UPDATED. 2021-01-28 11:00 (목)
비트코인 급등에 코로나 빈틈까지…해킹 독해졌다
상태바
비트코인 급등에 코로나 빈틈까지…해킹 독해졌다
  • 디지털뉴스팀
  • 승인 2020.12.04 13:29
이 기사를 공유합니다

[편집자주]국내외를 막론하고 '비트코인' 등 암호화폐를 노린 해커의 공격이 기승을 부리고 있다. 특히 올들어 신종 코로나바이러스 감염증(코로나19) 확대로 인해 기업의 비대면 근무가 확산되면서 보안이 허술해진 틈을 타 해커들이 사이버공격을 감행한 뒤 시세가 급등한 암호화폐를 요구하는 사례가 늘고 있다. 최근들어 급증세인 사이버공격 현황을 긴급진단했다.
 

지난 11월22일 오후 서울 서초구 뉴코아아울렛 강남점 2,3층에 전산장애로 인한 조기 영업종료 관련 안내문이 붙어 있다. 이랜드그룹은 이날 랜섬웨어 공격으로 인해 NC백화점 등 자사 오프라인 매장 절반 정도의 운영을 일시 중단했다고 밝혔다. 2020.11.22/뉴스1 © News1 김진환 기자


#11월22일. 이랜드가 운영하는 전국 뉴코아아울렛, NC백화점 등 23곳의 점포가 긴급 휴점했다. 이날 새벽 3시쯤 사내 네트워크 시스템이 랜섬웨어 공격을 받아 일부 지점에서 카드 승인과 상품 코드 인식이 불가능해졌기 때문이다. 해커는 이랜드의 결제시스템을 마비시키고 고객정보를 탈취한 후 비트코인을 요구했다. 만약 이에 응하지 않으면 정보를 외부에 유출시켜버리겠다고 협박했다.

'금전'을 노린 해커 조직의 사이버 공격이 최근 급격히 늘고 있다.

4일 한국인터넷진흥원(KISA)에 따르면 올들어 침해사고 신고 건수는 전년대비 31.8%나 급증했다.

신종 코로나바이러스 감염증(코로나19)으로 인한 비대면 업무환경을 집중 공격하는 사례가 늘고 있고 최근 암호화폐 시세까지 급등하면서 해킹을 '돈벌이' 수단처럼 감행하는 해커범죄 조직이 기승을 부리고 있다는 것이 인터넷진흥원의 설명이다.

실제 인터넷진흥원 침해대응센터에 접수된 '침해사고 신고건수'를 보면 11월말까지 총 551건이 접수됐다. 지난 2019년 신고접수 건수는 418건이었다. 12월 신고건수를 제외해도 이미 전년대비 31.8% 급증한 수치다.

인터넷진흥원은 "올 초부터 마스크 무료 배포, 감염자 동선 확인 등 가짜 문자메시지를 악용한 스미싱 공격이 지속적으로 발생하고 있다"며 "특히 지난 2017년 전 세계적으로 큰 피해가 발생했던 워너크라이(WannaCry) 랜섬웨어와 유사한 방식으로 취약한 PC를 감염시킬 수 있는 취약점에 대한 보안 업데이트가 긴급 발표되는 등 코로나19 이슈를 악용한 랜섬웨어의 유포 위험성이 올들어 급격히 높아졌다"고 경고했다.
 

 

 

© News1 DB

 

 


◇"데이터 복구하려면 돈 내놔"…해커 공격, 더 잦고 독해졌다

최근 기업을 공격하는 주요 사이버공격은 랜섬웨어다. 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 뒤 금전을 요구하는 악성 프로그램이다.

실제 이스트시큐리티는 백신 프로그램 '알약'을 통해 지난 2분기에만 총 16만3933건의 랜섬웨어 공격을 차단했다고 밝힌 바 있다. 이는 일평균 약 1822건이다.

국내 주요 랜섬웨어 공격은 Δ코로나19 이슈를 노린 공격 Δ재택근무 확산으로 인한 원격 연결에 따른 공격 Δ'비너스락커' 조직의 지속적인 공격 등이다. 최근에는 보안 솔루션을 우회하고 탐지하기가 어려운 변종 랜섬웨어가 기승을 부리고 있다.

글로벌 보안업체 맥아피는 '위협 보고서'(McAfee Labs Threats Report)를 통해 "랜섬웨어는 주로 북미지역이나 유럽국가, 동북아시아 지역에서 공격사례가 집중되고 있다"면서 "비교적 부유한 국가나 기업이 보상금을 지불할 가능성이 높기 때문"이라고 설명했다.

앞서 언급한 이랜드나 프랑스 소프라스테리아의 사례를 봐도 최근 해커집단은 단순히 '데이터 암호화'에 그치는 것이 아니다. 시스템을 마비시키거나 파괴하는 등 감염 자체만으로도 심각한 피해를 입히는 경우가 많다.

