최근 주요 사이버 침해사고를 분석한 결과, 해킹의 결정적인 원인이 기업의 뒤처진 보안 대응에 있는 것으로 나타났다. 악성코드나 취약점이 발견된 뒤, 보안 대책이 발표되고 충분한 시간이 흐른 뒤에도 이에 대한 조치를 하지 않은 점이 대규모 피해로 돌아왔다는 분석이다.
KISA는 지난 22일 발표한 '2021년 상반기 사이버 위협 동향 보고서'에서 작년 11월 발생한 이랜드그룹 랜섬웨어 감염 사고, 지난 3월 발생한 마이크로소프트(MS) 익스체인지 서버 취약점 공격 등에 대해 이같이 분석했다.
이에 대해 사이버위협에 대한 기업의 신속한 대응을 이끌어낼 수 있는 위협 인텔리전스 공유 체제 마련 및 전사 데이터를 아우르는 백업 체계 도입이 해결책으로 꼽혔다.
■ 이랜드 마비시킨 '클롭', 한 달 전부터 유포되고 있었다
이랜드 그룹은 랜섬웨어 '클롭(Clop)'에 감염돼 NC백화점, 뉴코아아울렛 등 점포 48곳 중 23곳이 일시 휴점하는 피해를 입었다.
당시 클롭은 발견된 지 1년 이상이 지난 랜섬웨어였다. 보안 기업인 안랩은 지난 2019년 클롭을 분석한 보고서를 발표한 바 있다. 안랩에 따르면 그해 국내 369개 기업, 1만3천497개 시스템이 감염 피해를 입었다. 클롭이 MS 액티브디렉토리(AD)를 해킹 표적으로 삼으며 각 공격 대상에 맞춰 정교한 악성메일을 유포한다는 분석도 덧붙였다.
이랜드 해킹 사고가 발생하기 한 달 전부터 동일한 형태의 공격이 시도되고 있던 정황도 존재했다. 이랜드 공격에 쓰인 클롭과 동일한 인증서를 가진 파일들이 미리 유포되고 있었으며, 이 중에는 윈도용 백신 제품인 '윈도 디펜더'를 무력화하는 파일도 포함돼 있었다는 설명이다.
이에 대해 보고서는 "이랜드그룹이 피해를 본 클롭 랜섬웨어는 이미 2019년 2월에 국내에서 발견돼 보안 기업 보고서가 나왔는데, 2020년 11월에 국내 대기업이 피해를 본 것"이라며 "사이버 위협 인텔리전스의 공유와 각 기업에서의 체계적인 예방과 대응이 필요하고, 다만 개별 기업의 기존 보안 역량이 그리 높지 않아서 이를 끌어 올리고 대응하는 지원 체계를 갖출 필요가 있다"고 분석했다.
■해커는 취약점 정보 공개되자마자 공부한다
MS 익스체인지 서버 취약점 공격의 경우 MS가 제품 취약점 4종 및 보안 패치를 발표한 뒤, 공격자들이 이를 참고해 보안 패치를 하지 않은 기업들을 노려 해킹을 시도하는 정황이 나타났다.
이 취약점들은 익스체인지 서버에 대한 원격코드실행을 허용하는 것으로, 심각성이 높게 평가됐다. KISA는 공격자가 숙련된 해커가 아니어도 쉽게 구할 수 있는 해킹 도구로 취약점 공격을 수행할 수 있었다며, 실제 국내 기업 공격 사례에서도 이런 도구를 활용한 정황을 포착했다고 밝혔다.
MS가 보안 패치를 발표할 당시에는 중국 해킹 조직 한 곳이 이 취약점을 악용한 공격을 수행 중이라고 밝혔으나, 이후 글로벌 보안 기업 이셋은 이 취약점을 악용하는 해킹 그룹을 10곳 이상으로 추정했다. 해커들이 취약점 정보를 신속히 파악하고, 이를 토대로 공격을 감행한 것이다.
정작 해당 제품을 사용하는 고객사는 이를 등한시했다는 분석이 제기됐다. 보고서는 "취약점 공지와 패치가 나왔을 때 공격자들은 이를 활용해 공격하지만, 기업에서는 취약점 패치의 필요성과 침해 여부 확인 방법조차 알고 있지 못했다"고 짚었다.
■AD, 편리한 만큼 해킹 시 피해 커…전사 차원의 데이터 백업 훈련 필요
보고서는 과거 해킹 사례를 살펴봤을 때 보안 담당자들이 특히 유의해야 할 사항들도 언급했다.
먼저 클롭 해커가 주로 침투 대상으로 삼았던 AD의 보안 관리를 철저히 할 필요가 있다고 조언했다. 보고서는 "AD는 편리한 사용성만큼 공격자에게 장악되면 치명적인 공격 수단이 된다"며 "AD를 사용하는 회사는 많지만, AD에 대한 관리를 잘하는 회사는 많지 않은 관계로 AD에 대한 권한 관리와 접근 통제를 엄격하게 할 필요가 있다"고 설명했다.
최근 유포되는 랜섬웨어에 대응하기 위해서는 데이터 백업 체계를 혁신할 필요가 있다고도 당부했다. 정보보안·IT 부서에서 임의로 중요 데이터 백업을 수행하는 기존 방식으로는 보안이 충분치 않다는 지적이다. 보고서는 "비즈니스 연속성 관점에서 핵심적인 사업과 업무를 선정하고, 그것의 주관 부서를 중심으로 전사적인 협업을 통한 백업, 복구 및 그에 대한 훈련이 필요하다"고 첨언했다.
관련기사
- 해커 맹공에 보안 '비상'…개인정보 활용 논의도 활발2021.07.05
- 랜섬웨어 활개…"돈낸 곳 중 80%는 또 뜯겨"2021.06.18
- 태니엄 "MS 익스체인지 서버 취약점 대응 지원"2021.05.06
- 랜섬웨어, 피해 기업 소비자도 협박한다2021.03.29
MS 익스체인지 서버 취약점 공격을 효과적으로 차단한 국내 기업의 사례를 들면서, 각 공격 단계별 방어 조치를 취해 공격을 차단할 수 있다고도 밝혔다. 보고서는 "A사는 PC에 설치된 백신과 신속한 대응을 통해 내부 전파 단계에서 악성 행위를 차단했다"고 했다.
그 외 지난 4월 펄스시큐어 가상사설망(VPN) 취약점 공격이 성행한 사실을 언급하면서, 보안 패치가 나왔을 때는 신속히 패치를 적용하고, 패치가 아직 나오지 않았을 경우에는 문제를 정확히 파악해 취약점이 작동하지 않거나 최소화되는 범위에서 소프트웨어를 사용해야 한다고 조언했다.
