더벨'머니투데이 thebell'에 출고된 기사입니다.
반도체 부품 기업 해성디에스가 개인정보 유출로 과징금을 부과받았다. 사전에 취약점이 경고된 외산 보안장비를 업데이트 없이 그대로 사용하는 등 보안관리에 소홀했던 것으로 나타났다. 회사는 개인정보 유출과 함께 랜섬웨어 감염 피해도 입은 것으로 전해진다.
해성디에스는 지난 23일 개인정보 유출로 인해 개인정보보호위원회(이하 개인정보위)로부터 3억4300만원의 과징금을 부과받았다. 유출 규모는 7만3975명으로 임직원을 비롯해 주주와 협력사 직원 정보가 포함됐다.
해킹이 이뤄진 것은 2023년 10월경이다. 신원 미상의 해커가 해성디에스가 운영 중인 SSL-VPN 장비의 취약점을 악용해 내부 시스템에 침입했다. 이후 해커는 서버에 저장돼 있던 개인정보를 유출한 뒤 내부 파일서버 등에 랜섬웨어를 감염시켰다.
개인정보위는 해성디에스의 보안 소홀을 꼬집었다. 해성디에스가 사용 중이던 SSL-VPN은 해외 보안 기업 포티넷의 장비다. 포티넷과 한국인터넷진흥원(KISA)은 2023년 6월 12일 해당 장비에 대한 보안 취약점을 공지하고 업데이트를 권고했다. 하지만 해성디에스는 사고가 있기까지 해당 취약점을 그대로 방치했다.
포티넷은 보안 취약점의 위험도에 따라 △인포(Info) △로우(Low) △미디움(Medium) △하이(High) △크리티컬(Critical) 등으로 구분한다. 해성디에스 장비에서 확인된 취약점은 최고 위험 등급인 크리티컬이다. 소프트웨어 취약점의 심각도를 평가하는 CVSS 점수는 9.2점(10점 만점)이다.
해당 취약점을 이용할 경우 원격에서 접속해 임의의 코드나 명령을 실행할 수 있게 된다. 별도의 보안 조치가 이뤄지지 않을 경우 사실상 내부 시스템에 대한 권한을 모두 얻을 수 있다는 의미다. 해당 취약점은 일정 이상 버전으로 업데이트만 하면 방지할 수 있으나 이를 하지 않아 사태를 키웠다.
VPN이라는 1차 관문을 통과한 해커는 2023년 10월 11일부터 29일에 걸쳐 내부 자료를 유출했다. 그 기간 동안 해성디에스의 시스템에는 백신이 동작하지 않았다. 1차 관문뿐만 아니라 2차 관문조차도 소홀히 운영된 셈이다.
규모가 작은 영세기업에서 발생한 일이 아니라는 점에서 눈길을 끈다. 해성디에스는 지난해 기준 매출액 5945억원을 기록한 중견기업이다. 반도체 칩을 부착하는 금속기판 '리드프레임'과 서버 등에 사용되는 'BGA 기판' 등을 생산한다. 최근에는 차량용 반도체로까지 사업 영역을 확장하고 있다.
보안 투자 소홀이 일을 키웠다는 지적도 나온다. 해성디에스는 지난 4년간 정보보호에 23억원을 투자했다. 경쟁사인 대덕전자는 같은 기간 74억원을 투자했는데 대덕전자의 절반에도 못미친다.
이마저도 2023년부터 투자 규모를 늘린 덕분이다. 2021년과 2022년 보안 투자액은 1억5000만원, 2억8000만원에 불과했다. 2023년과 2024년에는 9억5000만원, 9억9000만원으로 높였다. 지난해 매출 대비 보안 투자액은 0.16%로 여전히 대덕전자(0.19%)보다 낮다.
다만 유관 업계에서 해성디에스만 유독 투자가 부진한 것은 아니다. KISA 정보보호 공시 포털에 따르면 기판 기업 전반이 정보보호에 소홀한 것으로 나타났다. 코리아써키트(10억원, 0.14%), 심텍(10억원0.08%), 이수페타시스(5억9000만원, 0.08%) 등은 해성디에스보다도 투자가 미흡하다.
더벨은 해성디에스에 사실 여부 확인과 향후 대응 방안 등을 묻기 위해 연락을 취했다. 하지만 담당자 부재로 답변을 받지는 못했다.
개인정보위 관계자는 "제조업을 중심으로 랜섬웨어 감염과 개인정보 유출이 증가하고 있다"며 "개인정보를 처리하는 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트를 실시하고 주요 파일은 별도로 백업·보관하는 등 주의가 필요하다"고 말했다.