"상반기 악성메일 17만건 탐지…벌써 작년 한해 치 상회"

최현석 기자 기자 페이지

(서울=연합뉴스) 최현석 기자 = SK인포섹은 17일 올해 상반기 탐지한 악성메일이 17만여건으로 이미 작년 한 해 수준을 넘어섰다고 밝혔다.

SK인포섹 내 보안전문가그룹 이큐스트(EQST)의 김성동 침해사고대응팀장은 17일 경기도 성남시 판교 본사에서 열린 미디어 간담회에서 상반기 탐지된 악성 메일 건수가 17만1천400건으로 집계됐다고 전했다.

이는 작년 한 해 동안 탐지한 16만3천387건을 상회하는 수준이다.

김 팀장은 하반기까지 고려하면 올해 악성 메일 공격이 작년의 2배 이상으로 확대될 것으로 예측했다.

상반기 이메일이 최초 침입 경로가 된 사례는 전체 해킹 사고 중 35%에 달했다. 소프트웨어·서버의 보안 취약점과 보안 정책 미설정 등에 따른 해킹사고가 각각 21%로 뒤를 이었다.

해킹 공격을 당한 기업은 대부분 중국 지사를 보유하고 있어 중국 관련 해커의 소행으로 추정되고 있다.

일부 반도체 회사가 이례적으로 1주일간 공격받은 사례도 접수됐다.

이메일 공격은 주로 '견적서', '대금청구서', '계약서' 등 수신자의 메일 확인을 유도하는 단어를 활용했다. 메일 제목에 일련번호처럼 숫자를 붙여서 보안 시스템을 우회하는 사례도 발견됐다.

김 팀장은 종전에는 이메일 경로로 기업 시스템에 침투한 이후 랜섬웨어에 감염시키거나 채굴형 악성코드를 심는 경우가 많았지만 올해 들어서는 피해를 확산시키기 위해 중앙관리(AD) 서버를 장악하는 시도가 많아지고 있다고 전했다.

AD 서버는 윈도 시스템 관리 도구로, 다수 시스템의 관리자 계정과 설정, 정책 배포 등을 효율적으로 관리할 수 있다.

AD 서버가 공격자에게 장악될 경우 내부망 권한도 함께 넘겨주게 된다. 권한을 확보한 공격자는 윈도 SMB(파일 공유 프로토콜) 기능을 이용해 악성파일을 여러 곳에 전파할 수 있다.

작년부터 발견된 'CHAD' 공격은 이메일 침투, AD 서버 장악, SMB 전파 등 대규모 공격의 공통분모를 갖고 있으며 올해 초까지 4개 기업에 연달아 피해를 줬다.

김 팀장은 "이메일로 침투해 AD 서버를 장악하고, 윈도 SMB 기능을 통해 악성 파일을 여러 시스템으로 전파하는 행위가 공식처럼 이뤄지고 있다"며 "AD 서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다"고 말했다.

그는 "회사에서 무심코 열어본 이메일이 큰 피해를 줄 수 있다"며 "이메일 공격을 효과적으로 차단할 수 있는 전용 솔루션을 도입하고 임직원이 이메일 공격에 대한 경각심을 가지도록 지속적인 모의 훈련을 병행해야 한다"고 당부했다.

EQST 그룹은 간담회에서 클라우드 보안 위협에 대해서도 발표했다.

클라우드에 여러 애플리케이션을 편리하게 배치하기 위해 사용하는 몇몇 컨테이너 기술의 보안 취약점을 설명하고 이를 이용한 가상 공격 시나리오를 시연했다.

이런 공격 시나리오를 활용해 해커가 기업 클라우드에 침투해 랜섬웨어를 감염시키거나 채굴형 악성코드를 설치한 사례도 있다고 전했다.

SK인포섹은 하반기 기업 보안 지원을 위해 클라우드 보안가이드와 IoT 진단 방법론 가이드 등을 발간할 예정이다.

harrison@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2019/07/18 09:00 송고