 학생들의 개인정보 뿐만 아니라 여러 민감한 정보들이 관리되고 있어 사이버 범죄자의 접근이 용이해지면 심각한 사고가 발생할 수도 있는 곳이다.
 
이외에도 모 수도권 시의 분수설비 원격제어 시스템에 대한 접근도 가능하며 피시방 관리시스템, 제과점 관리 시스템, 모텔 관리 시스템, 개발자 PC 등 아주 다양한 시스템들이 포함돼 있는 것이 확인됐고 실제 접속도 가능하다는 것을 알 수 있다. 이를 통해 사생활 침해, 중요 메일 정보열람, 기밀 문서 접근 등을 할 수 있는 위험성이 존재한다.
 
왜 이런 사태가 발생할까. 국내 모 보안전문가는 “VNC 관리를 잘 못해서 이런 사고가 발생한 것이다. 유출된 정보들 대부분 VNC 패스워드 관리를 하지 않아서다”라며 “VNC를 사용하려면 쉽게 추출할 수 있는 패스워드를 사용하지 말아야 하며 그렇지 않으면 VNC를 사용하지 않는 것이 안전하다”고 말했다.
 
실제로 이번에 유출된 VNC IP와 패스워드를 보면 알 수 있다. 상당수 패스워드가 유추하기 쉬운 123456, QWE123, PASSWORD, ADMIN 등을 사용하고 있는 것으로 확인됐다. 이러한 보안불감증이 큰 사고로 이어질 수 있다는 것을 명심해야 한다.
 
중국 해커들은 IP리스트를 넣은 다음 패스워드 파일을 넣어서 패스워드가 맞는지만 확인해주는 브루트포스 공격을 사용해 패스워드 정보들을 알아내고 있다. VNC 사용자들은 패스워드 관리에 보다 만전을 기하고 주기적인 패스워드 변경이 이러한 공격에 대응할 수 있는 방법이라 하겠다.

데일리시큐는 중국 보안정보 전문기업 씨엔시큐리티(대표 류승우 www.cnsec.co.kr)를 통해 한국 371개 VNC 접속IP와 패스워드를 단독입수했으며 이 정보를 토대로 일부 확인 작업을 진행해 실제 접속이 가능한 정보인지를 확인했다. 그 결과 상당수 정보가 접속이 가능한 것으로 조사됐다.
 
이에 해당 IP와 패스워드 정보를 유관기관에 전달해 신속한 보안조치가 이루어질 수 있도록 할 예정이다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com