"회사 문 닫을 때까지 해킹할 것" 악랄해지는 사이버 위협
by이재운 기자
2019.07.29 11:00:00
금전 목적 노린 해커위협 갈수록 기승..''맞춤형 공격''도
공급망 위협, 망분리 허점 노린 공격 등도 발생 늘어나
"공격 거점 여러 개 만들어..사후 모니터링까지 철저히"
[이데일리 이재운 기자] “당신 회사가 문 닫을 때까지 공격을 계속 하겠다. 당신의 고객사 역시 괴롭힐 것이다.”
이런 무시무시한 협박을 가하는 존재는 ‘악성 사이버 공격자’이다. 흔히 해커라고 부르는 이들이 최근 들어 금전적인 목적을 중심으로 더욱 악랄하고 교묘한 공격을 감행하고 있다. 특히 디지털 시대 IT 전산 시스템에 대한 의존도가 높아지고, 사물인터넷(IoT) 등으로 네트워크 구성도 복잡해지고 있어 조직 전체에 걸친 체계적 보안 전략이 필요하다는 지적이 제기된다.
29일 한국인터넷진흥원(KISA)에 따르면 올해 사이버 위협 동향은 △악성 이메일 △공급망 위협 △망분리 허점 노린 공격 등 세 가지로 분류할 수 있다.
악성 이메일의 경우 이메일 안에 첨부파일이나 인터넷 주소를 삽입, 이를 실행하면 랜섬웨어 같은 악성코드가 설치되도록 하거나 개인정보 등을 유출하는 수법이다. 이용자가 메일을 열어보도록 하기 위해 기업이나 기관, 지인 등을 사칭하는 사회공학적 기법이 동원된다. 최근 발견된 한 사례의 경우 학술회의 강연 원고를 위장해 열람을 유도하는 방식이 확인됐다.
이재광 KISA 침해사고분석팀장은 “어떤 경우에는 이용자의 이메일 계정 로그인 정보를 입력하도록 유도하는 방식도 있었다”며 “사용자가 구글을 사용하면 구글 계정을, 네이버를 사용하는 네이버 계정을 입력하게 하는 식의 움직임이 있었다”고 설명했다. 또 “마이크로소프트(MS) 오피스의 경우 프로그램 자체의 취약점보다는 매크로 기능 등에 악성 행위를 숨기는 방식도 계속 나타나고 있다”고 덧붙였다.
이런 공격 시도를 통해 가령 다양한 IT 자원을 통합 관리할 수 있는 AD서버 관리권한을 탈취할 경우 조직내 시스템 전체를 장악할 수 있어 치명적이라는 설명이다.
공급망 위협의 경우 소프트웨어 업데이트 같은 유지보수 작업을 위탁하거나, 고객사나 협력사 등 거래선과 데이터를 주고 받는 연계 시스템 등을 통한 침투 시도를 의미한다. 이미 시스템 접속권한을 가진 통로를 활용하기 때문에, 정상적인 접근으로 위장하기 쉬워 보안 솔루션으로도 막기가 어렵다.
영업을 위한 고객사 정보의 데이터베이스 입력, 오픈소스 활용 증가 등 최근 추세에 따라 위협요인도 다양해지고 있다.
내부망과 외부연결망을 분리하는 망분리 환경에서도, 데이터 송수신을 위한 연계 등 각종 부가 기능을 추가하는 최신 흐름에 따라 역시 해커들이 빈틈을 노리고 있다.
이에 따라 보안 담당자의 대응도 변화해야 한다는 것이 KISA의 진단이다. 이 팀장은 대응 패러다임을 기존의 차단(조치) 중심에서 ‘관리 중심’으로 바꿔야한다고 조언했다. 그는 “해커는 여러 프로세스와 과정이 필요한데 해커의 해킹 중간 단계별 위협을 식별하는 체계가 부족하다”며 “방어자가 해킹과정 중간에 개입하는 노력이 필요하다”고 강조했다.
또 “해커는 해킹 과정에서 여러군데 거점을 만들어 놓는다”며 “악성코드가 감염된 시스템이 확인될 경우 단순히 포맷 등 조치하는 것 말고도 식별과 추적, 사후 모니터링 등의 과정을 반복적으로 거쳐야 한다”고 설명했다.