엔비디아·삼성전자·LG전자·MS에 대한 사이버공격을 감행한 랩서스가 다크웹이나 악성 코드 등을 활용해 기업 임직원들 계정을 확보하고 내부 정보에 접근했다는 분석 결과가 나왔다.
SK쉴더스는 이 같은 내용의 랩서스 공격 기법과 대응 전략을 공개했다. SK쉴더스에서 침해사고분석과 대응을 전담하는 인포섹 Top-CERT팀은 랩서스가 텔레그램을 통해 공개한 내용을 기반으로 공격기법을 분석했다.
SK쉴더스 인포섹 Top-CERT는 랩서스가 공격 수행 시 공격 대상의 임직원 계정 정보를 입수하는 데 큰 노력을 기울였다는 것에 주목했다. 랩서스는 공격 이전 다크웹을 통해 공격 대상의 임직원 정보를 구매하거나 다양한 루트의 해킹 공격으로 계정 유출 기능 악성코드를 확산시킨 후 임직원 계정 정보를 습득한 것으로 분석됐다. 수집한 임직원 계정정보를 통해 랩서스는 공격 대상의 사용자 PC에 손쉽게 접근했으며 이후 내부 정보를 탈취했다.
SK쉴더스는 이 같은 분석 결과를 바탕으로 해킹 사고 단계별 대응 방안도 제시했다.
우선 해킹 조직이 정보를 수집하는 단계에서 피해를 예방하기 위해 △ 다크웹 모니터링 △ 이메일 악성코드 탐지·차단 솔루션 구축 △지능형 지속위협 공격(APT) 탐지·차단 솔루션 구축을 제안했다. 이와함께 △ 불필요한 원격 접근지 차단 △ 2 Factor(이중) 인증 사용 △ 최신 보안 패치 적용 △ DRM(문서보안) 솔루션, 정보유출 탐지 솔루션 구축 △ 해킹 사고 정보 공유 체계 강화 등 방안을 제시했다. 특히 랩서스가 손쉽게 공격 대상 PC에 접근이 가능했던 이유로 이중인증이 적용되지 않은 PC를 노렸을 가능성이 있어 계정 사용시 이중인증 사용을 권고했다.
김병무 SK쉴더스 클라우드사업본부장은 “해커 공격이 상시적으로 이뤄지고 있다는 가정아래 제로 트러스트(Zero Trust) 기반을 전제로 단계별 적절한 보안 솔루션을 도입하고 강력한 통제정책과 주기적인 모니터링이 필수적으로 이뤄져야 한다”고 밝혔다.
최호기자 snoop@etnews.com
