SK인포섹 “상반기 이메일 통한 해킹사고 35%…회사 기밀 유출로 이어질 수도”

김성동 SK인포섹 EQST 침해사고대응팀장이 18일 경기도 성남시 판교에서 열린 미디어 간담회에서 발표를 하고 있다. /사진=배지윤 기자

#해외 지사에서 근무 중인 A과장은 본사 정보보호팀에서 걸려온 전화를 받았다. 한국 본사가 사이버 공격을 당해 회사 기밀 정보가 유출됐다는 연락이었다. 얼마 전 A 과장이 받은 ‘견적서 보냅니다’라는 메일을 무심코 열어 본 것이 화근이었다.

이메일과 기업에서 자원 관리 목적으로 사용하는 ‘액티브디렉토리(AD)’서버를 노린 사이버 공격의 위험이 커지고 있다. 실제로 EQST가 자체 조사한 올해 상반기 해킹 사고 가운데 이메일이 최초 침입 경로가 된 사례가 35%에 달했다. 남은 하반기까지 고려하면 전년 대비 두배, 2015년 대비 5배가 넘는 수치다.

김성동 SK인포섹 EQST 침해사고대응팀장은 18일 경기도 성남시 판교에서 열린 미디어 간담회에서 “올 상반기 해킹 사고 원인 중 이메일을 통한 공격이 35%”라며 “회사에서 무심코 열어본 이메일이 큰 피해를 줄 수 있다”고 밝혔다.

그러면서 김 팀장은 “올해 상반기 탐지된 악성 메일 건수는 17만1400건이며, 이는 지난한해 동안 탐지한 16만3387건을 상회한다”고 말했다.

이메일이 최초 침입 경로가 된 사례를 뒤이어 소프트웨어 및 서버의 보안 취약점, 보안 정책 미설정 등으로 인한 해킹 사고가 각각 21%를 기록했다.

김 팀장은 “이메일 공격은 견적서·대금청구서·계약서 등 수신자가 메일을 확인하도록 유도하는 단어가 포함됐다”면서 “이메일 제목에 숫자를 붙이는 경우가 있는데 이는 보안 시스템을 우회하기 위한 것”이라고 설명했다.

이처럼 이메일을 경로로 기업 시스템에 침투한 이후에는 랜섬웨어에 감염시키거나, 채굴형 악성코드를 심는 경우가 많다. 올해는 이 같은 피해를 확산시키기 위해 AD 서버를 장악하는 시도도 늘었다는 게 김 팀장의 설명이다.

실제로 AD를 이용하면 다수 시스템의 관리가 계정과 설정, 정책 배포 등을 효율적으로 관리할 수 있는데, 이 서버가 장악되면 내부망 권한도 넘겨주게 된다. 권한을 확보하면 파일공유프로토콜(SMB) 기능을 이용해 악성파일을 전파할 수 있게 된다.

이에 대해 김 팀장은 “최초 이메일로 침투해 AD 서버를 장악하고, 윈도우SMB 기능을 통해 악성파일 전파하는 행위가 공식처럼 이뤄지고 있다”고 지적했다.

이메일 침투, AD서버 장악 및 SMB 전파 등을 통해 기업에게 피해를 입은 사례가 적지 않다. 대표적인 사례가 EQST가 침해사고 조사를 맡았던 ‘CHAD’ 공격으로 올 초 3개 기업에 연달아 피해를 입혔다.

따라서 김 팀장은 이메일 공격을 효과적으로 차단할 수 있는 전용 솔루션의 필요성을 주장했다. 또한 회사 임직원들이 이메일 공격에 대한 경각심을 가질 수 있는 모의 훈련이 병행돼야 한다고 덧붙였다.