[CCTV뉴스=최형주 기자] SK인포섹 이큐스트(EQST) 그룹이 17일 ‘2019년 상반기 보안 TREND 리뷰 및 CLOUD 보안’을 주제로 미디어 간담회를 열고, AD서버를 노린 공격과 CLOUD 보안 위협에 대해 발표했다.
EQST(Experts, Qualified Security Team)는 지능형 위협에 대응하기 위한 SK인포섹의 보안 전문가 그룹이다. ‘EQST Lab’, ‘침해사고 대응팀’, ‘전략해킹팀’, ‘취약점 진단팀’의 총 4개 팀으로 구성돼 국내외 기업들의 보안 사항을 관제하고 대응한다.
먼저 김성동 EQST 침해사고대응팀장은 올 상반기 탐지된 악성 메일 건수가 17만여 건임을 밝히며 작년 한 해 동안 약 16만여 건의 악성 메일이 탐지된 것을 고려할 때, 올해 악성 메일 공격은 전년 대비 2배 이상이 될 것이라고 내다봤다.
김 팀장은 “이러한 이메일의 목적은 랜섬웨어와 채굴형 악성코드 설치”이며, “특히 올해는 윈도우 시스템 관리도구인 AD(Active Directory)서버를 장악하려는 시도가 많아져 피해 확산이 우려 된다”고 밝혔다.
발표에 따르면 AD서버가 장악당할 경우 내부망 권한이 넘어가 공격자가 윈도우 SMB(파일 공유 프로토콜)을 사용해 악성 파일을 기업 내부에 퍼뜨리게 되며, 현재 이 방식의 공격이 마치 공식처럼 이뤄지고 있다는 설명이다.
김성동 팀장은 “AD에 의해 해킹당한 모 기업의 경우 먼저 높은 지위의 인물을 공격했고, 이어 DB서버와 메일 서버 등으로 범위를 확대해 갔다”며 “AD서버가 장악당하는 것은 도둑에게 아파트 전 세대의 출입문 열쇠를 전부 넘겨주는 것과 같다”고 강조했다.
이어 김 팀장은 EQST가 실제 침해사고 조사를 맡았던 공격, ‘CHAD’에 대해 설명했다. CHAD란 해커가 사용한 일종의 패스워드인 ‘chapchap’의 앞 두 글자와 AD서버의 합성어로, 작년 처음 발견된 이후 올해 초까지 4개의 기업이 CHAD공격에 피해를 입었다는 설명이다.
김 팀장은 CHAD 공격에 피해를 입은 기업들의 공통점이 중국 법인을 갖고 있는 것으로 미루어 볼 때 해당 공격이 중국발일 가능성이 크다고 밝혔다. 특히 모 반도체회사의 경우 공정프로그램을 사용하기 위해 보안이 취약한 윈도우XP를 OS로 이용하고 있는데, 이가 공격당해 일주일 넘게 공정이 멈추기도 했다고 설명했다.
끝으로 EQST그룹은 ‘클라우드 보안 위협’에 대한 발표를 통해 클라우드에 여러 애플리케이션을 편리하게 배치하기 위한 몇몇 컨테이너(Container) 기술의 보안 취약점을 설명하고, 공격 시나리오를 시연하기도 했다.
클라우드 보안 위협은 크게 데이터 유출·계정 탈취·자원 착취의 세 개 유형으로 분류되며, 해커가 실제로 기업 클라우드에 침투해 랜섬웨어를 감염시키거나 채굴형 악성코드를 설치한 사례도 있다고 밝혔다.
