올 상반기 안전하다고 여겨지던 망분리 환경을 침투한 공격이 발생했다. 악성 이메일을 타고 들어온 해커가 중앙관리(AD) 서버를 장악한 후 랜섬웨어를 유포한 사례도 발견됐다.
이재광 한국인터넷진흥원(KISA) 침해사고분석 팀장은 올해 상반기 국내 기업 침해사고 현장조사를 바탕으로 '기업 침해사고 대응 프로세스' 부족을 지적했다. 기업과 기관이 방화벽, 안티바이러스(백신) 등 공격 예방체계를 갖췄지만 해커 침투 후 내부 정보 수집 활동을 잡아내는 체계가 소홀했다.
이 팀장은 “해킹위협을 사전에 막는 것만큼 공격이 시작된 후 해커 행동을 추적하는 내부 관리 관리가 중요하다”면서 “해커가 침투 후에 마음 놓고 정보를 수집할 수 없도록 위협식별 체계를 마련해야 한다”고 말했다.
올해 상반기 워너크라이, 대형 디도스 공격 등 침해사고는 발생하지 않았지만 알려지지 않은 개별기업 침해는 심각했다. 악성 이메일을 타고 들어온 해커가 AD서버를 장악 후 랜섬웨어를 유포하는 새로운 공격방법까지 등장했다. 소위 안전하다고 여겨지던 망분리 환경에 대한 공격도 발생해 '사이버 안전지대'가 없다는 것을 다시 한 번 증명했다.
이 팀장은 “악성 이메일은 여전히 해커의 좋은 공격수단으로 첨부파일을 보내는 형태부터 링크를 넣는 방식까지 다양해 졌다”면서 “이미 상대방 정보를 파악 후 피싱 페이지 등을 안내하기 때문에 사용자는 이를 알아차리기 쉽지 않다”고 말했다.
스피어피싱 성공 시 PC나 서버를 장악하는 것을 넘어 AD서버를 탈취 한다. AD는 관리 효율성이 높지만 보안을 고려하지 않는 경우가 많아 서버와 연결된 전체 PC가 공격자에 그대로 노출된다. 게다가 공격자는 공격 대상자 이메일과 패스워드를 확보한 뒤 피해자가 주고받은 메일을 바탕으로 또 다른 피해자를 찾아 나선다.
이 팀장은 “올해 발생한 실제 사건을 보면 내부 정보를 탈취해 돈을 요구하는 협박메일을 보내거나 랜섬웨어를 설치하는 공격까지 다양했다”면서 “특히 단순 공격에 끝나지 않고 사내계정에 폴더를 만들어 메신저, 메일 등 주고받은 모든 정보를 별도로 기록해 탈취했다”고 설명했다.
보안의 약한고리를 노리는 '공급망 위협'도 여전했다. 기업 내부 인적정보, 담당자 등 정보를 갖고 있는 IT 서비스 운영, 구매 파트너, 소프트웨어(SW) 솔루션 개발사를 해킹해 공격한다. 한발 더 나가 해커가 직접 SW개발사 소스코드를 탈취, 취약점을 찾아 공격에 악용하기도 한다.
이 팀장은 “최근 공급망 공격은 더 은밀히 관계자에 접근할 뿐 아니라 깃허브 등으로 SW 소스코드를 직접 얻어 공격에 악용한다”고 덧붙였다.
정영일기자 jung01@etnews.com