# 해외지사에서 근무하는 A과장은 본사 정보보호팀에서 걸려온 전화를 받았다. 한국 본사가 사이버 공격을 당해 회사 기밀 정보가 유츨됐는데, 근원지가 A과장이 있는 해외지사인 것 같다는 연락이었다. 얼마 전 A과장이 ‘견적서 보냅니다’라는 제목의 이메일을 무심코 열어본 것이 화근이었다. 이메일을 열어보는 순간 침투한 공격자는 회사 AD서버를 장악하고 기업 정보를 빼간 것이다.
이메일을 통한 해킹 시도가 눈에 띄게 증가하고 있다. 이메일 첨부파일로 초기 침투한 후, 기업의 시스템 관리 도구인 AD를 장악, 그 후 파일 공유 프로토콜 기능을 활용해 곳곳에 악성 파일을 전파시키는 방법이다. 2017년 접속만 해도 감염된다는 '워너크라이 랜섬웨어'가 윈도우 네트워크 파일 공유 프로토콜(SMB) 취약점을 이용했듯, 이메일을 통해 초기 침투한 공격자가 비슷한 방법으로 기업 내부 관리시스템을 감염시키는 방식이다.
SK인포섹은 17일 경기도 성남시 판교본사에서 이큐스트 그룹 미디어 간담회를 열고, 이메일과 AD서버를 노린 사이버 공격의 위험성 문제에 대해 발표했다.
이날 발표에서 이큐스트는 자체 조사결과를 인용하며 올해 상반기 발생한 해킹 사고 중 이메일이 최초 침입 경로가 된 사례가 35%에 달한다고 밝혔다. 이는 올해 상반기에만 지난해 악성메일 탐지 건수를 초과하는 수치다. 소프트웨어 및 서버의 보안 취약점, 보안 정책 미설정 등으로 인한 해킹사고는 각각 21%로 뒤를 이었다.
해킹메일은 기업이나 기관의 담당자를 사칭하거나 업무와 관련된 내용을 이용한다. 실제 이큐스트가 악성 이메일 제목을 취합하니 ‘견적서’, ‘대금청구서’, ‘계약서’ 등 수신자 메일 확인을 유도하는 단어의 비중이 높았다. 또한 메일 제목에 일련번호처럼 숫자를 붙여 보안 시스템을 우회하는 사례도 발견됐다.
발표를 맡은 김성동 이큐스트 침해사고대응팀장은 “올해 상반기 탐지된 악성 메일 건수가 17만 1400건이며, 이는 작년 한해 동안 탐지한 16만 3387건을 상회한다”며 “남은 하반기까지 고려하면 악성 메일 공격이 전년 대비 2배 이상 확대 될 것”으로 예측했다.
이메일을 경로로 기업 시스템에 침투한 이후에는 랜섬웨어에 감염시키거나, 채굴형 악성코드를 심는 경우가 많았는데, 올해 들어 피해를 확산시키기 위해 AD(Active Directory) 서버를 장악하는 시도가 많아지고 있다고 밝혔다.
AD는 윈도우 시스템 관리 도구를 말한다. AD서버가 공격자에게 장악될 경우 내부망 권한도 함께 넘겨주게 된다. 권한을 확보한 공격자는 윈도우 SMB(파일 공유 프로토콜) 기능을 이용해 악성파일을 여러 곳에 전파할 수 있다.
김성동 팀장은 “최초 이메일로 침투해 AD서버를 장악하고, 윈도우 SMB 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 공식처럼 이뤄지고 있다”면서 “AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다”라고 말했다.
이큐스트는 실제 침해사고 조사를 맡았던 ‘CHAD’라는 공격에 대해 설명했다. CHAD 는 공격자가 사용한 패스워드 ‘chapchap'의 앞 두 글자와 AD를 합한 단어다. 작년 최초로 발견됨 CHAD 공격은 '이메일 침투-AD서버 장악-SMB 전파' 등 대규모 공격의 공통 분모를 갖고 있다. 이큐스트는 올해 초까지 4개 기업에 연달아 피해를 입었으며 일부 기업들은 랜섬웨어 피해도 겪었다고 설명했다.
랜섬웨어에 감염되면 기업의 경우 그 피해 규모가 상상 그 이상이다. 특히 최신 윈도우를 쓰지 않는 제조업 공장 보안이 취약하다. 실제 한 반도체 회사는 최근 이러한 공격을 당하고 일주일 정도 공정을 멈춰야했다. 회사 설립 이래 처음 있는 일이었다.
김성동 팀장은 “회사에서 무심코 열어본 이메일이 큰 피해를 줄 수 있다”면서 “이메일 공격을 효과적으로 차단할 수 있는 전용 솔루션을 도입할 필요가 있으며, 회사 임직원들이 이메일 공격에 대한 경각심을 가질 수 있도록 지속적인 모의 훈련이 병행되어야 한다”고 말했다.
한편 이큐스트 그룹은 이날 간담회에서 클라우드 보안 위협에 대해서도 발표했다. 클라우드에 여러 애플리케이션을 편리하게 배치하기 위해 사용하는 몇몇 컨테이너 기술의 보안 취약점을 설명하고, 이를 이용한 가상의 공격 시나리오를 시연했다. 실제 이 같은 공격 시나리오를 활용해 해커가 기업 클라우드에 침투하여 랜섬웨어를 감염시키거나, 채굴형 악성코드를 설치한 사례도 있다고 밝혔다.
이안나 기자 lan@kukinews.com