SK쉴더스, 미디어 세미나 개최 …"2023년 5대 보안 위협 전망 발표"
2022-12-06
중국 해킹 학술기관 12개 외 웹변조 피해 확인…샤오치잉, KISA 비롯 국내 정부기관 및 언론사 등 2000여곳 타깃 지목
31일 업계에 따르면 한국인터넷진흥원(KISA)이 발표한 해킹 피해를 본 12개 학술기관 이외에 △한국특수교육교과교육학회 △한국보육지원학회 △한국의학교육학회 △환태평양유아교육연구학회 등도 최근 해킹 피해를 당한 것으로 확인됐다. 현재까지 홈페이지 해킹이 확인된 곳은 건설정책연구원을 비롯해 △우리말학회 △한국고고학회 △한국학부모학회 △한국교원대학교 유아교육연구소 △한국보건기초의학회 △한국사회과수업학회 △한국동서정신과학회 △대한구순구개열학회 △한국시각장애교육재활학회 △제주대학교 교육과학연구소 △한국교육원리학회다.
샤오치잉은 지난 20일 공공기관인 대한건설정책연구원 홈페이지를 시작으로 자신들의 로고가 뜨게 하는 웹변조를 시도했다. 샤오치잉이 해킹한 웹사이트의 접속은 불가능했으며, 일부 웹사이트에는 해커 조직이 사용하는 로고와 "한국 인터넷 침입을 선포하다"라는 문구가 적힌 페이지가 걸려있었다. 앞서 샤오치잉은 "우리는 계속해서 한국의 공공 네트워크와 정부 네트워크를 해킹할 것"이라며 "우리는 광범위한 범위의 한국 내부 네트워크를 해킹할 것"이라고 예고한 바 있다.
샤오치잉의 행보는 여기서 그치지 않을 것으로 관측됐다. KISA를 비롯해 국내 정부기관과 언론사 등 2000여곳을 다음 타깃으로 지목했다. KISA는 현재 홈페이지 등에서 확인된 특이점은 없지만 사전 대비 작업에 들어갔다. 2만6000여 기업 정보 보호 최고 책임자들에게 관련 내용을 전파하고 비상 신고 채널을 가동 중이다. 이종호 과학기술정보통신부 장관은 전날 KISA 인터넷침해대응센터(KISC)를 방문해 국내 기업·기관 대상 사이버 공격 대응 시스템을 점검했다.복수의 보안업계 관계자들은 이들 학술기관이 비용 문제 탓에 인터넷데이터센터(IDC) 안에서 별도 보안 체계 없이 서버를 운영한 점이 발목을 잡고 있다고 지적했다. 관계 당국이 피해 원인을 분석하고 재발 방지책을 마련하고 있지만, 보안 솔루션·모니터링 시스템 등을 새로 구축하느라 시간이 걸리는 것으로 전해졌다.
문종현 이스트시큐리티 시큐리티센터장은 "(이번 사이버 공격이) 크게 이슈화됐기 때문에 정부나 수사기관 입장에서는 완벽하게 원인을 파악하고 문제점을 해결하기 전까지는 해당 서버를 복구하지 않을 것"이라고 예측했다. 국내 보안업계 관계자도 "샤오치잉 조직처럼 텔레그램 채널을 만들어 해킹 사실을 자랑하고 즐기는 경우는 드물다"며 "지속적으로 팀원들을 모으고 공격 경고를 하는 만큼 더 강한 해킹 활동이 나올 수 있다"고 주의했다.
SK쉴더스 지난해 12월 "2023년 5대 보안 위협 전망 발표"
이에 따라 국내 보안업계에 향후 대응책에 대해 관심이 쏠릴 수 밖에 없는 상황이다. 이미 SK쉴더스는 지난해 12월 2023년 5대 보안 위협 전망을 발표하고 "사전 예방부터 대응과 체계적인 보안 관리 등이 전 산업 영역에 걸쳐 필요한 시점"이라고 예고한 바 있다.
국내 최대 규모 화이트해커 그룹 '이큐스트(EQST)'에 따르면 지난해 3월에는 해킹그룹 랩서스가 글로벌 IT기업 및 제조업을 대상으로 공격을 펼쳐 기밀 데이터를 유출하기도 했으며, 7월에는 국내 의료기관에서 사용 중인 의료 영상 정보 관리 시스템의 서버 공격이 발견돼 의료 기관의 각별한 주의가 요구됐다. 10월에는 대국민 메신저 서비스의 장애 사태를 악용하는 공격이 다수 발생했는데, 기존 공격에 비해 더 많은 대상을 공격 타깃으로 삼기 위해 사회적 이슈를 악용하는 대표 사례로 소개됐다.
