머니투데이

속보
VIP
통합검색

"관리자가 메일을 왜 보냈지?"…클릭 한번에 '탈탈' 털렸다

머니투데이
  • 차현아 기자
  • 카카오톡 공유하기
  • 카카오톡 나에게 전송하기
  • 페이스북
  • 트위터
  • 네이버
  • 카카오스토리
  • 텔레그램
  • 문자
  • 2021.07.18 07:30
  • 글자크기조절
  • 의견 남기기

[MT리포트] 랜섬웨어의 공습 (下)

[편집자주] 코로나19로 인한 비대면 시대, 사이버 보안의 취약점을 노린 '랜섬웨어' 공격이 활개를 친다. 해커의 먹잇감으로 전락해 금품을 갈취당하거나 정보·데이터 손실로 피해를 보는 기업이 부지기수이고 공공기관과 사회인프라까지도 공격대상이 되고 있다. 랜섬웨어가 기업 활동은 물론 국가 안보에까지 중대 리스크로 꼽힐 정도다. 폭증하는 랜섬웨어 피해 현황과 확산배경, 대책 등을 짚어본다.


기자도 낚일 뻔한 이메일 피싱, 조금만 방심해도 털린다


사이버 위기대응 모의훈련 체험해 보니

실제로 기자가 받은 한국인터넷진흥원의 모의훈련용 피싱메일.
실제로 기자가 받은 한국인터넷진흥원의 모의훈련용 피싱메일.
"[긴급] 개인정보 유출사건 관련 확인요청"

업무 메일이 쏟아지는 오전, 메일 제목 하나가 눈에 들어왔다. 발신지는 한국인터넷진흥원(KISA). 취재하는 공공기관에서 보낸 메일이어서 열어보지 않을 수 없었다. 최근 웹메일 로그인 취약점을 노린 개인정보 유출사건이 발생하고 있다는 내용이었다.

기자의 계정에서 해킹 흔적이 발견됐으니 KISA가 제공하는 비정상적인 쿠키(인터넷 사용기록)를 삭제하라는 안내였다. KISA의 삭제기능을 이용할 수 있는 링크도 걸려 있었다. 궁금한 사항은 'drill2021@krcert.or.kr'로 연락해 달라고 했다. 'krcert.or.kr'은 KISA의 실제 홈페이지 주소이기도 하다.

그런데 의아한 부분이 있었다. 비정상적인 쿠키가 무엇인지, 어떤 해킹 흔적이 발견됐다는 건지 정확한 설명이 없었다. 웹 브라우저에 저장되는 쿠키는 구글 크롬 등에서 제공하는 쿠키 삭제 기능을 이용하면 될텐데, 굳이 KISA가 제공하는 서비스를 이용하라는 점도 이상했다. 담당자 이메일 주소는 있지만 이름이나 전화번호가 없는 것도 미심쩍었다.
그래픽: 김다나 디자인기자
그래픽: 김다나 디자인기자
이 메일은 KISA가 최근 과학기술정보통신부와 함께 진행한 '사이버 위기대응 모의훈련'에 실제 사용된 가상의 피싱메일이다. 피싱은 신뢰할 수 있는 사람이 보낸 메시지나 메일인 것처럼 가장해 개인정보를 탈취하는 해킹방식이다. 이번 훈련은 랜섬웨어가 주로 피싱메일을 통해 확산한다는 점에 착안해 진행됐다. 이용자가 피싱메일의 첨부파일이나 링크를 클릭하면 악성코드가 컴퓨터에 침투해 데이터를 모두 이용할 수 없도록 마비시킨다. 피싱메일은 특정 공공기관을 사칭하거나 교묘하게 내용을 꾸며 첨부파일 다운로드나 링크 클릭을 유도한다.

눈여겨 보지 않는다면 무심결에 링크를 누르기 십상이다. 과기정통부와 KISA가 이 메일을 이용해 올해 상반기 230개사 임직원 9만8599명을 대상으로 진행했던 모의훈련에서도 해킹메일 평균 열람율은 25.8%로 나타났다. 링크를 누르거나 파일을 다운로드 받은 비율(감염율)도 7.6%였다. 훈련을 거듭할 수록 피싱메일 인지도는 높아졌다. 모의해킹 훈련에 처음 참여한 기업 관계자들 피싱메일 열람율과 감염율은 36.4%, 11.1%였던 반면, 두 번째 참여한 기업의 경우 29.6%, 6.9%로 크게 낮아졌다. 그만큼 평상시 훈련과 경계심을 갖는게 중요하다는 뜻이다.

