요즘 해커들, '전방위 공격'이 대세다

최근 해커들의 공격이 중앙시스템 역할을 맡는 액티브디렉토리(AD), 여러 고객사에 유지보수(SI) 서비스를 제공하는 기업, 망분리시스템의 허점에 집중되고 있다는 전문가 의견이 나왔다.

특정 사용자나 기업에 대한 공격으로 그치지 않고, 연계된 시스템과 고객사 시스템, 외부로 연결된 인터넷 망 외 폐쇄망 정보 탈취까지 이어질 수 있는 해킹을 시도하고 있다는 것이다.

이재광 한국인터넷진흥원(KISA) 사이버침해대응본부 침해사고분석단장은 올해 발생한 주요 피해 사례를 소개하면서 기업 대상 주요 사이버 위협을 세 가지로 분류했다. 이재광 KISA 단장은 실제 기업에 보안 사고가 발생했을 때 사고 현장 조사를 책임지고 있다.

■이메일 공격, 감염 PC 연결된 AD 노린다

이 단장은 최근 보안 위협 관련 키워드로 먼저 악성 이메일을 꼽았다. 공격자가 공공기관, 지인, 기업 등을 사칭한 메일을 보내면서 사용자로 하여금 계정 정보를 입력하게 하는 URL을 첨부하는 식의 공격이 해당된다.

이재광 KISA 단장은 "메일에 악성코드 없이 링크만 첨부하는 식의 공격이 문제가 되고 있다"며 "링크를 클릭하면 문서를 볼 수 있다고 유도하고, 사용자 로그인 창으로 꾸민 웹페이지가 열리게 된다"고 말했다.

이어 "사용자 입장에선 문서를 바로 보여주지 않고 신원 검증을 위해 로그인을 요청하는 것처럼 비춰지기 때문에 메일 내용을 더 신뢰하게 된다"며 "해커가 획득한 계정 정보는 또 다른 공격에 악용된다"고 덧붙였다.

이메일을 통해 해킹에 성공하면 해커는 AD 접근을 시도하게 된다. AD는 어떤 기기나 계정을 사용하든 내부 시스템에 접속할 수 있게 해주는 인증, 데이터베이스(DB), 관리도구를 합친 개념이다. 다시 말해 AD와 연결된 기기를 해킹해 AD 접근까지 성공하면 전체 시스템에 대한 접근이 가능해진다.

이재광 단장은 "효율성을 위해 AD 기반의 중앙 관리 체계를 채택해 사용하지만, 보안을 고려하지 않으면 연결된 PC 한 대가 감염되는 것으로도 해커가 AD를 장악할 수 있게 된다"고 강조했다.

KISA는 AD 공격에 대한 공격 사례가 늘어나자 해커의 AD 장악 과정에 대한 보고서를 자체 운영하는 '보호나라' 홈페이지에 게시했다.

■소리 소문 없이 이뤄지는 '공급망 공격'

공급망 위협도 언급했다. 상대적으로 규모가 큰 고객사보다 영세하고 보안 조치가 미비한 SI 업체를 해킹하는 것이다. SI 업체의 고객사 정보와, 고객사 시스템에 사용되는 소프트웨어의 원본 코드를 탈취하는 게 일차적 목적이다.

이를 통해 SI 업체가 지닌 고객사의 시스템 정보를 획득하고, 시스템 내부에 접근할 수단을 구축하게 된다. 시스템 내 제품 취약점을 활용해 이를 공격에 활용하는 식이다.

이 단장은 "소스 코드가 주로 깃허브, 서브버전(SVN) 등에 보관돼 있다"며 "당하는 기업 입장에서는 자체적인 보안에는 문제가 없으니 해킹을 인지하지 못한다"고 설명했다.

■망 분리, 비교적 안전하지만 신뢰할 순 없다

이 단장은 마지막 보안 위협 키워드로 '망 분리'를 제시했다. 기업이 흔히 보안을 위해 업무 시스템을 폐쇄망과 인터넷망으로 분리해 구축하고 있다는 점에 주목한 것.

문제는 완벽한 망 분리가 실현될 수 없다는 점이다. 기업이 업무 상의 이유로, 또는 비상 시 작업을 위해 인터넷망과 폐쇄망 간 접점을 구축해둔다는 것. 이 접점이 해커의 공격 포인트로 악용될 여지가 있다.

관련기사

결과적으로 기업은 사고가 발생해도 인터넷망-폐쇄망 간 접점을 통해 데이터가 유출됐다는 것을 인지하지 못하고 인터넷망에서만 이상한 낌새를 찾고, 보안 조치를 취한다. 그러나 해커의 접근 포인트가 살아 있기 때문에 보안 사고가 또 다시 발생할 수 있다.

이 단장은 "기업은 망 분리가 돼 있으니 안심하고, 인터넷망 구간만 열심히 모니터링하는데, 내부망도 자세히 살펴볼 필요가 있다"며 "또 기업의 보안 조치가 사전 예방 차원의 초기 단계와 유출 여부를 판단 짓는 최종 단계에 집중되는 경향이 있는데, 중간 단계에 대한 보안 위협 식별이 필요하다"고 강조했다.