“너희 회사가 문 닫을 때까지 괴롭힐 것이다”

#아래 링크는 그룹웨어 자료 000다.
http://abcd.ef

자료 000 모든 정보, 내용들은 000과 관련된 민감한 정보들이다. 손자병법에도 적을 알려면 적에 대해 잘 알아야 한다고 했다. 우리는 당신들 체계를 손금 보듯 하지만 당신들은 우리에 대해 아는 게 하나도 없다.

마지막으로 경고한다. 0월 0일 오전 9시 까지 응답이 없으면 우리는 이전에 말한 대로 모든 행동과 공격을 시작할 것이다. 000이 망할 때까지 거머리처럼... 마지막까지 따라 다닐 것이며 당신들을 괴롭히고 고객들을 괴롭힐 것이다. 9시가 지나면 더 이상 메일이 없을 것이며 합의는 없다.

[이뉴스투데이 송혜리 기자] 스릴러 영화 한 장면이 아니다. 실제 올 상반기에 한 기업에 날아든 메일이다.

29일 한국인터넷진흥원(KISA)은 우리 기업들이 악성 이메일·공급망 위협·망 분리 등을 통한 사이버 침해 사고에 노출돼있고 금전·소스코드 탈취 등 피해를 입고 있다고 밝혔다.

이재광 KISA 사고분석팀장은 “올 상반기만 해도 데이터베이스 삭제로 인한 홈페이지 업무 정지, 백업 데이터 암호화로 복구 불가, 운영서버 70여대 중 서버 정보 탈취·5만달러 요구 협박, 금전 요구 응하지 않거나 다른 방도를 취할 시 회사 폐업까지 공격 감행 협박, 해킹 통해 불법 접속된 사용자 메일함에 있는 프로젝트 내용물(기업 자산)이 유출된 후 제3자에게 발송 등 위협이 있었다”고 설명했다.

KISA에 따르면 사이버 침해 경로, 방법 등은 예측이 불가할 정도로 다양해졌다. 악성 이메일부터 소재 공급사 해킹을 통한 수요처 정보 탈취, 망 분리 시스템까지 침투하는 사이버 위협은 기업 내부 보안만 철저히 한다고 해서 해커를 방어할 수 있는 상황이 아닌 게 됐다.   

이 팀장은 “여전히 이메일은 해커에게 좋은 공격 수단으로 해커는 개인 PC에는 관심이 없다”며 “감염된 PC를 통해 기업 중앙관리(AD) 서버 탈취에 목적을 두는데, AD를 장악하면 기업 심장을 가지고 나간 것과 같다”고 말했다.

공급망 위협도 늘었다. IT 서비스 운영, 구매 파트너, 솔루션 개발사 등 소재·부품 공급사 정보 탈취는 제품을 공급받은 수요처 정보도 노출된다. 내 기업만 보안을 철저하게 했다고 해서 사이버침해 사고를 빗겨나갈 수 없는 것이다. 

또 외부 인터넷망과 기업 내 인터넷망을 분리해 외부 IP 유입을 차단하는 망분리도 100% 안전을 담보할 수 없다. 최근 망 분리를 적용한 기업에서도 사이버 침해 사고도 늘었기 때문이다.

이 팀장은 “망 분리를 하더라도 꼭 임의로 보안정책을 변경해 내·외부 망 간 접점이 생기게 해놓는다”며 “이렇게 편리를 위해 외부망을 내부 폐쇄 망으로 연결되는 부분을 만들어 놓으면, 그 점을 해커는 다 알고 있다”고 말했다.

이 팀장은 사이버 침해 사고에 대처하기 위해 사후 추적, 모니터링 과정 반복, 해킹과정 중간에 방어자가 개입하려는 노력, 내부 발생 이벤트와 특이 이벤트를 구분해내는 능력 학습 등이 필요하다고 제언했다. 

그는 “해커는 해킹 과정에서 여러 군데 거점을 만들어 놓기에 악성코드가 감염된 시스템이 확인된 경우 단순히 포맷 등 조치하는 것 말고도 식별과 추적, 사후 모니터링 등 과정을 반복적으로 거쳐야 한다”고 강조했다.

특히 “공격이 진행되는 동안 많은 이벤트 발생하기 때문에 평시에도 내부에서 발생하는 이벤트를 수집해 정상과 비정상을 분리하는 안목을 키우는 훈련이 필요하다”며 “해커 행위는 확실히 정상적인 이벤트와 차이가 있다”고 설명했다.

이 팀장은 “기업 내부에서 어떤 행위가 일어나는지 평상시에 지켜보는 것이 중요하다”고 강조했다.