◆진짜처럼 진화하는 피싱메일..."관련없는 내용이면 일단 의심해야"

피싱메일은 랜섬웨어가 유포되는 주요 경로다. 무차별적으로 아무에게나 보낼 수 있다. 랜섬웨어처럼 피싱메일도 진화를 거듭하고 있다. 아예 없는 내용을 꾸며냈던 기존 피싱메일과 달리, 실제 기업들이 주고받은 업무 메일을 해킹을 통해 빼낸 뒤 이를 랜섬웨어 유포용 피싱메일에 활용한 사례까지 등장했다. 추진 중인 사업명까지 언급한 이메일이라 의심하기 쉽지 않다.

글로벌 보안기업 인티저가 공개한 현대엔지니어링 사칭 피싱메일.
글로벌 보안기업 인티저가 공개한 현대엔지니어링 사칭 피싱메일.
글로벌 보안기업 인티저(INTEZER)가 최근 발견한 피싱메일 중 하나는 지난 3월 현대엔지니어링이 발송한 메일인 것처럼 위장했다. 파나마의 복합화력발전소(CCPP) 프로젝트 관련 장비 공급입찰에 참여할 것을 요청하며 답변을 유도하는 내용이다. 해당 메일에는 악성코드가 담긴 첨부파일이 포함돼 있다. 현대엔지니어링이 실제 지난해 10월 경 CCPP 프로젝트 관련 기업에 보냈던 것으로, 담당자의 메일을 해킹한 뒤 이를 피싱메일로 활용한 것으로 보인다.

해당 메일 내 담당자 이름만 바꿨을 뿐 소속과 직책, 담당업무는 물론 심지어 휴대전화 번호도 진짜다. 현대엔지니어링 관계자는 "어떤 방식으로 메일을 탈취했는지는 모르겠지만, 이 메일을 기업과 개인을 가리지 않고 무차별적으로 뿌린 것 같다"며 "진위여부를 확인해달라며 연락해온 곳이 수십 곳인데 그 중엔 대학교수도 있었다"고 말했다.

전문가들은 피싱메일을 활용한 랜섬웨어 공격이 많은 만큼, 이메일에 담긴 링크나 첨부파일에 특히 주의할 것을 당부한다. 남연수 KISA 대응협력팀 팀장은 "자신의 업무와 무관하거나 사전공지가 없던 내용을 담은 메일은 일단 의심해봐야 한다"며 "링크 주소나 보낸 사람의 이메일 주소가 'dauum.net'이나 'qmail.com' 등 이상하지 않은지를 살펴야 하며, 첨부파일도 함부로 다운로드 받지 말 것을 권장한다"고 말했다.



"1%만 비어도 해커 먹잇감…'다음에' 했던 기업 수십억 날려"


화이트해커 ADT캡스 김태형 담당 인터뷰

김태형 ADT캡스 EQST 담당. /사진제공=ADT캡스
김태형 ADT캡스 EQST 담당. /사진제공=ADT캡스
"해킹을 의뢰 고객 중엔 '우리 시스템은 철통보안'이라며 자신하는 경우도 있지만 막상 너무 쉽게 뚫리는 경우가 많습니다. 아무리 보안을 강화해도 새로 등장한 공격 방식에는 취약 지점이 있을 수 밖에 없습니다"

ADT캡스의 화이트해커 그룹 이큐스트(EQST) 총괄 김태형 담당은 최근 랜섬웨어로 인한 피해가 급증하는 것과 관련 "기업과 공공기관의 인식부터 확 바꿔야한다"고 지적했다.

화이트해커는 금적전 목적으로 시스템을 공격하는 블랙해커와 달리 해킹을 막기위해 고객의 시스템 취약점을 찾아내 보완하고, 사이버 공격 피해를 줄일 전략을 조언하는 착한 해커다. 최근 랜섬웨어 공격이 폭증하면서 이들도 바빠졌다. 2017년 출범한 이큐스트는 전체 구성원 150명 중 모의해킹을 전담하는 전략해킹팀 인원만 약 80명이다.

