이메일과 제품 공급망, 망분리 등이 해커의 주요 공격 대상으로 부상했다. 특히 네이버와 다음을 제외한 국내 이메일 대부분이 보안에 상당히 취약한 것으로 확인됐다.
이재광 한국인터넷진흥원(KISA) 침해사고분석팀장은 지난 26일 서울 서초구 서산빌딩에서 열린 정보보호 스터디에서 “해킹 메일은 여전히 좋은 공격 수단으로 기업이 방어하기에 한계가 있다”며 악성 이메일, 공급망 위협, 망분리 공격 등이 기업의 주요 위협이 되고 있다고 밝혔다.
이 팀장은 “메일에 악성코드 없이 링크만 첨부하는 식의 공격이 문제”라며 “링크를 클릭하면 이용자가 문서를 볼 수 있다고 유도하고, 사용자 로그인 창으로 꾸민 웹페이지가 열린다”고 설명했다. 이어 그는 “로그인 시 패스워드가 틀리면 오류 창이 뜨기 때문에 정상 화면으로 믿기 쉽다”며 “최근에는 매크로 기능 실행을 유도하는 엑셀 파일을 이용한 공격도 많다”고 덧붙였다.
이 팀장에 따르면 이메일을 통해 해킹에 성공하면 해커들은 연결된 PC서버를 마음대로 조종할 수 있는 중앙관리서버(AD) 접근을 시도한다. AD를 장악하면 해커는 기업의 사용자 PC마다 악성 코드를 설치해 기업 내부를 모니터링할 수 있기 때문이다. 이 팀장은 “해커가 AD를 장악했다면 기업의 심장을 가지고 나간 것과 같다”고 경고했다.
이 팀장은 공급망 위협에 대해서도 언급했다. 그는 “영세 업체들은 영업을 위해 고객사 정보를 갖고 있다”며 “해커가 이들 업체를 해킹해 제품의 취약점을 찾고 제품을 사용하는 기업을 공격하는 데 이용한다”고 설명했다.
기업이 보안을 위해 업무 시스템을 폐쇄망과 인터넷망으로 분리한다는 점에도 주목했다. 이 팀장은 “망분리의 가장 큰 문제는 완벽하게 유지하지 못하는 관리의 문제”라며 “기업이 망을 분리하고서도 비상 작업을 위해 인터넷망에서 폐쇄망으로 통하는 길을 만들어 놓지만 해커가 다 찾아낸다”고 지적했다.
이 팀장은 “ 악성코드가 감염된 시스템이 확인될 경우 식별과 추적, 사후 모니터링 등 과정을 반복적으로 거쳐야 한다”며 “기업도 평상시 내부에서 어떤 침해 행위가 발생하는지 지켜보고 정상과 비정상을 구분하는 안목을 키우는 훈련이 필요하다”고 강조했다.
/백주원기자 jwpaik@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
