정부 연구기관 서버에 가상화폐 채굴 악성코드 몰래 설치

서버 관리 용역직원이 심어놔… 작년 5월부터 하루 12시간 가동
업무시간外 CPU 가동률 의심
자체 보안 점검서 발각돼… 과기부 산하기관 서버 전수조사

과학기술정보통신부 산하 정부출연연구기관 서버에 가상화폐 채굴 프로그램이 몰래 설치됐던 사실이 뒤늦게 밝혀졌다. 외부 해킹이 아닌 내부 시설을 관리하던 용역업체 직원의 소행으로 밝혀져 공공기관 보안에 구멍이 뚫린 것 아니냐는 지적이 나온다.

30일 과기정통부에 따르면 한국지질자원연구원(지질연)은 24일 자체 보안 점검 과정에서 연구개발용 서버에 가상화폐를 채굴하는 악성코드가 심어진 것을 발견했다. 지질연은 해커가 PC나 서버에 악성코드를 심고 가상화폐를 채굴하는 프로그램인 ‘크립토재킹’(암호화폐인 cryptocurrency와 하이재킹의 합성어)을 의심해 곧바로 과기정통부에 신고했다.

과기정통부가 국가정보원과 함께 조사한 결과 문제의 프로그램은 서버 공급과 유지 보수를 수행하는 용역업체 직원이 1년 전에 작업 도중 몰래 설치한 것으로 드러났다. 지질연 관계자는 “2018년 5월에 용역업체 직원이 연구원의 업무가 뜸해지는 오후 7시부터 오전 7시까지 하루 12시간씩 채굴을 하는 프로그램을 설치해 지금까지 1년간 운영해 왔던 것으로 밝혀졌다”며 “원내 한 연구원이 업무 외 시간에 CPU 가동률이 90%가 넘는 것을 수상히 여겨 자체 조사를 벌인 끝에 프로그램을 발견했다”고 말했다. 용역업체 직원은 외부에서 서버에 접속할 수 있는 프로그램까지 설치했던 것으로 밝혀졌다. 지질연은 보안 매뉴얼에 따라 서버 비밀번호를 바꾸고 방화벽을 다시 설치한 뒤 과기정통부와 한국과학기술정보연구원 해당 부서에 신고했다.

해당 용역업체는 출연연과 과학기술특성화대 등 다른 과기정통부 산하 기관도 담당하고 있는 것으로 알려졌다. 이에 따라 과기정통부는 28일부터 산하 기관 63곳의 서버와 컴퓨터를 대상으로 불법 프로그램 설치 여부를 전수 조사하고 있다. 과기정통부 관계자는 “해당 용역업체 직원이 담당한 또 다른 기관의 장비에도 악성코드가 깔려 있는지 확인 중”이라고 말했다.

과기정통부 산하 기관 공용 컴퓨터에서 가상화폐 채굴을 시도하다가 덜미를 잡힌 일은 또 있었다. 올해 2월에는 울산과학기술원(UNIST)에서 한 학부생이 교내 컴퓨터실에 가상화폐 채굴 프로그램을 설치해 3일간 가동하다가 덜미를 잡힌 일이 있었다. 해당 학생은 유학생으로 지난해 2학기에 등록을 하지 않아 제적이 된 상태에서 출입 보안카드를 빌려 교내에 들어왔다.

보안 전문가들은 네트워크를 이용한 외부 해킹보다 내부 접근 권한을 가진 관리자를 통한 사고가 더 위험하다고 지적한다. 한 통신장비 업체 관계자는 “서버나 통신망 등 네트워크 장비는 정기적인 유지 보수가 필요하기 때문에 관리자에 대한 검열이 한층 강화돼야 한다”고 지적했다.

윤신영 동아사이언스 기자 ashilla@donga.com / 신동진 기자