경기도 성남시 판교 본사서 EQST그룹 간담회 열어
상반기 악성 메일 17만 건 탐지..랜섬웨어 피해 우려
인더뉴스 이진솔 기자ㅣ‘견적서’나 ‘계약서’ 등으로 위장한 해킹 메일로 인한 보안사고가 빈번한 것으로 나타났다.
SK인포섹은 지난 17일 경기도 성남시 판교 본사에서 이큐스트(EQST)그룹 미디어 간담회를 열고 이메일과 액티브 디렉토리(AD) 서버를 노린 사이버 공격 위험성 문제를 발표했다고 18일 밝혔다.
EQST는 자체 조사 결과를 인용해 올해 상반기 발생한 해킹 사고 중 이메일이 최초 침입 경로였던 사례가 35%에 달한다고 설명했다. 소프트웨어와 서버 보안 취약점, 보안 정책 미설정으로 인한 사고는 각각 21%로 나타났다.
이메일 공격은 제목을 견적서, 대금청구서, 계약서 등으로 꾸며 수신자가 확인하도록 유도하는 방식을 취했다. 또한 메일 제목에 일련번호처럼 숫자를 붙여 보안 시스템을 우회하는 사례도 발견됐다.
발표를 맡은 김성동 EQST 침해사고대응팀장은 “올해 상반기에 탐지된 악성 메일 건수가 17만 1400건이며 이는 지난해 탐지한 16만 3387건을 상회한다”며 “남은 하반기를 고려하면 악성 메일 공격이 지난해보다 2배 이상 늘어날 것”이라고 말했다.
전에는 이메일로 기업 시스템에 침투한 뒤 랜섬웨어에 감염시키거나 채굴형 악성코드를 심는 경우가 많았다. 올해에는 AD 서버를 장악해 피해를 키우려는 시도가 늘었다.
AD는 윈도우 시스템 관리 도구다. 이를 이용하면 다수 시스템 관리자 계정과 설정, 정책 배포를 효율적으로 관리할 수 있다. 반면 AD 서버가 공격자에게 장악되면 내부망 권한도 함께 넘어간다. 이때 공격자는 윈도우 파일 공유 프로토콜(SMB) 기능으로 악성 파일을 여러 곳에 보낼 수 있다.
김성동 팀장은 “최초 이메일로 침투해 AD 서버를 장악하고 윈도우 SMB 기능으로 여러 시스템에 악성 파일을 전파하는 행위가 공식처럼 이뤄지고 있다”면서 “AD 서버가 장악되는 것은 마치 도둑에게 아파트 전 세대 출입문 키를 통째로 주는 것과 같다”고 말했다.
그러면서 EQST가 실제로 침해사고 조사를 맡았던 ‘CHAD’라는 공격을 설명했다. 이는 공격자가 쓴 패스워드 ‘chapchap’ 앞 두 글자와 AD를 합한 단어다. 지난해 발견된 CHAD 공격은 이메일 침투, AD서버 장악, SMB 전파 등 대규모로 이뤄졌다. 올해 초까지 4개 기업에 피해를 줬다.
김성동 팀장은 “무심코 열어본 이메일이 큰 피해를 줄 수 있다”며 “이메일 공격을 효과적으로 차단할 수 있는 전용 솔루션을 도입할 필요가 있으며, 이와 함께 회사 임직원이 이메일 공격에 경각심을 갖도록 모의 훈련을 지속해야 한다”고 말했다.
한편, EQST그룹은 이날 간담회에서 클라우드 보안 위협도 발표했다. 클라우드 컨테이너 기술이 갖는 보안 취약점을 설명하고 이를 이용한 가상 공격 시나리오를 시연했다. 실제로 이러한 공격 시나리오를 활용해 해커가 기업 클라우드에 침투한 사례도 있다.
해커는 랜섬웨어나 채굴형 악성코드를 설치했다. 한 반도체 회사는 일주일가량 공정이 멈추는 피해를 입었다. SK인포섹은 올해 상반기에 클라우드 보안 가이드를 두 건 배포했다. 하반기에도 한 번 더 발간할 예정이고 사물인터넷(IoT) 진단 방법론 등 다른 보안 가이드도 제공할 계획이다.
