[아이뉴스24 최은정 기자] 악성 이메일을 통한 사이버 공격이 기승을 부리고 있어 주의를 요한다.
지난 2015년부터 매년 평균 30%씩 증가하고 있는 것. 올해는 상반기 공격 수만 이미 전년 수준을 넘어선 상태. 하반기까지 더하면 전년대비 2배 이상 될 것으로 예상됐다. 철저한 보안관리 등이 필요하다는 지적이다.
김성동 SK인포섹 침해사고대응 차장은 17일 경기 성남 판교 본사에서 열린 이큐스트(EQST) 그룹 미디어 간담회에서 이메일을 통한 사이버 공격이 급증하고 있다고 밝혔다.
SK인포섹은 2년 전 화이트 해커 전문가 조직 그룹 'EQST 랩'을 만들었다. 현장투입·조사대응·취약점보안 팀 등 약 100여명이 고객사 1천500개 기업을 관제하고 있다. 하루에 약 40억 개 되는 이벤트·로그를 처리하며 주로 웹공격을 탐지하고 이를 조기 조치하는 데 주력하고 있다.
![지난 17일 김성동 SK인포섹 침해사고대응 차장이 경기 성남 판교 본사에서 열린 이큐스트(EQST) 그룹 미디어 간담회에서 발표하고 있다. [사진=SK인포섹]](https://img-lb.inews24.com/image_gisa/201907/1563411188549_1_095602.jpg)
EQST 자체 조사결과에 따르면 올해 상반기 발생한 해킹 사고 중 이메일이 최초 침입 경로가 된 사례는 전체의 35%에 달했다. 소프트웨어(SW) 및 서버의 보안 취약점, 보안 정책 미설정 등으로 인한 해킹사고는 각각 21%로 뒤를 이었다.
이메일 공격은 주로 '견적서', '대금청구서', '계약서' 등 수신자 메일 확인을 유도하는 사례가 많았고, 메일 제목에 일련번호처럼 숫자를 붙여 보안 시스템을 우회하는 사례도 발견됐다.
김성동 팀장은 "올해 상반기에 탐지된 악성 메일 건수는 총 17만1천400건으로 이는 작년 한해 동안 탐지한 16만3천387건을 상회한다"고 강조했다.
특히 이메일을 경로로 기업 시스템에 침투한 뒤 랜섬웨어에 감염시키거나, 채굴형 악성코드를 심는 경우도 많았다. 올해는 피해를 확산시키기 위해 중앙관리(AD) 서버를 장악하는 시도 역시 늘고 있다는 진단이다.
AD는 '윈도 시스템 관리 도구'로 이를 이용하면 여러 시스템의 관리자 계정과 설정, 정책 배포 등을 효율적으로 관리할 수 있다. 반면 AD서버가 공격자에게 장악될 경우, 내부망 권한도 함께 넘겨주게 돼 피해가 커진다. 권한을 확보한 공격자는 윈도 파일 공유 프로토콜(SMB) 기능을 이용해 악성파일을 여러 곳에 전파할 수 있기 때문이다.
김 팀장은 "이메일로 침투한 뒤 AD서버를 장악하고, 윈도 SMB 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 마치 공식처럼 이뤄지고 있다"며 "AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다"고 말했다.
EQST가 실제 침해사고 조사를 맡았던 '채드(CHAD)' 공격에 대한 사례도 들었다. CHAD는 지난해 처음 발견된 공격 유형으로 이메일 침투, AD서버 장악, SMB 전파 등 대규모 공격의 공통 분모를 갖고 있고 올 초까지 4개 기업에 연달아 피해를 입었다.
김 팀장은 "회사에서 무심코 열어본 이메일이 큰 피해를 줄 수 있다"며 "이메일 공격을 효과적으로 차단할 수 있는 전용 솔루션을 도입할 필요가 있고, 회사 임직원들이 이메일 공격에 대한 경각심을 가질 수 있도록 지속적인 모의 훈련이 병행돼야 한다"고 강조했다.
한편, EQST그룹은 이날 간담회에서 클라우드 보안 위협에 대해서도 발표했다. 클라우드에 여러 애플리케이션을 편리하게 배치하기 위해 사용하는 몇몇 컨테이너 기술의 보안 취약점을 설명하고, 이를 이용한 가상의 공격 시나리오를 시연하기도 했다.
실제 이 같은 공격 시나리오를 활용 해커가 기업 클라우드에 침투해 랜섬웨어를 감염시키거나, 채굴형 악성코드를 설치한 사례도 있는 것으로 나타났다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기