모의해킹은 실제 해커들이 사용하는 기술로 기업 시스템을 직접 해킹한 뒤 취약점을 보여준다. 사내 소프트웨어 보안패치를 제대로 적용하지 않았거나 시스템 관리자 권한을 잘못 설정했다면 해커가 이를 악용해 내부 시스템에 어떻게 침투하는지 보여준다.

이와 관련 김 담당은 "시스템에 문제가 있어도 별 다른 대응없이 넘기는 경우도 적지 않다. 당장은 문제가 없을 것으로 보고 비용을 고민하다 미뤄버리는 것"이라고 말했다. 실제 이큐스트팀이 모의해킹 후 시스템 보완을 제안했던 한 기업이 그랬다. '눈가리고 아웅'식으로 넘어갔던 이 기업은 이듬해 해킹공격으로 수십억원대 피해를 입었다. 김 담당은 "심각한 보안문제가 발견됐다고 하면 잠시 관심을 기울일 뿐 지속적인 투자와 인식 제고로 이어지는 사례가 많지 않다"고 토로했다.

◆랜섬웨어 공격 주 먹잇감 떠오른 '제조업·개인'

김태형 ADT캡스 EQST 담당. /사진제공=ADT캡스
김태형 ADT캡스 EQST 담당. /사진제공=ADT캡스
김 담당은 특히 최근 제조기업을 노린 랜섬웨어 공격에대해 각별한 주의를 당부했다. ADT캡스가 지난달 발표한 올해 상반기 보안트렌드 보고서에 따르면 국내 제조업의 랜섬웨어 사고 발생비율은 29.5%로 전체 산업군 중 가장 높았다.

김 담당은 "새로운 보안 패치를 적용하려면 시스템과 제조시설 가동을 잠시 멈춰야 하는데 생산량이 떨어진다는 이유로 이를 꺼리는 경우가 많다"며 "외부인 접근을 차단하는 물리보안 시스템은 비교적 잘 갖춘 반면, IT시스템 보안에는 소홀한 제조업체들이 많다"고 설명했다.
개인을 겨냥한 공격이 늘어난 것도 특징이다. 기업들이 예전보다 보안 시스템을 강화하다보니 비교적 쉽게 공격할 수 있는 개인이 타깃이 된다는 것이다.

김 담당은 "랜섬웨어는 피해 대응보다 철저한 예방이 중요하다"고 누차 강조했다. 한 번 걸리면 해커에게 몸값을 지불하거나 데이터를 포기하는 것 외엔 방법이 마땅치 않다. 김 담당은 "낯선 이메일에 주의하는 것이 가장 중요하다"며 "최근엔 메일뿐만 아니라 소셜미디어 개인 메시지로 악성코드가 담긴 링크를 전송하는 경우도 있어 주의가 필요하다"고 당부했다.

재택근무와 원격근무 확산을 노린 사이버 공격이 급증하고 있는 추세여서 현장 기업의 보안 의식과 철저한 대응이 필요하다고도 조언했다.
대응방법으로는, 기업용 이메일·문서 암호화 솔루션을 도입해 랜섬웨어나 악성코드를 심은 메일을 사전에 스팸 차단하거나 중요한 데이터가 유출되는 것을 막아야 한다는 것이다.

해킹 대비훈련이나 모의해킹으로 시스템 취약점을 미리 점검하고 대비하는 것도 방법이다. 김 담당은 "99% 대비했어도 채우지 못한 1% 때문에 큰 사고가 발생할 수 있다"며 "날로 진화하는 해킹기법과 공격에 대비해 꾸준히 보안에 관심갖는 것만이 최고의 예방법"이라고 했다.



머니투데이 주요뉴스

반복된 집값 사과, 진부한 대책 발표…왜 지금 했을까?

베스트클릭

오늘의 꿀팁

  • 날씨
  • 건강쏙쏙

많이 본 뉴스

부동산 유튜브 정보채널 부릿지
부꾸미
머니투데이 탄소중립 아카데미
사회안전지수

포토 / 영상

머니투데이 SERVICE