'철옹성' 삼성·LG·MS, 이렇게 해커에게 뚫렸다
등록 2022.04.07 12:00:00
과기정통부-한국인터넷진흥원, 사이버 공격 사고원인 분석 합동 브리핑
다크웹서 구입하거나 업무 위장 악성메일로 사용자 계정 빼내
중앙서버와 업무협업 프로그램으로 악성코드 유포, 영업정보서버도 손쉽게 접근
보안강도가 높은 생체인증 등 이중인증 적용
사용자·데이터?이용행태에 따라 차등화된 접근 관리정책 전환 필수
"기본 보안수칙과 필수 보안정책 잘 지켰더라면"
출처=과기정통부 *재판매 및 DB 금지
【서울=뉴시스】송종호 기자 = # 지난달 삼성전자가 국제 해킹그룹 랩서스의 사이버 공격을 받고 회사 영업정보를 탈취 당하는 사고가 발생했다. 해커가 빼낸 데이터는 갤럭시 구동에 필요한 일부 소스코드가 포함됐다. 얼마 뒤 랩서스는 LG전자 서버도 해킹했다. LG전자는 임직원 이메일 주소 일부가 유출된 것으로 파악했다. 이 해커조직은 엔비디아와 마이크로소프트(MS)의 서버도 해킹했다.
# 지난 1월에는 현대삼호중공업은 랜섬웨어 공격으로 한때 전산망이 마비됐다. 데이터를 주고받는 네트워크에 제동이 걸렸고, 직원들은 이메일 등 일부 업무에서 불편을 겪었다.
올들어 국내외 굴지의 대기업들이 줄줄이 사이버 공격을 받아 크고 작은 피해를 입었다. 그나마 보안시스템에 꽤 많은 돈을 쓴 대기업들이 속수무책으로 당한 이유는 뭘까. 해커는 이들 기업의 보안 시스템 중 가장 약한 고리를 노렸다. 가령, 업무 문서로 위장한 악성 이메일을 임직원들에게 뿌려 무심코 이를 클릭한 사용자의 계정을 빼냈고, 내부망에 접속한 뒤에도 별다른 제약없이 영업정보 시스템 등에 접속했다.
굴지의 대기업 보안 시스템 한순간 뚫린 이유
6일 과학기술정보통신부와 한국인터넷진흥원(KISA)이 정부서울청사에서 합동브리핑을 갖고 밝힌 최근 일련의 사이버 공격 사고 원인 분석 결과다. 과기부와 KISA는 △현대삼호중공업 랜섬웨어 감염(2022년 1월) △삼성전자 소스코드 유출(2022년 3월) △삼성·LG 임직원 계정정보 유출(2022년 3월), 도요타 협력사인 자동차부품공장 랜섬웨어 감염 및 정보 유출(2022년 3월) 등 주요 피해 사례를 집중 조사했다.
과기부에 따르면, 해커는 다크웹에서 구입하거나 업무 관련으로 위장한 악성 메일을 보내는 수법으로 공격 대상 기업의 직원 계정을 사전에 확보했다. 이 과정에서 일부 기업에선 일회용 비밀번호 등의 추가 계정 인증 요구도 우회할 수 있었던 것으로 밝혀졌다.
이렇게 내부망 침투에 성공한 해커는 다수 계정과 단말을 관리하는 중앙서버 또는 기업 내 업무협업 프로그램에 악성코드를 유포하고 관리자 계정이나 서버 루트 등 추가 정보를 습득했다. 과기부에 따르면 이후 해커는 제품 및 영업 관련 정보 또는 내부 직원 정보 등이 저장된 데이터 수집소에 접근한 뒤 관련 파일을 외부로 빼돌렸다.
결과적으로 비대면 업무 증가로 효율성을 우선시하면서 기본 보안수칙이나 필수적인 보안정책이 간과되면서 피해가 발생했다는 게 보안당국의 설명이다.
우리 회사는 괜찮을까…단계별 대응은
이같은 해킹 피해를 막기 위해선 제로 트러스트(Zero Trust) 관점에서 단계별 보안조치를 강화해야 한다는 게 과기부의 설명이다.
먼저 기업 시스템 접속을 위해서는 반드시 이중 인증체계를 사용하고, 이메일 인증보다 가급적 생체인증, 휴대폰 인증을 사용해줄 것을 당부했다.
재택근무 등 원격지에서 접속할 때는 사전 승인된 단말기 또는 IP만 접속할 수 있도록 접근 보안정책을 적용해야 한다. 다수 단말과 연결된 중앙관리서버나 패치관리서버 등 중요 서버에 대한 접근 권한은 특정 관리자 단말기에서만 접속을 허용하고, 내부 시스템에 대한 관리자 접속인증도 생체인증 등 이중인증을 추가 적용해야 한다는 게 보안 전문가들의 권고다.
아울러 내부망 공격에 주로 사용되는 악성코드가 실행되거나 로그 삭제행위 등에 대한 점검도 강화해야 한다.
무엇보다 해커가 밖으로 핵심 데이터를 가져가지 못하도록 하는 후속조치도 중요하다. 사용자·데이터·이용행태별 접근권한과 반출 범위 등을 차등 관리하고, 대용량·반복적 반출 계정을 찾아내 차단해야 한다. 보안 당국은 사전 승인 없이 데이터·서버에 접근하려는 이상행위 등 접속 이력 관리를 위한 인공지능(AI) 기반 상시 모니터링 시스템도 도입해줄 것도 권고했다.
사이버 위협이 날로 심각해 지면서 정부는 민간분야 국가 사이버위기 경보를 ‘관심’에서 ‘주의’로 상향했다. 정부는 또 주요 기업·기관 대상 사이버위협 모니터링 강화와 24시간 비상 대응체계를 가동했다. 김정삼 정보보호네트워크정책관은 “최근 비대면 확산과 빠른 디지털 전환의 허점을 노리고 사이버 위협 수법도 빠르게 고도화·지능화되고 있다”며 “기본적인 보안관리 미흡으로 침해사고가 발생하지 않도록 기업은 관리자 차원에서 상시 체크 등 세심한 보안 활동이 필요하다”고 강조했다.
전문가들은 이중 인증 등 기본만 지켜도 해킹 사고를 현저히 낮출 수 있다고 조언했다. 임종인 고려대 정보보호대학원 교수는 “보안성이 높은 생체인증을 통한 이중인증 등 기본적인 수칙만 지켜도 최근 발생한 해킹 사고를 현저히 줄일 수 있다”라며 “이 같은 기본만 지켜도 해킹 사건의 70~80%를 줄일 수 있다”라고 말했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
