'귀신'이 보낸줄 모르고 파일 클릭…수백만弗 날린다
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
최근 국내 한 기업 C레벨(최고책임자)급 임원은 거래처에서 보낸 것 같은 이메일을 열었다.
한국 기업만을 노리는 해커조직 귀신은 데이터를 암호화해 인질로 잡고 협상금을 요구한다.
2일 한국인터넷진흥원(KISA) 인터넷침해대응센터(KISC)에 따르면 지난해 한국 기업의 해킹 피해 신고 건수는 1142건이다.
귀신 랜섬웨어가 한국 기업을 겨냥해 한글로 맞춤형 제작되고, 한국 공휴일 새벽시간을 이용해 공격해오기 때문이다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
신종 수법 '스테가노그래피'
영상·사진에 악성코드 숨겨놔
北, 간첩에 지령 보낼때 사용
韓기업 노리는 해커조직 '귀신'
데이터 암호화해 인질로 잡고
협상금으로 비트코인 등 요구
국내 기업 작년 해킹피해 2배로
최근 국내 한 기업 C레벨(최고책임자)급 임원은 거래처에서 보낸 것 같은 이메일을 열었다. 메일에는 거래 명세서로 보이는 사진 파일이 있었다. 그는 별다른 의심 없이 파일을 확인했다. 순간 회사의 핵심 데이터가 북한의 지원을 받는 것으로 추정되는 해커조직 ‘GWISIN(귀신)’의 손아귀로 넘어갔다. 데이터에 모두 암호가 걸리면서 열 수 없게 됐다. 귀신은 암호를 해제하기 위해서는 325만달러 상당의 암호화폐를 지급하라고 요구했다. 유출 데이터의 외부 판매를 막기 위해선 650만달러, 보안 취약점 분석 보고서를 받고 싶다면 700만달러를 내놓으라고 했다.
북한이 간첩들에게 지령을 보낼 때 사용했던 ‘스테가노그래피’가 신종 해킹 수법으로 진화했다. 스테가노그래피는 영상이나 사진에 메시지를 숨기는 것을 말한다. 한국 기업만을 노리는 해커조직 귀신은 데이터를 암호화해 인질로 잡고 협상금을 요구한다.
2일 한국인터넷진흥원(KISA) 인터넷침해대응센터(KISC)에 따르면 지난해 한국 기업의 해킹 피해 신고 건수는 1142건이다. 2021년(640건) 대비 거의 두 배 증가했다. 특히 랜섬웨어 신고 건수는 2019년 39건에서 작년 325건으로 열 배 가까이 늘었다.
랜섬웨어는 몸값을 뜻하는 랜섬과 악성 코드를 뜻하는 멀웨어의 합성어다. 사용자 동의 없이 시스템에 설치돼 파일을 모두 암호화한 뒤 인질로 잡고 돈을 요구하는 악성 프로그램이다. 심재홍 KISC 단장은 “암호화폐 보급과 함께 랜섬웨어 공격으로 돈을 벌 수 있다는 인식이 해커조직 사이에 퍼지면서 피해가 커지고 있다”고 말했다.
랜섬웨어를 심는 수법은 다양하다. 최근에는 스테가노그래피 기법이 많다. 예를 들어 회사 로고(CI)로 보이는 그림 파일 안에서 색을 구성하는 코드 뒤에 숫자 ‘1’ 또는 ‘0’을 추가해 별도의 명령어를 만든다. 사용자가 그림 파일을 열면 전체 명령어가 실행된다. 대부분의 보안 프로그램이 속도 저하를 이유로 사진이나 영상을 꼼꼼하게 검색하지 않는다는 약점을 파고든다.
귀신은 북한의 지원을 받는 해커조직으로 추정된다. 귀신 랜섬웨어가 한국 기업을 겨냥해 한글로 맞춤형 제작되고, 한국 공휴일 새벽시간을 이용해 공격해오기 때문이다. 국내 대형 제약사, 정보기술(IT) 기업, 금융회사들이 잇따라 공격당한 것으로 알려졌다.
사회적 이슈를 이용해 랜섬웨어를 심는 수법도 급증했다. 이태원 참사가 대표적이다. 정부 공식 보고서로 위장한 MS워드 문서 형식 악성 코드 ‘★서울 용산 이태원사고 대처상황(06시).docx’가 작년 10월 말 빠르게 유포됐다. 문서 파일 자체는 보안 프로그램의 감시망을 피했다. 파일이 실행되고 나서야 MS 공식 홈페이지 주소로 위장한 외부 인터넷망에 연결돼 추가 악성 코드를 가져오기 때문이다.
이렇게 심어진 악성 코드는 키로깅(키보드로 PC에 입력하는 내용을 가로채는 행위), 시스템 정보수집, 정보 유출 등 임무를 했다. 코로나 바이러스 대응 보고서로 위장하거나 20대 대통령 선거 관련 보도자료로 위장한 악성 코드도 있었다. 이런 자료에선 북한 공식 담화문 등에서 주로 쓰는 단어인 ‘불비’ 등이 발견됐다. 북한 해커조직의 소행이란 방증이다.
전문가들은 신원을 알 수 없는 발신자의 메일 첨부파일은 절대로 열지 말라고 조언했다. 곽경주 S2W랩 위협분석센터장은 “어떤 사용자의 접속도 신뢰할 수 없다고 가정한 보안체계와 신속한 2중, 3중 복구체계를 평소에 구축해야 한다”고 말했다.
김진원 기자 jin1@hankyung.com
▶ 해외투자 '한경 글로벌마켓'과 함께하세요
▶ 한국경제신문과 WSJ, 모바일한경으로 보세요
Copyright © 한국경제. 무단전재 및 재배포 금지.
- 공매도 공격에도 85% '급등'…큰손 박살낸 주식 어디?
- "미국산만 써라" 바이든 폭탄 선언…한국 수출기업 '초비상'
- 5억 넘는 슈퍼카, 나오기도 전에 '완판'…'영포티' 심장 훔쳤다
- 한 숟갈만 부어도 달라진다…백종원도 반한 '비장의 무기'
- "걸쳤다 하면 품절"…콧대 높은 루이비통도 BTS·블핑에 '열광'
- [종합] '야신' 김성근 "'제자' 이승엽, 우리 집 앞 빌딩 샀다…난 그늘에"('유퀴즈')
- '버닝썬' 빅뱅 전 멤버 승리, 1년 6개월 복역 마치고 출소
- '프로포폴 혐의' 유아인, 중국서 실검 1위…광고도 '손절'
- "나이키 '범고래' 웃돈 주고 질렀는데…여행지서 75명 목격"
- 이상순, 제주 카페 논란에 "이효리와 무관…온전히 제 카페"