MetaLeaks

알고도 방치한 해성디에스, ‘열린 문’ 해킹으로 3.4억 과징금! (SSL-VPN 취약점 사건 전말)

취약점 경고를 무시한채 방치한 해성DS

여러분 안녕하세요! 계속되는 보안 사고 소식에 이제는 분노를 넘어 허탈감마저 드는 요즘입니다. 😥 여러분의 곁을 지키는 정보 보안 지킴이, METALEAKS 입니다. 오늘은 최근 SKT, YES24와 같은 대형 사고들 속에서 상대적으로 덜 알려졌지만, 기업의 ‘보안 불감증’이 얼마나 끔찍한 결과를 낳는지 적나라하게 보여주는 해성디에스(Haesung DS)의 개인정보 유출 사건과 그에 따른 과징금 처분 결과를 심층 분석해 드리려고 합니다.

마치 “집 대문이 고장 났으니 도둑이 들 수 있습니다!” 라는 경고를 받고도 4개월 동안이나 문을 활짝 열어둔 것과 같은 이번 사건. 그 어처구니없는 전말을 지금부터 함께 살펴보시죠.

📜 예고된 재앙의 타임라인: 4개월의 방치, 18일의 유출

이번 사건은 한마디로 ‘막을 수 있었던, 아니 막았어야만 했던’ 재앙이었습니다.

  • 2023년 6월 12일 (경고등이 켜지다): 해성디에스가 사용하던 SSL-VPN 장비에서 심각한 취약점이 발견됩니다. 장비 제조사와 한국인터넷진흥원(KISA)을 통해 이 취약점을 해결할 보안 업데이트가 시급하다는 사실이 공식적으로 공지됩니다.
  • 2023년 10월 11일 ~ 10월 29일 (대문이 열리다): 신원 미상의 해커가 바로 그 SSL-VPN 장비의 취약점을 악용하여 사내망에 침투합니다. 개인정보위 조사 결과, 해성디에스는 무려 4개월 전에 취약점 공지를 받았음에도, 해킹 공격 당시까지 아무런 조치도 취하지 않았던 것으로 드러났습니다. 🤬 해커는 약 18일 동안 유유히 내부를 휘저으며 정보를 빼돌리고 랜섬웨어를 심었습니다.
  • 2025년 7월 23일 (청구서가 날아오다): 개인정보보호위원회(개인정보위)는 제16회 전체회의를 통해 해성디에스의 명백한 법규 위반을 확인하고 제재를 최종 결정합니다.

📊 피해 규모와 범위: 누가, 얼마나 털렸나?

해성디에스의 안일한 대응이 낳은 피해는 결코 작지 않았습니다.

  • 유출 인원: 73,975의 소중한 개인정보가 유출되었습니다.
  • 정보 범위: 내부 파일 서버에 저장되어 있던 주주, 현직 및 퇴사 임직원, 그리고 수많은 협력사 직원들의 개인정보까지 광범위하게 포함되어 있었습니다.

💻 공격 방법: ‘알려진 취약점‘을 노린 교과서적인 해킹

해커는 특별히 고도의 신기술을 사용한 것이 아니었습니다. 그저 ‘열려있는 문‘으로 들어왔을 뿐입니다.

  • 공격 루트: 해커는 외부에서 내부망으로 안전하게 접속하기 위해 사용하는 SSL-VPN 장비의 ‘알려진 취약점’을 악용했습니다. 이 취약점은 인증 없이도 원격으로 코드를 실행할 수 있는 치명적인 것이었습니다.
  • 공격 유형: 해커는 정보를 외부로 빼돌리는 데이터 유출과, 내부 시스템을 마비시키는 랜섬웨어 감염을 동시에 자행하는 복합적인 공격을 감행했습니다.
  • 드러난 보안 관리 소홀:
    • 취약점 방치: 4개월 전 공지된 취약점에 대한 보안 업데이트 미실시.
    • 방어 시스템 부재: 해커가 정보를 빼돌리던 약 18일 동안 일부 시스템에서는 백신 프로그램이 단 한 번도 작동하지 않는 등, 기본적인 악성 프로그램 방지 및 치료 체계 운영이 매우 미흡했던 것으로 확인되었습니다.
취약점 경고를 무시한채 방치한 해성DS
취약점 경고를 무시한채 방치한 해성DS

