[더구루=김예지 기자] 최근 발생한 대한항공 기내식 협력사의 데이터 유출 사고가 전 세계 주요 기업과 기관을 동시다발적으로 타격 중인 '오라클 E-비즈니스 스위트(EBS)' 보안 취약점 악용 캠페인과 연관된 것으로 파악됐다. 협력사의 보안 약점을 이용해 원청사 데이터에 접근하는 글로벌 공급망 공격의 표적이 되었다는 분석이 나오면서 파장이 커지고 있다.

31일 미국 보안 매체 블리핑컴퓨터·인도 사이버 익스프레스 등에 따르면 대한항공의 기내식·면세 사업을 담당하는 협력사 대한항공씨앤디서비스(KC&D)의 이번 정보 유출은 오라클 EBS에 존재하는 고위험 보안 취약점을 공격 경로로 사용한 글로벌 캠페인의 일환으로 분석된다.

러시아 연계 랜섬웨어 그룹 클롭(Cl0p)은 이를 통해 KC&D 시스템에 침투해 약 500GB 분량의 데이터를 탈취한 뒤 자신들의 다크웹 사이트에 공개했다. 특히 이들은 탈취한 데이터를 누구나 다운로드할 수 있도록 토렌트(Torrent) 방식으로 배포하는 공격적인 행보를 보이며, 데이터 유출 사실을 공론화해 피해 기업을 압박하는 수법을 쓰고 있다.

이번 사건은 협력사가 사용하는 기업용 소프트웨어의 취약점을 파고들어 그 안에 보관된 본사의 임직원 데이터까지 탈취한 전형적인 공급망 공격 사례로 평가된다. 유출된 데이터에는 KC&D 서버에 저장되어 있던 대한항공 전·현직 직원 약 3만 명의 성명과 은행 계좌 정보 등 민감한 정보가 포함된 것으로 전해졌다.

클롭의 이번 오라클 EBS 공격은 과거 수백 개 기업을 마비시켰던 MOVEit 대규모 해킹 사태와 유사한 양상을 띠고 있다. 클롭 측이 피해 대상으로 주장하거나 보안 업계에서 연관 가능성이 제기된 기관으로는 대한항공씨앤디서비스를 비롯해 △미국 피닉스대학교 △하버드대학교 △워싱턴포스트 △로지텍 △캐논 등으로, 산업과 지역을 가리지 않고 피해가 급증하는 추세다. 현재 미 국무부는 클롭의 공격을 외국 정부와 연결 지을 수 있는 정보를 제공하는 이에게 최대 1000만 달러(약 130억 원)의 포상금을 내건 상태다.

대한항공은 이번 사안을 엄중하게 인식하고 즉각 대응에 나섰다. 우기홍 대한항공 부회장은 지난 26일 사내 공지를 통해 "이번 사건은 비록 분리매각된 외부 협력업체의 관리 영역 내에서 발생했으나 임직원 데이터가 포함된 만큼 사안을 매우 엄중하게 받아들이고 있다"며 "피해 범위와 대상자를 식별하는 데 모든 노력을 집중하고 있다"고 밝혔다. 다행히 이번 사고는 협력사 서버를 대상으로 한 공격으로, 대한항공 본사 시스템의 고객 예약 정보나 결제 데이터 등 소비자 관련 정보의 유출 정황은 없는 것으로 파악됐다.

보안 업계에서는 클롭 조직이 기업들이 보안 패치를 적용하기 전의 짧은 공백을 노려 대규모 데이터를 탈취하는 전략을 반복하고 있다고 경고한다. 이에 따라 오라클 EBS를 사용하는 국내외 기업들은 즉시 최신 보안 패치를 적용하고, 제3자 협력사 전반에 대한 보안 관리와 모니터링 체계를 재점검해야 한다는 목소리가 나오고 있다.