‘데이터베이스 테이블 삭제로 인한 홈페이지 내 업무 정지’
‘다량의 서버 정보 탈취 및 5만달러 요구 협박’
‘기업 프로젝트 내용물 제 3자에게 발송’
이 세가지 내용은 올해 상반기 기업들이 해커들로부터 입은 실제 내용들을 바탕으로 한다. 해커들에게 악성 이메일은 여전히 좋은 공격 수단이다. 아무리 좋은 보안 프로그램을 설치했어도 사용자가 직접 첨부파일을 열거나 개인정보를 입력하게끔 하는 공격이 이메일을 통해 이뤄지고 있어 주의가 필요하다는 주장이 제기됐다.
한국인터넷진흥원의 박진완 종합대응팀장과 이재광 사고분석팀장은 26일 강남 토즈스터디센터에서 '외부기관 사칭·도용 해킹메일 대응방안'과 '최근 침해사고 동향 및 고려사항'을 설명하며 기업에 주의 깊은 당부를 전했다.
박진완 팀장에 따르면 해킹 메일은 사용자가 클릭할 수 밖에 없도록 점점 고도화되고 있다. 정부 도메인을 사칭해 관련 기관 업무자들에게 메일을 보내거나 그럴듯한 도메인을 보내 이용자를 속이는 경우다. 최근엔 휴가철을 이용해 전자항공권을 사칭한 제목으로 ‘Koreanair', 'JEJUAIR' 등을 도메인으로 한 악성메일도 유포되고 있다. 사용자 입장에선 무시하고 넘어갈 수 없는 내용과 도메인들이다.
흔히 악성메일을 주의해야하는 이유로는 메일을 클릭할 때 악성프로그램이 설치되고 금전을 요구하는 ‘랜섬웨어’를 떠올린다. 물론 이런 공격도 있지만, 박 팀장은 “전체 해킹메일 중 실제 악성 프로그램이 들어있는 경우는 10%에 불과하며 90%는 첨부파일 등 링크만 첨부되어 있다”고 설명했다.
사용자가 이메일에 첨부된 첨부파일 내용을 확인하기 위해선 자신의 메일 계정 아이디와 비밀번호를 입력하라는 창이 뜬다. 이는 해커가 계정을 탈취하기 위한 목적으로 자신의 개인정보를 입력하도록 만든 수단이다. 사용자는 오히려 이런 과정을 ‘더 신뢰 가는’ 단계로 인식하고 계정에 로그인을 한다.
해커가 금전적인 목적이 아닌 개인PC의 메일 아이디와 비밀번호를 탈취하는 이유는 무엇일까? 크게 데이터베이스 목적과 AD서버 장악이라는 두가지 목적이 있다. 먼저는 피해자의 메일에 접속한 후 피해자가 주고 받은 메일주소를 추가로 수집해 그 사람들에게 다시 악성 메일을 보낸다. 광범위한 데이터베이스를 구축하는 셈이다.
첨부파일을 열어 감염이 되면 해커의 최종 목적은 개인 PC가 아닌 기업에서 사용하는 AD(Active Directtory)를 장악하는 것이다. AD는 중앙처리장치와 비슷한 역할을 하는 서버로, 수백대의 PC를 AD에 연결한 서버다. 쉽게 말하면 각 PC를 관리하는 중앙관리센터에 비유되는데, AD를 장악하면 이와 연결된 PC서버를 마음대로 할 수 있다. 기업들은 효율성을 위해 AD서버를 구축하고 있지만 보안은 섬세하지 못해 해커들의 타깃이 되고 있다.
이재광 사고분석팀장은 팀장은 “AD가 장악되면 기업의 사용자 PC 한대 한대 마다 악성코드를 설치하여 기업 내부를 모니터링할 수 있다”며 “해커가 AD를 장악했다는 건 기업의 심장을 가지고 나간 것과 같다”고 설명했다.
해커는 해킹 과정에서 거점을 들키지 않도록 여러 군데 설치해놓는 반면 기업에선 악성코드가 감염된 시스템이 확인될 경우 단순히 포맷을 하고 그치는 경우가 많다. 이에 기업들은 단계별 위협을 식별하는 체계를 갖춰야 한다는 주장이다.
이 팀장은 “현재 기업들은 최초단계와 최종단계 모니터링에만 집중해 악성 프로그램을 확인하고 있는데 해커는 여러군데 거점을 만들어 놓는다”며 “단순 포맷 말고 식별과 추적, 사후 모니터링이 중요할 뿐 아니라 방어자가 해킹 과정 중간에 개입하는 노력도 필요하다”“고 강조했다.
이어 “어떤 상태가 정상인지는 기업의 서버를 담당하는 운영자만이 알 수 있다”며 “평시에도 내부에서 발생하는 사건사고들을 수집해 ‘정상’과 ‘비정상’을 분리하는 안목을 키우는 훈련이 필요하다”고 말했다.
이안나 기자 lan@kukinews.com