업종별 침해사고 발생 통계를 살펴보면 국내에서는 제조업을 대상으로 한 침해사고가 18%로 가장 높은 비중을 차지했으며, 국외에서는 러시아 우크라이나 전쟁의 여파로 공공·정부를 대상으로 한 공격 비중이 21%를 기록했다. 유형별 사고 발생 통계로는 악성코드 감염을 통한 침해사고가 32%로 가장 높은 비중을 차지했다. 이는 귀신(GWISIN) 랜섬웨어의 영향과 Log4j 취약점 등 기존에 알려진 취약점을 이용한 악성코드 배포가 활발해진 것이 주요 원인인 것으로 나타났다. 아울러, 피싱·스캠의 비중이 상반기 대비 4% 증가하며 20%를 기록했는데, 사회적 이슈를 악용한 피싱 공격이 증가하고 있는 만큼 출처가 불분명한 URL 등은 차단해야 한다는 것이 업체 측 주장이다.
SK쉴더스는 랜섬웨어가 더욱 다변화·지능화되고 교묘해질 것으로 전망했고, 국내 타깃형 랜섬웨어가 등장한 이후 데이터 파괴만을 목적으로 한 랜섬웨어가 발견되거나 데이터 베이스 서버의 취약점만을 노린 랜섬웨어 등 신변종 랜섬웨어가 증가하고 있다고 설명했다. 이처럼 랜섬웨어 공격 그룹이 창궐하면서 생존을 위한 공격 방식을 새롭게 변조하고 있어 이로 인한 피해도 늘어날 것으로 예상했다.
이번에 해킹 피해를 본 사례 역시 이 학회·연구소등은 각자 별도 보안존이 아닌 인터넷데이터센터(IDC)내 단순 호스팅 서비스를 받고 있는 구조로 별도 보안 담당자가 존재하지 않는 운영의 목적으로만 서비스되고 있는 구조가 대부분인 것으로 파악된다. 따라서, 보안 솔루션 운영, 취약점 점검, 주기적 모니터링 등의 체계가 존재하지 않아 손쉽게 해킹을 당할 수 있는 구조였던 것으로 보인다고 예측했다.SK쉴더스 "보안 기업 IDC 전용 보안 공유 서비스 구축해야…학회·연구소들 한 번에 관리 할 수 있는 시스템 마련 시급"
이러한 상황에 대비해 SK쉴더스는 사이버물〮리융〮합 보안 역량을 바탕으로 사전 점검에서부터 위협 탐지, 대응 및 복구의 프로세스를 구축해 모든 산업 영역에 대응 가능한 보안 서비스를 체계적으로 제공한다. 다변화되는 랜섬웨어 공격에는 24시간 365일 대응 가능한 '랜섬웨어 대응센터'를 운영해 랜섬웨어 예방에서부터 사고 분석, 보안 백업 등 종합적인 서비스를 제공한다. 고도화되는 모바일 위협에는 자사 모바일 케어 솔루션 ‘모바일가드’를 통해 악성 앱·스미싱 문자 검출 등의 대비가 가능하다. 모바일 가드는 향후 개인 사생활 보호 강화 기능을 추가 적용하며 모바일 케어 플랫폼으로 진화해 나갈 예정이다.
김성동 SK쉴더스 Top-CERT 담당은 "보안에 투자할 여력이 많지 않은 영세한 기관이나 협회 등이 호스팅사에서 제공하는 최소한의 보안 서비스를 이용하거나 보안 기업에서 제공하는 IDC 전용 보안 공유 서비스를 구축해야 한다"며 "이런 학회·연구소들을 모아 한 번에 관리 할 수 있는 시스템을 도입하는 방안을 마련해야 할 것"이라고 말했다. 그러면서 "이는 기관에서도 보안성의 향상을 가져올 수 있으며 보안 예산도 절감할 수 있는 효과를 누릴 수 있을 것으로 생각한다"고 덧붙였다.
이밖에 다른 기관이나 기업 등에서 이번 해킹 공격 피해를 점검해 볼 수 있는 방안에 대해 설명했다. 회사는 외부에 노출된 홈페이지에 파일 업로드 기능 확인 후 웹쉘 업로드 가능 여부를 점검해야 하고, 웹 방화벽(WAF)을 이용해 외부에서 유입되는 SQL-Injection 공격을 탐지하고 차단해야 하며, 침해지표(IP, IoC)의 보안 장비 점검을 통해 내부 영향도를 파악해 감염 피해를 사전에 예방해야 한다고 강조했다.
황성완 기자 skwsb@smartfn.co.kr
댓글
(0)