#중견 제조기업 A사는 최근 해킹공격으로 해커는 관리자 계정 탈취해 주요 사업 관련정보, 계정 등이 유출 됐을 뿐 아니라 일부 자산은 랜섬웨어에 감염됐다. 해커는 전사자원관리(ERP) 서버, 파일, 홈페이지 등 7개 서버뿐 아니라 223대 PC를 감염시켰다. 업무가 마비돼 막대한 혼란이 일었고 경제 피해를 입었다.
#조선기자재 제조기업 B사는 주요 거래처인 C사가 결제대금을 타행으로 변경해 계좌번호가 바뀌었다는 이메일을 받았다. 은행 계좌 변경이 의심스럽긴 했지만 주로 연락을 주고받았던 이메일 이었기 때문에 별다른 확인 없이 금액을 지불했다. 하지만 며칠이 지나 해당 거래처에서 정상적인 거래대금을 다시 요구하면서 해킹 사실을 알아냈다. B사 업무담당자가 메일 계정이 해킹으로 거래 관련 정보가 유출된 것이 원인이었다.
최근 주요 은행, 암호화폐 거래소 등을 노리던 해킹 조직이 제조업 공장 등으로 공격 범위를 확대한다. 큰 돈이 몰린 은행이나 암호화폐 거래소가 최근 사이버 공격에 대한 대비책을 촘촘하게 세우면서 해킹 대상을 바꿨다. 제조기업 특성상 공장 가동이 멈출 경우 심각한 경제 타격을 입어 해커와 적극 가격 협상에 나선다는 점을 악용한다.
◇A제조사 노린 해커...허술한 계정관리 악용해 '개인정보·기업자산' 모두 탈취
A제조사 해킹은 초기침투, 거점확보, 권한상승, 내부정찰로 이어지는 치밀한 공격활동이 있었다. A사는 액티브디렉토리(AD)를 체계를 이용해 ERP, 애플리케이션 등 다양한 서비스를 연결해 사용했다. AD는 실제 사용자 PC에 별도 계정을 생성하지 않고 시스템 중앙에서 계정을 발급, 부여하는 방식이다. 중앙에서 관리하기 때문에 효율적이지만 보안 주의가 요구된다.
해커는 로컬 관리자 계정을 탈취하는데 성공한 후 △패스워드 탈취도구 △악성코드 2종 설치 △기존 계정을 수정한 백도어 계정생성 등을 통해 해외지사 업무 연동서버를 거점으로 삼았다.
윈도 서버메시지블록(SMB) 취약점을 악용, 일부 관리되지 않은 시스템에 백도어 계정을 생성해 'AD관리자계정' 탈취했다. AD관리자계정을 통해 다시 한 번 악성코드가 뿌려졌다. 내·외부 IP를 스캔하는 등 내부정보까지 하나씩 확인했다. 이를 바탕으로 사업관련정보, 다양한 계정 등 기업과 개인 중요자산을 유출하는데 성공했다. 내부 시스템 일부는 랜섬웨어로 암호화 시킨 후 암호화폐를 추가로 요구했다. 악성코드에 감염된 서버는 앱, ERP, AD, 파일, CAS, 홈페이지 등 7개 였고, 개별 PC는 223대가 감염된 것으로 파악됐다. 이들 활동은 약 2주간에 거쳐 이뤄졌다.
한국인터넷진흥원(KISA) 관계자는 “관리되고 있지 않은 AD 관리자 계정이 해커에게 노출 될 시 한 기업에 얼마나 큰 피해를 발생 시킬 수 있는지 확인한 사고였다”면서 “AD 환경을 노린 유사 유형 해킹 공격은 지속 증가하고 있어 주의가 요구된다”고 말했다.
◇법규제 촘촘...은행·암호화폐 거래소 변화 “보안 중요성 스스로 깨달아”
10여년 전 해커 주요 공격 대상은 돈이 집중된 은행이었다. 국내서도 금융권을 노린 농협 해킹 전산망 마비(2011년), 3·20 사이버테러(2013)등 다양한 해킹 사건으로 전국을 떠들썩하게 했다. 이후에도 카드 3사 개인정보 유출 등 금융권은 해커 먹잇감으로 여겨졌다.
