2025.03.?? 티맥스티베로 DBMS 티베로7 해킹 사건 정리

1. 개요

• 2025년 티맥스티베로가 사이버 공격을 받은 사건으로, 해커들이 기술지원 사이트 'Technet(테크넷)'에 접근하여 주력 제품인 DBMS 티베로7의 설치 파일을 악성파일로 교체한 공급망 공격입니다.
• 티맥스티베로는 2025년 7월에 한국인터넷진흥원(KISA) 통지를 받은 후에야 사이버 침해사고 사실을 인지했으며, KISA가 해킹 정황을 처음 파악한 것은 2025년 3월로 최소 4개월간 피해 사실조차 알지 못했습니다.

 

2. 피해범위

• 공격 대상은 티베로7 DBMS로, 행정안전부, 경찰청, 삼성전자, 현대자동차 등을 포함해 1,400여개 고객사에서 사용되고 있는 국산 데이터베이스관리시스템입니다.
• 티베로7은 조달청 디지털서비스몰에서 DBMS 소프트웨어 중 8년 연속 판매 1위를 기록하는 등 높은 점유율을 보유하고 있어, 공격이 성공했다면 국가 및 공공기관과 주요 기업들이 광범위한 피해를 입을 수 있었습니다.

 

3. 유출항목

 - 해커들이 교체한 구체적인 악성파일은 다음과 같습니다.

• tibero7-bin-FS02_PS02-linux64_3.10-277758-20240826115751.tar.gz
• tibero7-bin-FS02-linux64_3.10-254994.tar.gz

 

 - 이 파일들은 정상적인 티베로7 설치 파일처럼 위장되어 있었으며, 상기 파일 전체가 변조된 것은 아니고 일부 다운로드본에서만 변조 정황이 확인되었습니다.

 - 현재까지 고객사에서 확인된 실제 해킹 피해나 데이터 유출 사례는 없는 것으로 보고되고 있습니다.

 

4. 원인

• 공격의 근본 원인은 공급망 보안 취약점입니다.
• 해커들은 티맥스티베로의 고객 지원 사이트 Technet(테크넷)에 침입한 후, 정상적인 티베로7 설치 파일 대신 악성파일을 업로드하는 수법을 사용했습니다.
• 특히 해커들은 탐지를 회피하기 위해 악성 파일을 삭제하고 정상파일을 재업로드하는 교묘한 방식을 사용했습니다.
• 이는 고객사가 악성파일임을 인지하지 못하고 다운로드 받으면 악성코드가 유포되는 구조로 설계되었습니다.

 

5. 대응

 - 티맥스티베로와 KISA의 대응 조치는 다음과 같습니다.

  > 즉시 대응

• 해당 파일 전면 삭제 및 다운로드 경로 차단
• 테크넷(Technet) 사이트 서비스 중단
• 다운로드 이력이 있는 고객 대상 긴급 안내 메일 발송

  > 조사 및 점검

• KISA와 공동으로 1년간 해당 파일을 다운로드한 고객사 전수조사 실시
• 1년 이내 다운로드한 고객에 대한 집중 조사 진행
• KISA C-TAS를 통한 자체 점검 방법 안내

  > 보안 강화

• 전사 보안 체계 재점검 및 보안 시스템 업그레이드
• 모든 배포 파일에 대한 이중 검증 절차 도입

 

6. 문제점

 - 이번 사건에서 드러난 주요 문제점들은 다음과 같습니다.

  > 기업 측면:

• 4개월간 해킹 사실 미인지: 티맥스티베로가 최소 4개월간 피해 사실조차 알지 못했던 것은 보안 모니터링 체계의 심각한 허점을 보여주고 있습니다
• 공급망 보안 취약: 고객 지원 사이트에 대한 보안이 허술하여 해커들의 침입을 허용했습니다
• 피해 기간 특정 불가: 신고 이후에도 정확한 피해 기간을 특정하지 못했습니다

  > 정부기관 측면

• KISA의 늦은 통보: KISA가 2025년 3월 해킹 정황을 파악했음에도 4개월 후인 7월에야 이를 통지한 것은 안이한 대처로 지적받고 있습니다.
• 국가 인프라 위험: 정부 및 공공기관에서 광범위하게 사용되는 국산 DBMS의 보안 사고로 국가 정보 인프라의 취약성이 노출되었습니다.

  > 산업계 전반

• IT 기업 보안 인식 부족: 국산 소프트웨어 기업들의 허술한 보안이 더 큰 피해로 이어질 수 있다는 우려가 제기되었습니다
• 공급망 공격의 심각성: 소프트웨어 공급망을 통한 공격이 얼마나 광범위한 피해를 초래할 수 있는지를 보여주는 사례가 되었습니다