IT·과학 산업 경제
정치 사회 문화·생활
전국 글로벌 연예·스포츠
오피니언 포토·영상 기획&시리즈
스페셜&이벤트 포럼 리포트 아이뉴스TV

"망할때까지 괴롭힐 것"…한 해커의 협박 메일

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

식별·추적·사후 모니터링 필요 …이재광 KISA 사이버침해대응본부 팀장

[아이뉴스24 최은정 기자] #한 영세 서비스업에 종사하는 직원 A씨는 다음과 같은 메일을 받았다.

OOO씨,아래 링크는 그룹웨어 자료 OO이다. https://mega.nz/#FINREAz...

자료OO의 모든 정보, 내용들은 OOOO과 관련된 민감한 정보들이다. 우리는 당신들의 체계를 손끔보듯 하지만 당신들은 우리에 대해 아는게 하나도 없다.

마지막으로 경고한다. 2월8일 오전 9시까지 응답이 없으면 우리는 모든 행동과 공격을 시작할 것이다. OOOO이 망할때까지 당신들을 괴롭히고 고객들을 괴롭힐것이다... 9시가 지나면 더이상의 메일이 없을것이며 합의가 없다.

이재광 KISA 사이버침해대응본부 사고분석팀장은 "맞춤법이 틀린 부분이 있지만 분명한 협박 메일"이라며 "해당 메일을 받은 이 기업은 곧바로 한국인터넷진흥원(KISA)에 신고해 금전 피해를 막을 수 있었다"고 사건을 설명했다.

이재광 팀장은 "해커가 이미 탈취한 기업정보를 인터넷 링크로 올려 누구나 기업 기밀을 다운로드 받을 수 있는 상태였다"며 "해당 기업이 메일을 받은 뒤 KISA에 신고했고, KISA가 일반 국민이 접속하지 못하도록 조치했다"고 말했다.

해당 사건은 ▲해커가 기업 홈페이지 취약점을 통해 서버로 침투 ▲서버 내 데이터 탈취 ▲홈페이지에 적힌 직원 메일계정으로 협박메일 발송 ▲금전 요구 순으로 진행됐다. 다행히 KISA 파견팀이 사건원인을 파악해 금전 피해 없이 마무리된 경우다.

이재광 KISA 사이버침해대응본부 사고분석팀장의 모습. [사진=KISA]
이재광 KISA 사이버침해대응본부 사고분석팀장의 모습. [사진=KISA]

올들어 상반기 '공급망 위협' 역시 더 교묘해 졌다.

이 팀장은 "최근 공급망 공격은 주로 영세한 IT서비스 운영·솔루션 개발 기업 대상으로 이뤄지고 있다"며 "실제 사고 현장에 나가보면, 웹으로 관리하는 유지·보수 고객 정보(연락처, 계정 등)를 모두 해커가 보고 있다"고 말했다.

영세 기업이 비교적 규모가 큰 기업 IT서비스·솔루션 유지·보수를 담당하고 있다는 점을 악용한 것. 해커는 보안이 취약한 영세기업에 먼저 잠입해 해당 파트너사·고객사 정보를 탈취한다.

웹 상에서 고객사 정보를 저장·관리하고 있는 모습. [제공=KISA]
웹 상에서 고객사 정보를 저장·관리하고 있는 모습. [제공=KISA]

또 제품 소스코드를 확보해 취약점을 찾고, 이를 사용하는 중견·대기업을 공격하기도 한다. 원본 소스코드는 보편적으로 SVN서버, 지아이티(git)·깃허브(GitHub)에 저장된다. 이를 공격해 소스코드를 탈취하는 것.

이 같은 공격에 대응, 위협 '차단·조치' 중심에서 '관리' 중심으로 보안 중심이 바뀌어야 한다는 지적이다.

이 팀장은 "현재 기업은 (해킹 사고) 최초·최종 단계 모니터링에만 집중하는 경향이 있다"며 "사고 파악 후에도 포맷 등 단순한 조치만 취할 게 아니라 식별과 추적, 사후 모니터링 등 과정을 반복적으로 거쳐 여러 이벤트에 대한 안목을 키워야 한다"고 강조했다.

이와 관련 최근 랜섬웨어 공격을 당한 한 기업을 사례로 들었다. 해커는 기업 서버를 공격할 때 일반적으로 여러 개의 거점을 만든다. 한 거점이 발견돼 조치가 취해지면 다른 거점을 이용해 공격할 수 있기 때문이다. 즉 공격 성공률을 높이는 것.

하지만 해당 기업은 공격 당한 PC만 포맷했고, 혹여 존재할 지 모르는 거점을 찾으려는 노력을 하지 않아 결국 해커는 들키지 않은 거점을 통해 기업 데이터를 탈취했다는 설명이다. 그 후에도 별도 공격을 감행할 목적으로 거점을 추가로 만든 것으로 나타났다.

 [제공=KISA]
[제공=KISA]

이 팀장은 "해킹을 단계별로 나눠 식별해야 하는데 이러한 체계가 부족했던 것"이라며 "방어자가 해킹과정 중간에 개입하는 노력이 필요하다"고 말했다.

이어 "기업은 평상시에도 내부에서 발생하는 이벤트를 수집해 정상과 비정상을 분리하는 안목을 키우는 훈련이 필요하다"며 "관련 이벤트는 기업 서버 담당자·운영자만 알 수 있는 것이어서 정부가 따로 가이드를 줄 수는 없다"고 덧붙였다.

최은정 기자 ejc@inews24.com


주요뉴스


공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.
alert

댓글 쓰기 제목 "망할때까지 괴롭힐 것"…한 해커의 협박 메일

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기

BJ과즙세연 TIMELINE

BJ과즙세연과 함께 걸어가는 방시혁 회장 8일 유튜브 채널 'I am WalKing'이 공개한 영상에서 방시혁 하이브 의장이 지난 7월 미국 LA 베벌리힐스에서 유명 인터넷방송인 BJ과즙세연과 함께 걸어가는 모습이 포착됐다. 사진은 유튜브 영상 캡처.

  • 다음 뉴스에서 아이뉴스24 채널 구독 하고 스타벅스 커피 쿠폰 받으세요!

뉴스톡톡 인기 댓글을 확인해보세요.