최근 중국 모 언더그라운드 해킹•보안정보 커뮤니티에 5천3백여 개 이상의 MSSQL, MYSQL 접속정보들이 공개돼 파장이 예상된다. 지난 10월 7일 데일리시큐는 단독기사를 통해 ‘중국, 한국 기업-보험사-병원 MSSQL 접속정보 공개 파장’이란 제하의 기사를 통해 공개된 한국 IP 36개에 대한 보안조치를 요청한 바 있다.

 
한편 이번에 공개된 접속정보 중 한국 IP 정보는 총 79개이며 중국에서 최초 공개된 날짜는 올해 1월 4일자로 총 5천335개가 공개됐으며 이중 한국 IP가 79개에 달하는 것으로 조사결과 드러났다. 즉 이 정보가 10개월 이상 중국 언더그라운드에서 공개된 상태인 것을 알 수 있고 악성 해커들이 이 정보를 활용해 어떤 사이버 범죄를 저질렀는지는 관계기관의 확인이 필요한 상황이다. 많은 해외 해커들이 해당 정보에 접근한 만큼 심각한 해킹 피해가 있었을 것으로 우려된다.

 
데일리시큐가 이번에 입수한 공개된 MSSQL 접속 정보로 미루어 볼 때 해당 자료들은 과거 몇 년 전부터 꾸준히 스캐닝되어 수집된 정보들로 판단되며, 해당 정보들의 원 출처를 확인한 결과, 올해 초 5300 개 이상의 MSSQL, MYSQL 정보들이 공개된 것을 알 수 있었다.
 
해당 정보들은 한국 IP를 비롯해 중국, 미국, 오스트레일리아, 이란, 인도, 일본, 말레이시아, 뉴질랜드, 멕시코, 파키스탄, 알바니아 등 불특정 국가들을 대상으로 취약한 패스워드 설정에 대한 브루트포스 공격으로 수집된 것으로 판단된다.
 
이번에 공개된 MSSQL 접속 정보를 이용해 접속 여부 확인결과, 대다수가 현재 접속되지 않았지만 일부 정보들은 현재까지 접속이 가능한 상황이었다. 문제는 접속IP가 공개된지 10개월이 지난만큼 그 동안 해킹이나 DB정보 유출 사건이 충분히 발생할 수 있었다는 점이다. 

 
접속이 확인된 기업으로는 플랜트엔지니어링과 설비유지관리, 전기화학 관련 사업을 하는 국내 T사도 있었다. 아이디와 이메일 암호화된 패스워드가 공개된 상황이다.
또 사원이 2천명이 넘는 모 기업으로 주민등록번호와 사번, 비밀번호 등이 그대로 노출되는 상황이었다.

 
그리고 통합의료 정보 시스템 솔루션을 제작하는 것으로 보이는 모 기업은 관련된 의료 기관의 담당자명 및 주민등록번호가 노출됐을 가능성이 크다. 현재 접속은 되지 않는 것으로 보아 조치가 취해 진 것으로 판단되지만 최초 공개 날짜로 미루어 볼 때 주의가 필요하다.

또한 어떤 서버는 아파트 관리 서버로 판단되며, 아파트 단지의 관리비, 임대료 및 CCTV 접속 정보들이 노출되었다. 또 스마트 관련 솔루션을 개발하는 업체도 정보가 노출되는 상황이었다. 더불어 SMS 서비스 관련 업체도 있었다.
 
확인은 전체 리스트 중 한국 IP를 대상으로 진위 여부에 대해 확인만 한 것으로 대상에 포함되어 있는 79개 IP의 경우 반드시 데이터베이스 점검 및 보안조치가 이루어져야 할 것이다. 이러한 공격은 앞서 말한 것과 같이 지속적으로 이루어지고 있으므로 수집 정보들에 대한 꾸준한 관심이 필요하다.
 
데일리시큐는 지난 7월 31일, 국내 공공, 병원, 대학 등 371개 VNC 접속 IP와 패스워드가 공개된 사실을 보도한 바 있으며 10월 7일에는 국내 기업들의 MSSQL 접속정보가 공개된 것을 단독 보도한 바 있다. 관계 기관과 기업들의 지속적인 관심과 대응이 절실한 상황이다.
<관련기사>
-dailysecu.com/news_view.php?article_id=5399
-dailysecu.com/news_view.php?article_id=4923
 
데일리시큐 길민권 기자 mkgil@dailysecu.com