(출처=SK쉴더스)

SK쉴더스 “침해사고 대응, 복구보다 침투 경로 조사가 핵심”

By곽중희

침해사고 대응의 핵심은 빠른 복구만이 아니다. 공격자가 처음 들어온 경로와 내부 이동 방식을 확인하지 않으면 같은 공격이 반복될 수 있기 때문이다.

SK쉴더스는 침해사고 대응 전문팀 탑서트(Top-CERT)의 기술 리포트를 통해 사고 이후 원인 규명의 필요성을 제시했다. 리포트에는 메모리 포렌식으로 랜섬웨어 복구 키를 찾은 사례와 삭제된 파일 흔적으로 개인정보 유출 범위를 특정한 사례 등이 담겼다. 회사는 실제 침해사고 조사 사례를 바탕으로 리포트를 구성했다고 18일 밝혔다.

과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면, 국내 침해사고 신고 건수는 2023년 1277건에서 2025년 2383건으로 늘었다. SK쉴더스는 침해사고가 늘면서 사고 원인과 확산 경로를 분석하는 역량이 중요해졌다고 설명했다.

리포트에는 탑서트가 수행한 침해사고 조사 사례를 재구성한 내용이 담겼다. 랜섬웨어로 결제 시스템망이 암호화된 온라인 결제 서비스 기업 사례에서는 백업본까지 삭제된 상황이 제시됐다. 탑서트는 시스템 전원이 유지된 상태에서 메모리 덤프를 확보했다. 이후 공격자가 비트로커(BitLocker)를 사용해 디스크를 암호화한 사실을 확인하고 메모리에 남아 있던 48자리 복구 키를 추출했다. 이를 통해 공격자에게 대가를 지불하지 않고 원본 데이터를 복구했다.

비트로커는 마이크로소프트 윈도 운영체제에서 쓰는 디스크 암호화 기능이다. 정상 보안 기능이지만 공격자가 악용하면 시스템을 잠그는 랜섬웨어 수단으로 쓰일 수 있다.

개인정보 유출 조사에서는 삭제된 흔적을 복원해 피해 규모를 줄여 잡은 사례가 나왔다. 고객 정보 100만건을 보유한 이커머스 기업은 관리자 계정 탈취와 개인정보 유출 정황을 확인했지만 공격자가 로그를 삭제해 유출 범위를 특정하지 못했다. 탑서트는 디스크 포렌식으로 삭제된 압축 파일 흔적을 복구했다. 파일명과 생성 규칙을 분석해 공격자가 침투 기간 동안 로그 파일을 수집하고 탈취한 사실을 확인했다. 조사 결과 유출 데이터는 전체 고객 정보가 아니라 일부 고객 데이터 5000건으로 파악됐다. 개인정보는 마스킹 처리돼 있었다.

포렌식은 사고가 발생한 시스템의 저장장치, 로그, 네트워크 기록을 분석해 침해 원인과 피해 범위를 확인하는 조사 기법이다. 삭제된 파일이나 공격자가 남긴 흔적을 복원하는 데 쓰인다.

반복 랜섬웨어 감염 사례는 단순 복구의 한계를 보여준다. 한 제조 기업은 제조 공정망과 업무망이 동시에 랜섬웨어에 감염되자 액티브 디렉터리(AD) 서버를 감염 매개체로 보고 PC 포맷과 백업본 복구를 진행했다. 그러나 서비스 재개 뒤 공격자는 다시 AD 관리자 계정을 탈취했다. 이후 5일간 4차례에 걸쳐 2차, 3차 공격이 이어졌다.

탑서트는 AD 서버 접속 기록과 인프라를 조사해 외부 웹 서버가 재침입 거점으로 쓰였다는 점을 확인했다. 공격자는 웹 서버에 올려 둔 웹셸을 통해 재침입하고 관리자 권한을 탈취했다. 웹셸은 공격자가 웹 서버에 심어 두고 원격 명령을 실행하는 악성 파일이다. 탑서트는 해당 웹 서버의 외부 접근을 차단하고 관리형 탐지·대응(MDR)을 도입했다. MDR은 전문 보안 조직이 위협을 실시간으로 탐지하고 대응하는 관리형 보안 서비스다.

리포트는 이 사례에서 업무망과 운영기술(OT)망이 단일 AD로 묶여 있었다고 설명했다. AD 권한이 탈취되면 망분리 효과가 약해질 수 있다. 탑서트는 공격자의 내부 이동을 탐지하고 핵심 OT망으로 랜섬웨어가 확산되는 것을 차단했다고 설명했다.

협력업체와 연결된 사고에서는 조사 권한의 한계가 문제로 제시됐다. 물류기업의 데이터 탈취 게시글이 다크웹에 올라왔고 협력업체와 공유하던 파일전송프로토콜(FTP) 서버가 유출 통로로 확인됐다. 다만 해당 기업은 협력업체 시스템을 직접 조사할 권한이 없어 사고 전모를 파악하기 어려웠다.

탑서트는 FTP 서버에 남은 흔적을 분석해 데이터 반출 때 쓰인 난독화 스크립트를 찾았다. 스크립트를 역분석해 공격자 소유 클라우드 저장소 주소와 접근 키를 확인했다. 이후 유출 데이터를 확인해 피해 규모를 특정하고 공격자가 사용한 악성코드, 해킹 도구, 협력업체 내부망 스캐닝 결과를 분석했다.

SK쉴더스는 침해사고 조사가 원인 규명, 피해 범위 확정, 서비스 안정성 확보, 재발 방지 대책 수립으로 이어진다고 설명했다. 사고 이후 조사 결과를 보안 체계에 반영해야 같은 취약점이 반복해서 악용되는 것을 줄일 수 있다는 설명이다.

김병무 SK쉴더스 사이버보안부문장 부사장은 “기업의 보안 경쟁력은 공격을 얼마나 잘 막느냐뿐 아니라 사고 발생 이후 얼마나 신속하고 정확하게 대응하느냐에 의해 결정된다”며 “침해사고 조사는 단순한 사고 수습 비용이 아니라 기업의 핵심 자산과 브랜드 신뢰를 지키기 위한 필수 투자”라고 말했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

곽중희

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40