요즘, 기업을 위협하는 3가지 사이버공격 수법

– 악성 이메일, 공급망 위협, 망분리 허점 공격

올해 상반기 기업 대상 주요 사이버위협 세가지로 ‘악성 이메일’, ‘공급망 위협’, ‘망분리’가 지목됐다.

이재광 한국인터넷진흥원(KISA) 사이버침해대응본부 침해사고분석단 사고분석팀장은 올해 상반기에 발생한 주요 사이버위협 동향과 침해사고 사례 분석을 바탕으로 기업들이 이들 세 가지 위협에 특별한 관심을 기울여달라고 당부했다.

악성 이메일 위협 관련해 이 팀장은 “해킹 메일은 여전히 좋은 공격 수단”이라며 “기업이 방어하기에는 한계가 있다”고 말했다.

현재 사이버공격의 90%는 이메일로부터 시작된다는 분석이 많다. 악성 이메일 위협은 주로 메일 본문에 링크나 첨부파일을 삽입하는 방식으로 이뤄진다. 발신 도메인을 사칭하는 등 신뢰감을 유발할 수 있는 정보를 이용하거나 사용자들의 관심사를 악용하는 사회공학적기법을 사용한다. 이용자들이 악성 이메일을 열어 링크를 클릭하거나 첨부파일 다운로드를 유도한다.

올해 1월부터 최근까지도 악성 메일 유포 사례는 계속 이어지고 있는 상황이다.

공격자들은 교묘한 수법으로 사용자들이 신뢰감을 느끼게 만들어 정보를 입력하게 만든다. 예를 들어 이메일에 포함된 링크를 클릭하면 메일 로그인 창을 띄운다. 평소 구글 지메일을 자주 사용할 경우 구글 로그인 화면을 띄운다. 아이디, 패스워드를 틀리게 입력하면 오류창이 뜨기 때문에 사용자 신뢰성을 높이는 방식을 사용한다.

이 팀장은 “사용자들은 로그인창으로 나를 검증하고 보여준다는 느낌 때문에 더 신뢰하게 된다”라면서 “해커는 탈취한 계정을 통해 피해자 메일에 접속한 후 피해자와 평소에 주고받았던 메일주소를 추가로 수집하고, 그 사람들에게 다시 메일을 보낸다”고 설명했다.

이메일 본문에 삽입된 첨부파일을 클릭할 경우 악성코드가 설치될 수 있다. 최근에는 MS 오피스 프로그램의 하나인 엑셀을 이용한 공격이 많다. 매크로 기능이 실행되면 악성코드가 설치된다. 해커는 이 첨부파일을 누른 사용자 PC만 감염시키는 것이 아니라 액티브디렉토리(AD)와 같은 중앙관리 서버를 장악해 이와 연결된 PC와 서버에 악성코드를 설치한다.

이 팀장은 “해커는 한 사람 PC가 아니라 기업에서 사용하는 AD와 같은 중앙관리서버에 관심을 갖고 있다. AD를 장악하면 연결된 PC와 서버를 마음대로 할 수 있기 때문”이라며 “AD가 장악되면 기업의 모든 사용자 PC에 키로거 같은 악성코드를 설치해 기업 내부를 모니터링할 수 있다”고 지적했다.

공급망 공격(Supply Chain Attack) 역시 더욱 은밀하고 정교해지고 있다.

이같은 공격은 주요 기업들이 많이 사용하는 소프트웨어나 하드웨어 개발업체에 침투해 악성코드를 감염시키거나 백도어를 삽입한다. 소프트웨어 제품의 소스코드를 수정하고 업데이트 서버에 침투하기도 한다.

파트너와 고객사가 많은 IT 서비스 운영사, 솔루션 개발사들을 공격하는 이같은 방식은 더 큰 침해사고와 피해를 입힐 수 있다.

이 팀장은 “영세한 공급망 회사를 해킹하는 이유는 이들이 유지보수하는 고객 정보와 호스팅 정보 등을 확보할 수 있기 때문”며 “해커는 소스코드를 탈취해 제품 취약점을 찾고 해당 제품을 사용하는 기업 대상 공격에 이용한다”고 말했다.

공격자들은 파트너와 고객사가 많은 IT 서비스 운영사, 솔루션 개발사들을 공격해 이들 고객사 정보를 확보하다. 제품 소스코드를 탈취해 취약점을 찾아 해당 제품을 사용하는 기업 대상 공격에 이용한다. 공급망 공격은 더욱 은밀해지고 있다는 게 KISA 전문가의 분석이다.

망분리 위협은 관리 문제에서 나온다. 외부망과 분리된 내부망이나 폐쇄망 환경을 100% 안전하고 신뢰할 수 있는 공간으로 여겨서는 안된다.

망분리 환경을 운영하고 있는 곳들은 대개 망연계 솔루션을 운영하며 폐쇄망 내부 서버를 내부 관리시스템 페이지로 연결되도록 보안정책을 임의 변경하고 있어 내부망과 외부망 간 접점이 생성돼 있다. 얼마든지 공격자가 폐쇄망 환경에 침투할 수 있는 환경이다.

이 팀장은 “망분리를 완벽하게 유지하기란 어렵다”라면서 “(기업은) 비상시를 위해 길을 만들어 놓지만 해커는 그 길을 다 찾는다”고 경고했다.

“위협 전단계 지속 관리, 비정상 행위 식별 역량 필요”

이같은 정교한 사이버위협들로부터 피해를 방지하기 위해서는 기업들이 위협 ‘차단’ 중심에서 위협 ‘관리’ 중심 체계로 바꿔야 한다는 게 이 팀장의 조언이다. 위협 식별과 추적, 모니터링 과정을 지속적이고 반복적으로 거쳐야 한다는 것이다.

이 팀장은 “해커는 해킹 과정에서 여러 곳에 거점을 만들어 놓는다. 만일 악성코드가 감염된 시스템이 확인될 경우 단순히 포맷 등 조치하는 것 말고도 식별과 추적, 사후 모니터링 등의 과정을 반복적으로 거쳐야 한다. 빨리 식별하고 대응하는 반복 과정이 중요하다”라면서 “현재 기업들은 (위협관리의) 최초 단계와 최종 단계 모니터링에만 집중하고 있다”고 지적했다.

이어 “해킹 중간 단계에서도 위협을 식별하는 체계가 부족한 상황으로, 방어자가 해킹과정 중간에 개입해야 할 필요가 있다”며 “공격 과정에서는 많은 이벤트가 발생되는데, 공격을 판별하기 위해서는 평시에도 내부에서 발생하는 이벤트를 수집해 정상과 비정상을 구분하는 안목을 키우는 훈련이 필요하다”고 덧붙였다.

그는 “해커의 행위는 정상적인 이벤트와는 확실한 차이가 난다. 기업 내부에서 일어나는 행위에 대한 정상과 비정상을 가릴 수 있어야 한다. 어떤 행위가 일어나는지 평상시에 지켜보는 것이 중요하다”고 당부했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network