#올 상반기 A사는 해커에게 자사 운영서버 70여대 중 다수의 서버에서 정보를 탈취 당했다. 해커들은 탈취한 정보를 인질 삼아 회사에 5만달러를 요구하며 “망할 때까지 거머리처럼 따라다니며 회사와 고객들을 괴롭하겠다”고 수차례 협박했다. A사는 정부기관에 해킹 사실을 신고하고 수사기관과 공조해 해커의 공격을 피하고 피해를 예방할 수 있었지만, 회사 보안 정책을 처음부터 다시 손보는 계기가 됐다.

기업의 중요 정보를 탈취하고 금전을 탈취하는 사이버공격이 날이 갈수록 교묘해지고 있다.

29일 한국인터넷진흥원(KISA) 사이버침해대응본부 침해사고분석단은 올해 상반기 기업들에 피해를 입힌 주요 사이버침해 사례로 Δ악성 이메일 Δ공급망 위협 Δ망분리 기업의 폐쇄망 공격 등을 꼽았다.

KISA에 따르면 올 상반기 해킹을 통해 불법 접속한 사용자의 메일함에 있는 프로젝트 내용물을 유출한 뒤 제 3자에게 발송하거나, 해커가 탈취한 기업 정보를 인터넷 링크에 올려 누구나 접속하면 회사 기밀을 받을 수 있도록 만들어 놓고 해당 기업을 협박한 사례 등이 신고됐다.

악성 이메일은 여전히 해커들의 주 공격 수단이 되고 있다. 최근 해킹 메일은 수신자가 혹할 수 있는 내용으로 첨부파일이나 링크를 클릭하도록 유도한 뒤, 본인 확인을 위해 메일 아이디와 패스워드를 다시 입력하도록 하는 수법으로 메일 계정을 탈취하고 있다. 해커들은 이렇게 탈취한 계정을 통해 피해자 메일에 접속한 뒤, 피해자와 평소에 주고 받았던 메일주소를 추가로 수집해 다시 해당 주소로 악성메일을 보낸다.

특히 최근 메일을 이용한 해킹은 사용자의 PC만 감염시키는 것이 아니라 기업의 중앙관리서버(AD)를 노리는 것이 특징이다. AD서버가 감염되면 여기에 연결된 수십, 수백대의 PC를 해커 마음대로 드나들 수 있게 된다. 이를 통해 해커들은 사용자 PC마다 악성코드를 설치해 PC에 저장된 중요정보나 사용자가 직접 작업한 내용 등을 탈취하게 된다.

회사를 직접 공격하는 대신 IT서비스 운영이나 구매 파트너, 솔루션 개발사 등 기업에 서비스나 제품을 공급하는 영세한 회사들을 먼저 공격해 침입 루트를 뚫는 ‘공급망 공격’도 기업들을 괴롭히고 있다. 이를 통해 해커들은 기업에 공급되는 소프트웨어의 소스코드를 탈취해 제품의 취약점을 찾고, 이를 다시 사이버 공격에 이용하는 식으로 악용하고 있다.

일반적으로 강력한 보안수단으로 알려진 ‘망분리’도 안심할 수 없는 상황이다. 원칙상으로 망분리를 적용하면 인터넷에 연결된 외부망과 폐쇄망인 사내 업무망은 완벽히 분리돼야 한다. 하지만 운영상의 편의를 위해 임의로 외부망에서 업무망 관리시스템 페이지에 접속하는 루트를 두는 경우가 있는데, 이를 해커들이 가로채 내부망에 접속하는 사례가 나오고 있다.

보안 전문가들은 앞으로 외부 공격 뿐만 아니라 그동안 안심하고 있던 내부 네트워크나 사용자까지 아무것도 믿지 말고 위협요소로 간주하는 ‘제로 트러스트’ 보안 정책이 필요하다고 강조한다.

이재광 KISA 침해사고분석팀장은 “현재 기업들은 사이버침해의 최초단계와 최종단계 모니터링에만 집중하고 있다”며 “해킹 중간 단계별로 위협을 식별하고 즉시 대응할 수 있는 체계를 마련하는 노력이 필요하다”고 말했다.