한국 기업, 정부 기관을 대상으로 한 국제 해커 조직 위협이 거세지고 있다. 잇따른 공격 성공으로 사이버 공격 주요 표적으로 부상한 만큼 대응 수위를 한층 강화해야 한다는 지적이 따른다.
30일 보안업계에 따르면 국제 랜섬웨어 조직 '락빗'(LockBit)이 최근 자신들의 다크웹 희생자 목록에 국세청 홈페이지 주소를 포함시켰다. 그러면서 오는 4월 1일 오후 8시경(한국시간) 탈취한 국세청 데이터를 모두 공개하겠다고 예고했다.
락빗은 세계적으로 많은 기업에 피해를 입힌 랜섬웨어이자 조직이다. 우리나라에서도 저작권, 이력서 등 피싱 메일을 위장해 사용자에게 유포되고 있다.
국세 정보 관련 기업, 개인 정보 등이 공개된다면 메가톤급 파장을 불러일으킬 수 있다. 다만, 아직까지 대규모 데이터 탈취 등 큰 피해로 이어질 징후는 확인되지 않았다. 개인 자료를 해킹한 것을 국세청으로 포장했을 수 가능성도 있다.
염흥열 순천향대 교수는 “락빗은 랜섬웨어 조직으로 데이터나 시스템을 암호화해 몸값을 요구하는데 이번에는 탈취한 데이터를 공개한다고 했다”면서 “평소 공격, 협박 내용과 양상이 다른 것이 특징”이라고 말했다.
염 교수는 “피해가 극히 적은 상황에서 엄포용 협박을 했을 가능성도 배제할 수 없다”면서 “면밀한 분석을 통해 피해 규모를 빠르게 파악해야 한다”고 말했다.
국세청 관계자도 “내외부망을 분리했고 백업 시스템도 운영하고 있다”면서 “현재 피해 사실이 확인되지 않았다”고 말했다.
이번 공격 진위 여부를 떠나 한국을 대상으로 한 사이버 위협이 지속 심화하고 있어 대응을 강화해야 한다는 목소리가 커지고 있다.
지난 1월 LG유플러스 고객 정보 탈취 공격이 드러난 데 이어 디도스 공격이 집중됐다. 같은달 중국 해킹 조직 샤오치잉은 한국을 특정, 대한건설정책연구원 등 12개 기관 홈페이지를 마비시켰다.
지난해에는 한국 기업만 노린 '귀신 랜섬웨어'가 기승을 부렸다. 해커조직 랩서스(LAPSUS$)는 삼성전자, LG전자 두 곳을 연달아 공격했다. 삼성전자는 스마트폰 관련 소스코드를 대거 탈취당한 것으로 알려졌다.
전문가들은 사이버 공격 조직에게 한국이 더 이상 낯선 공격 대상이 아니라고 분석했다.
곽경주 S2W 이사는 “락빗 등 조직의 한국 공격 빈도가 증가하고 있다”면서 “한국 기업 사정을 아는 공격자를 고용하는 등 공격 수위를 높이기 위한 조치를 한 것으로 보인다”고 말했다.
곽 이사는 “공격자가 한국 보안 대응 방식, 수준 등을 파악하면서 성공 가능이 높아졌다고 생각할 수 있다”면서 “앞으로 사이버 공격 빈도 증가는 상수로 두고 대응해 나가야 한다”고 덧붙였다.
최호기자 snoop@etnews.com
