"입사 지원합니다"..우영우처럼 클릭했다 수십억 덜미

최훈길 입력 2022. 9. 22. 21:54
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
랜섬웨어 대응 협의체, 韓 노린 해킹에 경고
입사지원서처럼 속여 메일 보내고 자금 탈취
코로나 원격근무 늘면서 IT 취약점 노려 공격
SK쉴더스 "사전탐지·차단·대응 보안 강화해야"

[이데일리 최훈길 기자] 구직을 한다며 입사지원서를 보내는 방식 등으로 기업에 사이버 공격을 감행해 많게는 수십억원 씩 탈취하는 해킹이 잇따르고 있다. 코로나19로 원격 근무가 늘어난 상황에서 주기적으로 관리 시스템을 점검하고 사이버 보안을 강화하는 게 필요하다는 지적이 제기된다.

‘이상한 변호사 우영우’ 드라마. (사진=ENA)

‘이상한 변호사 우영우’ 드라마. (사진=ENA)

22일 SK쉴더스에 따르면 민간 랜섬웨어 대응 협의체인 ‘카라(KARA:Korea Anti-Ransomware Alliance)’는 이날 이같은 해킹 사례를 담은 랜섬웨어 동향 보고서를 발간했다. 카라는 트렌드마이크로, 지니언스(263860), 에스투더블유(S2W), 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등이 참여한 협의체다. SK쉴더스 랜섬웨어 대응센터가 이 협의체의 컨트롤타워를 맡고 있다.

랜섬웨어(Ransomware)는 몸값(Ransom)과 악성코드를 뜻하는 멀웨어(Malware)의 합성어다. 시스템을 해킹한 뒤 악성코드로 데이터를 암호화하고 이를 인질 삼아 금전을 요구하는 사이버 공격이다.

카라는 이번 보고서에서 대표적인 서비스형 랜섬웨어 그룹인‘비너스락커(VenusLocker)’를 분석했다. 비너스라커는 2016년부터 ‘스피어 피싱(Spear Phishing)’ 공격 방법을 사용해 랜섬웨어를 유포했다. 스피어 피싱은 특정 개인·회사를 대상으로 한 해킹 방법이다. 공격 대상에 대한 정보를 사전에 충분히 수집한 후 정밀하게 공격하는 것이다.

이들은 공공기관을 사칭하거나 입사지원서 관련 이력서, 포트폴리오 등의 메일로 위장한다. 메일 첨부파일에 랜섬웨어를 유포해 자금을 탈취한다. ‘이상한 변호사 우영우’ 드라마에서도 나온 스피어 피싱은 메일 등을 통해 손쉽게 해킹을 하는 것이다. 최근에는 버전 업데이트, 공격 수법 다각화로 사이버 공격을 감행하고 있다.

‘포보스(Phobos)’ 랜섬웨어, ‘귀신(GWISIN)’ 랜섬웨어도 기승을 부리고 있다. 포보스 랜섬웨어는 2017년 발생해 꾸준히 변종이 발견되고 있다. 귀신 랜섬웨어는 한국 기업만을 겨냥해 해킹을 하고 자금 탈취를 하고 있다.

이들 랜섬웨어는 공격 대상을 선정하기 위해 다양한 방법으로 내부 정찰 시도→내부 인프라 침입→데이터 암호화→시스템 마비 수법을 썼다. 이후 데이터를 유출하겠다는 협박을 하면서 공격했다. 정밀하게 계획된 고도화된 전략을 사용하고 있는 셈이다.

SK쉴더스의 ‘2022년 상반기 보안 트렌드 보고서’에 따르면 가상자산을 겨냥한 사이버공격이 급증하면서 올해 전체 산업 분야에서 금융 분야 해킹 비중이 25%에 달했다. 이 비중은 전 분야에서 가장 높은 수준이다. (사진=SK쉴더스)

SK쉴더스의 ‘2022년 상반기 보안 트렌드 보고서’에 따르면 가상자산을 겨냥한 사이버공격이 급증하면서 올해 전체 산업 분야에서 금융 분야 해킹 비중이 25%에 달했다. 이 비중은 전 분야에서 가장 높은 수준이다. (사진=SK쉴더스)

이같은 랜섬웨어는 매년 공격 대상, 전략, 몸값 요구 방법 등을 다각화하면서 국내 피해 규모가 눈덩이처럼 불고 있다. 코로나19로 원격근무가 증가하면서 취약한 가상사설망(VPN)을 노려 공격하기도 한다. 개발자가 랜섬웨어를 제작·판매하고 공격자가 이를 구매·유포한 뒤 수익을 나눠갖는 ‘서비스형 랜섬웨어(RaaS·Ransomware as a Service)’까지 등장했다.

카라는 이같은 랜섬웨어 공격을 피하려면 단일 솔루션·서비스가 아닌 단계별 보안 요소및 프로세스를 마련해야 한다고 입을 모았다. 랜섬웨어를 미리 탐지하고 차단해야 한다는 것이다. 이를 위해서는 기업 내부의 네트워크와 인프라 자산에 대한 체계적인 관리와 대응 프로세스가 수립돼야 한다.

카라는 구체적으로 △네트워크 침입 탐지 및 차단 시스템 도입 △엔드포인트(최종 지점) 침입 탐지 및 대응(EDR) 솔루션 구축 △네트워크 내 접근 최소화 △정기적인 보안 교육 및 모의 훈련 등 종합적인 대책을 마련할 것을 주문했다. 백업 장비에 보안 시스템과 망분리가 적용된 보안 백업 솔루션 도입도 제안했다. 정기적으로 데이터를 백업하고 내부 데이터를 보호하는 게 필요해서다.

365일 랜섬웨어 대응 센터를 운영 중인 SK쉴더스의 김병무 클라우드사업본부장은 “최근 랜섬웨어 공격자들은 조직적인 시스템을 갖춰 표적 공격을 수행하며 수십억원의 몸값을 요구하고 있다”며 “SK쉴더스는 카라 회원사와 함께 랜섬웨어 공격에 대한 체계적인 대응 프로세스를 마련할 것이다. 주요 랜섬웨어 정보와 대비책을 공유하는 활동도 지속적으로 이어갈 것”이라고 강조했다.

최훈길 (choigiga@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
이데일리에서 직접 확인하세요. 해당 언론사로 이동합니다.