기업을 겨냥한 랜섬웨어 협박 수위가 높아진다. 공격자는 보안이 취약한 해외지사 등을 해킹한 뒤 정보를 일부 공개, 사회 지탄을 받게 한다. 단순한 정보유출이 아닌 기업 평판을 볼모로 삼고 수익성을 높인다.
시스템통합(SI)이 주 사업인 국내 대기업 A사는 지난달 해외 고객사 한 곳이 '콘티 랜섬웨어'에 감염됐다는 소식을 접했다. A사와 직접 연관은 없었지만 해당 고객사에 네트워크 서비스를 제공하는 만큼 사고 수습을 도왔다.
이후 공격자는 지난 18일 다크웹을 통해 7개 파일을 공개했다. A사 사옥 주소까지 적시하며 내부를 해킹해 빼돌린 자료라고 주장했다. 실제로 해당 파일은 A사 액티브디렉토리(AD) 서버가 보유한 목록처럼 나타났다. AD 서버가 감염됐다는 것은 공격자가 모든 서버와 PC를 제어할 수 있다는 의미다.
다크웹에서 이 같은 사실을 포착한 보안업체 관계자는 “공격자가 파일 공개 시 A사 국내 주소를 명시해 애초 A사 한국법인이 공격당한 것으로 봤지만 호스트명 분석 결과 국내 서버가 아닌 해외 서버가 감염된 것으로 결론 내렸다”고 말했다. 공격자가 실제 감염시킨 서버는 A사가 아닌 A사의 해외 고객사 서버지만 호스트명이 A사로 돼 있다는 점을 악용한 것이다.
국내 유명 자동차 제조사 B사도 최근 유사 사건으로 곤욕을 치렀다. B사 내부 기밀정보가 아닌 미국 일부 영업소 직원 PC가 해킹됐지만 공격자는 B사가 대규모 정보유출을 겪은 것처럼 과장했다. 공격자가 다크웹에 공개한 자료를 보면 B사 지역별 매출 등이 대부분으로 경영을 위태롭게 할 만한 민감정보는 포함되지 않았다. B사는 랜섬웨어 감염으로 해외 웹사이트가 일부 운영 중단되는 피해를 입은 데 그쳤다.
랜섬웨어는 암호화폐를 활용한 수익 확보가 가능해지면서 극성을 부리는 추세다. 보안이 취약한 일반 직원 PC를 해킹한 뒤 기업 핵심 정보기술(IT)시스템 진입을 시도하는 경우가 많다.
윤두식 랜섬웨어대응협의체 의장(지란지교시큐리티 대표)은 “랜섬웨어 사업화가 지하세계에서 빠르게 진행되는 중”이라면서 “기반시스템 마비, 지식재산권(IP) 탈취 우려가 현실화하는 만큼 기업의 각별한 주의가 필요하다”고 당부했다.
일반 직원 보안 훈련도 중요하다고 강조했다. 윤 의장은 “랜섬웨어 공격은 기업 내 보안 담당자가 아닌 일반 직원을 대상으로 벌어지는 경우가 대부분”이라면서 “일반 직원에 대한 꾸준한 교육이 필요하며 현재로선 모의훈련이 최선”이라고 덧붙였다.
모의훈련은 기업 보안 수준을 점검하고 전사 경각심을 높이기 위한 대책으로 꼽힌다. 기업 핵심 자원이 모인 중앙 시스템에는 보안 조치가 돼 있기 때문에 공격자는 보안 수준이 낮은 일반 직원을 먼저 감염시킨 뒤 중앙으로 접근한다.
오다인기자 ohdain@etnews.com