만약 기업이 해커에게 금전을 건네고 데이터 복구 '키'를 받아 복구한다 하더라도 이후 해커는 해당 기업 시스템에 악성코드를 남겨둬 재차 범행을 실행하거나 돈만 가로채고 시스템을 아예 망가뜨리는 경우도 보고되고 있다. 기업 입장에서는 어떤 경우든 막대한 피해를 입을 수밖에 없는 상황이다.
 

 

 

 

 

SK인포섹 통합보안관제센터 '시큐디움 센터'. (SK인포섹 제공) © 뉴스1

 

 


◇국가간 사이버테러에나 쓰이던 APT 공격, 기업 노린다

기업의 시스템에 침투하거나 관리자 계정 등을 탈취하기 위해 해커는 '지능형지속위협'(APT) 공격을 사용한다.

특정 집단에 대한 높은 레벨의 정보를 수집해 이들을 현혹할 정보 등을 담은 '가짜 메일'을 작성한 뒤 여기에 악성코드를 담아 해당자에게 보내는 것이다.

예를들어 반도체 기업 A사의 B 연구원에게 해커들은 '코로나19로 인한 국제 반도체 시장 동향 보고서' 등을 파일로 작성해 메일을 보낸다. 메일을 보내는 주체도 해외 반도체학회나 시장조사기관 등을 사칭한다.

메일을 보고 정보에 관심이 생긴 B연구원이 메일속 첨부파일을 클릭하면, B연구원의 PC엔 해커의 악성파일이 설치되는 것이다. 해커는 이 방법으로 B연구원의 PC에 침투한 뒤 연구원의 각종 개인정보아 PC내 기밀정보를 기반으로 사내 시스템 침투도 시도한다. 관리자계정까지 탈취하면 기업 전체에 영향을 미칠 대형 공격을 비로소 감행하는 것이다.

이런 방식으로 긴 시간에 걸쳐 지속적이고 치밀한 사이버 공격을 감행하는 것이 APT공격이다.

지난 2010년대만 하더라도 APT 공격은 사이버테러 등 정치적 목적으로 자행되거나 적대국가의 사회적 혼란을 위해 마치 '사이버 스파이'처럼 감행되는 모습을 보였다. 국내에서도 지난 2013년 3월20일, 농협 전산망과 국내 주요 지상파 방송사를 일시에 마비시킨 사상 최악의 사이버테러도 방송사와 은행 직원에게 가해진 APT 공격이 단초였다.

하지만 이제는 이같은 사이버공격이 '금전'을 노린 범죄조직의 주요 수단으로 활용되면서 공격대상이 정부나 군이 아닌 '기업'으로 전환되고 있다.

 

 

 

 

 

서울 시내 사무공간 밀집지역의 한 커피숍.2020.8.28/뉴스1 © News1 민경석 기자

 

 


◇오래된 SW·카페 와이파이, 모두 보안구멍

기업이 사이버공격을 당하는 '통로'를 살펴보면 해커가 치밀하고 복잡한 시스템 해킹을 하는 것이 아니다. 의외로 '허술한' 보안구멍이 기업 곳곳에 널려있고 해커는 이곳을 공략한다.

실제 최근 코로나19로 인해 원격근무가 확산되면서 직원들이 각종 보안시스템이 적용된 회사를 벗어나 자택이나 커피숍 등 외부에서 업무를 볼 때 보안 공격이 자행되는 경우가 많다.

카페에서 무심코 이용하는 무료 와이파이 등은 보안에 매우 취약하기 때문에 아주 간단한 작업만으로도 해커는 카페 내에서 공개 와이파이를 이용하는 사람들의 노트북 내 정보를 손바닥 들여다보듯 볼 수 있다. 정보 탈취도 순식간이다. 원격근무때문에 들고 다니는 이동형저장장치(USB)도 악성코드 감염의 통로가 될 수 있다.

기업 관리자 측면에서는 사내에 설치된 '오래된 소프트웨어'가 보안 공격의 주 통로다. 아무리 최신 보안 소프트웨어나 장비를 구축해도 일반 직원들이 업데이트 되지 않은 구형 버전의 소프트웨어를 이용한다면 해커는 이를 통로삼아 마음껏 기업 시스템에 드나든다.

글로벌 네트워크보안업체 시스코에 따르면 기업은 오래된 소프트웨어, 코드 오류, 방치된 디지털 속성 및 사용자 실수로 생겨나는 취약한 링크로 인해 해커에게 DNS 쿼리, 취약점 공격 키트, 증폭 공격, POS 시스템 침해, 악성광고, 랜섬웨어, 암호화 프로토콜 침투, 소셜 엔지니어링, 스팸 등의 각종 보안 침해 공격을 받는 것으로 나타났다.

따라서 기업이 이같은 사이버공격을 피하려면 보안 시스템에 대한 투자외에도 직원 개개인의 보안의식을 높이는 것이 최우선으로 요구된다.

 

 



주요기사
이슈포토
블록체인투데이를 구독하세요!
하루동안 보지 않기 [닫기]