하지만 금융권 자체 정보보호조직 강화와 법체계 개정으로 정보보호 수준은 빠르게 개선됐다. 은행 자체 내에서 새로운 정보보호 대응 매뉴얼을 만들어 운영하고 있으며 최근 인공지능(AI)등 트렌드에 맞춰 개별 보안 관제시스템이 지능형 AI도입을 빠르게 추진한다. 금융보안원은 매년 180여개가 넘는 금융사를 대상으로 침해사고대응훈련을 실시한다. 금융권을 대상으로 한 다양한 침해사고를 반영해 실제 상황을 가장한 훈련이다.
A은행 최고정보보호책임자(CISO)는 “은행권은 지난 사이버 사고를 통해 정부가 촘촘한 규제를 만들어 이를 따라가고 있다”면서 “정부 규제뿐 아니라 서버, 개별 PC 등 엔드포인트 영역부터 보안강화를 위해 빅데이터, AI도입 등 보안 강화에 힘쓰고 있다”고 말했다.
해커 놀이터로 불리던 암호화폐 거래소는 암호화폐 가격 하락과 주요 거래소 보안강화 등과 맞물리면서 해커 공격 순위가 하락했다. 2017년 4월 암호화폐 거래소 야피존이 해킹으로 55억원 상당 암호화폐 부정 인출을 시작으로 지난해 코인레일 504억원 피해(2018년 6월), 빗썸 209억원 피해(2018년 6월)까지 해킹이 끊이지 않았다.
최근 암호화폐 거래소는 자체 보안인력 강화, 정부 정보보호관리체계(ISMS)획득 등에 나서는 등 변화를 보여주고 있다. 실제 지난해 9월부터 12월까지 KISA가 실시한 암호화폐 거래소 보안점검에서 여전히 많은 거래소가 보안 문제점을 드러내긴 했으나 업비트, 빗썸, 고팍스 등 국내 7개 암호화폐 거래소가 합격점을 받았다.
이창훈 카스퍼스키랩 대표는 “은행, 증권, 보험사 등은 최근 윈도뿐 아니라 리눅스 보안까지 챙기는 등 사고발생을 미연에 방지하기 위한 다양한 시도를 많이 보여주고 있다”면서 “해외서 ATM기기 등 해킹사고를 지적하기는 하지만 아직까지 국내서 관련 사고가 접수되는 등 움직임은 보이지 않고 있다”고 말했다.
◇보안 사각지대...중소·제조기업 보안 위협 심각
해커 주요 목표가 되는 금융권, 암호화폐 거래소가 변화를 보이는 사이 제조기업을 중심으로 한 중견, 중소기업은 사이버보안 사각지대로 남았다. 문제는 개별 중소기업 피해뿐 아니라 이들 기업이 숙주가 되어 2~3차 피해까지 양산하고 있다는 점이다. 중소기업 자체적으로 열악해 사이버보안에 투자를 하지 못하고 있을뿐 아니라 보안 의식조차 부족하다. 실제 지난해 KISA가 195개 기업을 선정해 정보보호 컨설팅 지원 사업을 했지만 104개는 중도 포기했다. 담당자 이직, 비용 문제, 최종 결정권자인 대표가 거부 등이 이유였다.
보안 현실은 심각한 수준이다. PC보안 백신조차 없는 곳이 많다. 방화벽 등은 찾기 조차 어렵다. 보안 의식수준도 낮다. 보안사고를 당하더라도 신고하지 않을뿐 아니라 사고 발생 후에도 별도 대응체계를 마련하지 않는다.
장상수 KISA 지역정보보호총괄센터장은 “실제 현장에 나가보면 랜섬웨어 공격을 받아 파일이 모두 날아갔다는 신고뿐 아니라 송장 등 견적서 위조로 인한 피해 접수가 가장 많다”면서 “특히 지방 중소기업은 정보보호 불모지로 경영여건 등 이유를 들어 정보보호에 아예 신경조차 쓰지 않는 경우도 많다”고 설명했다.
정영일기자 jung01@etnews.com
