기업보안 틈새 노리는 해커, "평상시 대비 해야"
상태바
기업보안 틈새 노리는 해커, "평상시 대비 해야"
  • 최형주 기자
  • 승인 2019.07.29 17:07
  • 댓글 0
이 기사를 공유합니다

악성 이메일로 기업 AD서버 공격, 망분리도 위험

[CCTV뉴스=최형주 기자] 개인정보 유출, 랜섬웨어로 인한 데이터 삭제, 데이터 탈취 후 협박 등 다양한 사이버 위협이 2019년에도 계속되고 있다.

한국인터넷진흥원(KISA)의 이재광 침해사고분석팀장은 2019년 상반기 주요 위협 사례로 ▲데이터베이스 삭제로 인한 홈페이지 업무 정지 ▲랜섬웨어로 인한 백업데이터 암호화로 복구 불가 문제 ▲서버 탈취 후 금품 요구 ▲정보 유출 ▲협박 메일 등을 꼽았다.

먼저 악성 이메일은 기업이 스스로 방어하기엔 한계가 있어 아직도 해커들의 좋은 공격수단으로 사용된다. 악성 이메일은 악성코드를 첨부파일로 심어 놓는 경우와 링크를 클릭해 위장된 사이트로 유도하는 방식을 주로 사용한다. 최근에는 MS오피스 엑셀의 매크로 기능을 이용한 악성코드를 유포 공격이 잦았다.

메일을 통해 개인 컴퓨터가 악성코드에 감염되면 해커는 개인 컴퓨터에 연결된 기업의 서버와 AD(Active Directory) 같은 중앙 관리 시스템을 장악해 기업의 기밀을 유출하는 등의 피해를 발생시킨다.

이재광 침해사고분석 팀장은 “AD는 기업에서 사용하는 수백 대의 PC가 연결된 중앙관리 서버”라며 “AD를 해커가 장악했다는 것은 기업의 심장을 해커가 가지고 나간 것과도 같다”고 강조했다.

공급망 위협은 해커가 2차 공격 대상을 찾기 위해 시도하는 방법이다. 해커는 대기업의 유지 보수를 담당하는 중소 공급망 기업을 해킹해 고객 정보와 호스팅(계정) 정보를 탈취한다.

해커는 이렇게 입수한 고객 정보를 기반으로 대기업의 서버에 바로 침투할 수 있고, 혹은 거래 파트너를 사칭해 기업의 정보를 배내기도 한다. 특히 납품 업체 제품의 소스코드가 해커에게 탈취당하면 해당 제품을 사용하는 기업들은 영문도 모르는 사태에서 속수무책으로 당할 수밖에 없다.

이 외에도 망분리의 헛점을 노린 공격도 빈번하게 발생하고 있다. 분리된 내부망은 이론적으로 외부와 단절되어 안전하게 보호되어야 하지만, 관리의 편의성을 위해 뚫어 놓은 구멍이 해커들의 먹잇감이 되고 있는 것으로 나타났다.

이재광 침해사고분석팀장은 “해커가 PC 한 대를 해킹하면 망분리 접점을 가장 먼저 찾으려 하고, 실제로도 손쉽게 찾아낸다”고 설명했다.

이재광 팀장은 상반기 주요 위협 3가지에 대해 “해커는 해킹 과정에서 많은 곳에 거점을 만들어 놓기 때문에 악성코드 감염 시 단순히 개인 컴퓨터를 포맷하는 것으로는 문제를 해결할 수 없다"며 "해커의 공격을 감지하면 추적과 모니터링을 통해 해커의 활동을 꾸준히 감시해야 한다"고 강조했다.

또한, 이재광 팀장은 “현재 기업은 최초단계와 최종단계 모니터링에 집중하고 중간 단계의 위협을 식별하는 체계가 갖추어져 있지 않다. 해커가 시스템에 침투를 하면 내부 구조를 파악하기 위해 수많은 이벤트를 발생시키기 마련인데, 이를 중간에 발견하는 것이 중요하다"고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.