"망할때까지 괴롭힐 것"…한 해커의 협박 메일

[아이뉴스24 최은정 기자] #한 영세 서비스업에 종사하는 직원 A씨는 다음과 같은 메일을 받았다.

OOO씨,아래 링크는 그룹웨어 자료 OO이다. https://mega.nz/#FINREAz...

자료OO의 모든 정보, 내용들은 OOOO과 관련된 민감한 정보들이다. 우리는 당신들의 체계를 손끔보듯 하지만 당신들은 우리에 대해 아는게 하나도 없다.

마지막으로 경고한다. 2월8일 오전 9시까지 응답이 없으면 우리는 모든 행동과 공격을 시작할 것이다. OOOO이 망할때까지 당신들을 괴롭히고 고객들을 괴롭힐것이다... 9시가 지나면 더이상의 메일이 없을것이며 합의가 없다.

이재광 KISA 사이버침해대응본부 사고분석팀장은 "맞춤법이 틀린 부분이 있지만 분명한 협박 메일"이라며 "해당 메일을 받은 이 기업은 곧바로 한국인터넷진흥원(KISA)에 신고해 금전 피해를 막을 수 있었다"고 사건을 설명했다.

이재광 팀장은 "해커가 이미 탈취한 기업정보를 인터넷 링크로 올려 누구나 기업 기밀을 다운로드 받을 수 있는 상태였다"며 "해당 기업이 메일을 받은 뒤 KISA에 신고했고, KISA가 일반 국민이 접속하지 못하도록 조치했다"고 말했다.

해당 사건은 ▲해커가 기업 홈페이지 취약점을 통해 서버로 침투 ▲서버 내 데이터 탈취 ▲홈페이지에 적힌 직원 메일계정으로 협박메일 발송 ▲금전 요구 순으로 진행됐다. 다행히 KISA 파견팀이 사건원인을 파악해 금전 피해 없이 마무리된 경우다.

올들어 상반기 '공급망 위협' 역시 더 교묘해 졌다.

이 팀장은 "최근 공급망 공격은 주로 영세한 IT서비스 운영·솔루션 개발 기업 대상으로 이뤄지고 있다"며 "실제 사고 현장에 나가보면, 웹으로 관리하는 유지·보수 고객 정보(연락처, 계정 등)를 모두 해커가 보고 있다"고 말했다.

영세 기업이 비교적 규모가 큰 기업 IT서비스·솔루션 유지·보수를 담당하고 있다는 점을 악용한 것. 해커는 보안이 취약한 영세기업에 먼저 잠입해 해당 파트너사·고객사 정보를 탈취한다.

또 제품 소스코드를 확보해 취약점을 찾고, 이를 사용하는 중견·대기업을 공격하기도 한다. 원본 소스코드는 보편적으로 SVN서버, 지아이티(git)·깃허브(GitHub)에 저장된다. 이를 공격해 소스코드를 탈취하는 것.

이 같은 공격에 대응, 위협 '차단·조치' 중심에서 '관리' 중심으로 보안 중심이 바뀌어야 한다는 지적이다.

이 팀장은 "현재 기업은 (해킹 사고) 최초·최종 단계 모니터링에만 집중하는 경향이 있다"며 "사고 파악 후에도 포맷 등 단순한 조치만 취할 게 아니라 식별과 추적, 사후 모니터링 등 과정을 반복적으로 거쳐 여러 이벤트에 대한 안목을 키워야 한다"고 강조했다.

이와 관련 최근 랜섬웨어 공격을 당한 한 기업을 사례로 들었다. 해커는 기업 서버를 공격할 때 일반적으로 여러 개의 거점을 만든다. 한 거점이 발견돼 조치가 취해지면 다른 거점을 이용해 공격할 수 있기 때문이다. 즉 공격 성공률을 높이는 것.

하지만 해당 기업은 공격 당한 PC만 포맷했고, 혹여 존재할 지 모르는 거점을 찾으려는 노력을 하지 않아 결국 해커는 들키지 않은 거점을 통해 기업 데이터를 탈취했다는 설명이다. 그 후에도 별도 공격을 감행할 목적으로 거점을 추가로 만든 것으로 나타났다.

이 팀장은 "해킹을 단계별로 나눠 식별해야 하는데 이러한 체계가 부족했던 것"이라며 "방어자가 해킹과정 중간에 개입하는 노력이 필요하다"고 말했다.

이어 "기업은 평상시에도 내부에서 발생하는 이벤트를 수집해 정상과 비정상을 분리하는 안목을 키우는 훈련이 필요하다"며 "관련 이벤트는 기업 서버 담당자·운영자만 알 수 있는 것이어서 정부가 따로 가이드를 줄 수는 없다"고 덧붙였다.

식별·추적·사후 모니터링 필요 …이재광 KISA 사이버침해대응본부 팀장