17일 성남시 판교 SK인포섹 본사에서 열린 EQST 기자간담회에서 김성동 침해사고대응팀장이 이메일 공격의 위험성에 대해 발표하고 있다.  제공 | SK인포섹

[스포츠서울 김민규기자]

올해 상반기에 발생한 해킹사고 중에서 e메일이 최초 침입경로가 된 사례가 전체 35%에 달한다는 조사결과가 나왔다. 무심코 열어본 e메일로 인해 회사 기밀이 유출되는 등 피해가 발생하는 것이다.

SK인포섹은 지난 17일 경기도 성남시 판교 본사에서 열린 이큐스트(EQST)그룹 기자간담회에서 이 같은 e메일과 AD서버를 노린 사이버 공격의 위험성에 대해 밝혔다.

이날 발표에서 이큐스트는 자체 조사결과를 인용해 올해 상반기에 발생한 해킹사고 중 e메일이 최초 침입 경로가 된 사례가 35%에 달하며, 소프트웨어 및 서버의 보안 취약점, 보안 정책 미설정 등으로 인한 해킹사고가 각각 21%로 뒤를 이었다고 설명했다. e메일을 통한 해킹공격은 주로 ‘견적서’, ‘대금청구서’, ‘계약서’ 등 수신자의 메일 확인을 유도하는 단어를 활용한 것으로 나타났다. 또한 메일 제목에 일련번호처럼 숫자를 붙여서 보안 시스템을 우회하는 사례도 발견됐다.

김성동 이큐스트 침해사고대응팀장은 “올 상반기에 탐지된 악성 메일 건수가 17만1400건이며, 이는 지난해 1년 동안 탐지한 16만3387건보다 많다”면서 “남은 하반기까지 고려하면 악성 메일 공격이 전년 대비 2배 이상으로 확대될 것”이라고 예측했다.

김 팀장에 따르면 e메일을 경로로 기업 시스템에 침투한 이후에는 랜섬웨어에 감염시키거나, 채굴형 악성코드를 심는 경우가 많았다. 특히 올해는 피해를 확산시키기 위해 AD(Active Directory)서버를 장악하는 시도가 많아졌다. AD는 윈도우 시스템 관리 도구를 말하는 것으로, 이를 이용하면 다수 시스템의 관리자 계정과 설정, 정책배포 등을 효율적으로 관리할 수 있다.

하지만 AD서버가 공격자에게 장악될 경우 내부망 권한을 넘겨주게 되고, 권한을 확보한 공격자는 윈도우 파일공유프로토콜(SMB)을 이용해 악성파일을 여러 곳에 전파할 수 있어 피해가 확산되는 것이다.

김 팀장은 “최초 e메일로 침투해 AD서버를 장악하고, 윈도우 SMB 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 공식처럼 이뤄지고 있다”면서 “AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다”고 강조했다.

그러면서 그는 이큐스트가 실제 침해사고 조사를 맡았던 ‘CHAD’란 공격에 대해서도 언급했다. CHAD는 공격자가 사용한 패스워드 ‘chapchap’의 앞 두 글자와 AD를 합한 단어로, 지난해 처음 발견됐다. CHAD공격은 e메일 침투, AD서버 장악, SMB전파 등 대규모 공격의 공통 분모를 갖고 있으며, 올해 초에만 4개 기업에 연달아 피해를 입혔다.

김 팀장은 “회사에서 무심코 열어본 e메일이 회사에 큰 피해를 줄 수 있다”면서 “e메일 공격을 효과적으로 차단할 수 있는 전용 솔루션을 도입할 필요가 있으며, 회사 임직원들이 e메일 공격에 대한 경각심을 가질 수 있도록 지속적인 모의 훈련이 병행돼야 한다”고 제언했다.

한편 이큐스트그룹은 이날 기자간담회에서 클라우드 보안 위협에 대해서도 발표했다. 클라우드에 여러 애플리케이션(앱)을 편리하게 배치하기 위해 사용하는 몇몇 컨테이너 기술의 보안 취약점을 설명하고, 이를 이용한 가상의 공격 시나리오도 시연했다.

kmg@sportsseoul.com