⚖️ 과징금 3.4억 원: 나태함의 대가

결국 개인정보위는 해성디에스의 명백한 과실에 대해 철퇴를 내렸습니다.

  • 부과 금액: 과징금 3억 4,300만 원 부과.
  • 부과 사유: 가장 핵심적인 이유는 **’안전조치 의무 위반’**입니다.
    1. 알려진 취약점을 방치하여 해킹의 빌미를 제공한 점.
    2. 악성코드 방지 및 치료 체계를 제대로 운영하지 않은 점.
  • 추가 명령: 이러한 처분 사실을 자사 홈페이지에 공표하라는 명령도 함께 내려졌습니다.

📝 이번 사건이 우리에게 남기는 교훈: 보안은 ‘비용’이 아닌 ‘생존’이다!

해성디에스 사건은 우리 사회 모든 기업에게 뼈아픈 교훈을 남깁니다.

  1. ‘알려진 취약점’은 시한폭탄이다: 보안 취약점이 발견되고 패치가 공개되었다면, 이는 ‘언제든 공격당할 수 있다’는 명백한 신호입니다. 이를 방치하는 것은 범죄에 가까운 태만입니다.
  2. 기본이 가장 중요하다: 외부와 연결되는 VPN, 방화벽 등 경계 보안은 물론, 내부 시스템의 백신 운영과 같은 기본적인 보안 수칙 준수는 아무리 강조해도 지나치지 않습니다.
  3. 보안은 더 이상 ‘비용’이 아니다: 이번 과징금은 물론, 랜섬웨어 피해 복구, 기업 이미지 실추, 집단 소송 가능성 등을 고려하면, 초기에 보안에 투자하는 것이 훨씬 경제적입니다. 보안은 이제 기업의 생존과 직결된 문제입니다.

최근 SKT, YES24 등 끊이지 않는 대형 보안 사고 속에서, 해성디에스 사건은 기업의 ‘보안 불감증’이 얼마나 심각한 수준인지를 다시 한번 일깨워 줍니다.

마무리하며 (2025년 7월 현재)

“소 잃고 외양간 고친다”는 속담이 있습니다. 하지만 해성디에스는 “외양간 문 열려있으니 소 잃을 수 있다”는 경고를 듣고도 4개월간 아무것도 하지 않은 것과 같습니다. 이번 3.4억 원의 과징금이 단순한 처벌을 넘어, 국내 모든 기업들이 정보보호의 중요성을 다시금 깨닫고 실질적인 투자와 노력에 나서는 계기가 되기를 간절히 바랍니다.

개인정보 유출 시 대처 방법이나 안전한 온라인 생활을 위한 더 많은 정보가 궁금하다면, 제 블로그의 다른 글들도 꼭 확인해주세요!

SKT 해킹 최종 결과, ‘중대한 과실’ 판정! 끝나지 않은 악몽의 전말과 위약금 면제 총정리 (2025년 7월)
[충격 진실게임] YES24 해킹, ‘시스템 점검’ 뒤에 숨겨진 랜섬웨어 공격과 거짓 해명 논란 (2025년 6월)

오늘 내용이 여러분이 기업의 보안 책임을 이해하고, 더 안전한 사회를 요구하는 데 작은 도움이 되었기를 바랍니다. 이 중요한 사건의 교훈을 주변 분들과도 꼭 공유해주시고, 함께 경각심을 높여나가요! 다음에 더 유익한 정보로 찾아올게요. 항상 안전하세요! 안녕! 👋