"해킹사고 주범 ‘견적서 e메일’ 주의"

SK인포섹 보안그룹 간담회
해킹사고, e메일 침투가 35%
랜섬웨어 악성코드 유형 많아 PC 여러대에 악성파일 뿌리는 AD서버 장악시도도 최근 증가

#. 국내기업 A사 해외 지사는 올해 랜섬웨어에 감염돼 낭패를 봤다. 랜섬웨어는 사용자 저장장치를 마비시키고 해커에게 돈을 주면 풀어주는 악성 프로그램이다. A사는 해커에게 비트코인을 송금하고 전산시스템 일부만 겨우 복구했다.

원인은 B과장이 열어본 이메일이었다. '견적서 보냅니다'라는 제목의 이메일 첨부파일에 악성코드가 숨어있었다.

SK인포섹은 지난 17일 경기도 성남 판교 본사에서 기자간담회를 열고 "올 상반기 1500여개 고객사들에게 발생한 해킹사고중 이메일을 통해 침투한 사례가 35%에 이른다"고 밝혔다. 소프트웨어와 서버 보안 취약점, 보안정책 미설정 등으로 인한 해킹사고도 21%였다.

SK인포섹의 보안 전담조직 EQST그룹의 김성동 침해사고대응팀장은 "올해 상반기에 탐지한 악성 메일건수가 17만1400건으로 지난 한해 탐지건수(16만3387건)를 웃돌았다"면서 "하반기까지 고려하면 한해 악성메일 공격이 전년 대비 2배 이상 늘어날 것으로 본다"고 말했다.

이메일 공격에 쓰인 제목도 패턴이 있었다. 공격에 가장 많이 쓰인 제목 키워드중 '견적서'가 가장 많았고 '대금 청구서', '계약서', '입고관리대장' 등이 뒤를 이었다. '반출신고서', '채용의뢰', '국세청총장', '증명서', '급여명세서' 등도 악성코드 이메일로 쓰였다. 메일 제목에 일련번호처럼 숫자를 붙여 보안시스템을 우회하는 사례도 나타났다.

악성코드 유형으로는 랜섬웨어가 38%로 가장 많은 비중을 차지했다. 파일을 열면 PC성능을 저하시키는 트로이목마형 악성코드도 28%였고, 타인의 PC를 암호화폐 채굴기로 쓰도록 하는 채굴형 악성코드가 24%, 해커 침투를 위한 길을 열어놓는 백도어형도 9%를 차지했다.

특히 올해에는 이메일을 통한 침입 강도도 높아졌다. 종전엔 랜섬웨어나 채굴형 악성코드를 심어놨다면 올해 들어서는 여러대의 사용자 PC계정을 총괄하는 액티브 디렉토리(AD) 서버를 장악하려는 시도가 많은 것으로 나타났다. AD를 이용하면 다수 시스템의 관리자 계정과 설정, 정책 배포 등을 효율적으로 관리할 수 있다.

공격자가 AD서버를 장악하면 내부망 관리 권한을 가지게 된다. 권한을 확보하면 윈도우 파일공유프로토콜(SMB) 기능을 이용해 악성파일을 한번에 여러곳에 뿌릴 수있다.

김성동 팀장은 "최초 이메일로 침투해 AD서버를 장악하고, 윈도우SMB 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 공식처럼 이뤄지고 있다"면서 "AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다"라고 말했다.

ksh@fnnews.com 김성환 기자