"회사 폐업때까지 공격하겠다"…교묘한 이메일 해킹·협박 '기승'

악성코드 없이 정상인 '척'…더욱 교묘해지는 이메일 해킹
"공격 중간 단계도 꾸준히 탐지할 필요"

이재광 한국인터넷진흥원(KISA) 침해사고분석팀장

[아시아경제 이민우 기자] 악성코드 없이 정상인 척 한 뒤 이용자의 정보를 노리는 이메일 해킹이 기승을 부리고 있다. 초기 검증 단계에서 걸러지지 않는 정상적인 엑셀 파일을 첨부한 뒤 파일 세부 내용을 보기 위해 엑셀 내에서 '매크로' 기능을 작동시키면 해킹 프로그램이 설치되는 식이다. 솔루션 개발사, 부품공급사 등 비교적 보안이 허술한 대기업의 영세 협력사들을 노려 정보를 빼돌리는 방식도 많아 각별한 주의가 필요하다.

29일 업계에 따르면 이재광 한국인터넷진흥원(KISA) 침해사고분석팀장은 "악성 이메일은 여전히 해커의 좋은 공격 수단이며 이는 기업에서 여전히 방어가 잘 안 된다는 의미"라며 철저한 대비가 필요하다고 강조했다.

특히 최근의 해킹 유도 이메일들은 자체적으로 악성코드를 담고 있지 않아 이용자들의 방심을 불러일으키는 수법을 사용했다. 이 팀장은 "이들은 메일을 통해 중요 문서는 다른 웹사이트에 있다며 접속 후 메일 계정과 비밀번호를 다시 입력하라고 한다"며 "이렇게 내려 받은 문서들은 악성코드 없는 정상적인 엑셀 파일이지만 정작 내용을 확인할 때 '매크로'를 작동시켜 악성코드를 설치하는 것"이라고 설명했다. 실제로 최근 A업체는 이 같은 수법에 당해 운영 서버 70여대 중 상당수의 정보를 탈취당하고 5만달러의 금전을 요구했다. 이 해커들은 회사 폐업 때까지 공격을 계속하겠다며 으름장을 놓기도 했다.

제공=한국인터넷진흥원(KISA)

이 같은 공격은 주로 기업의 중앙관리서버인 'AD'를 주로 노렸다. 보통 기업들이 내부에서 사용하는 수백대의 PC를 AD에 연결해 관리하는 점을 노린 것이다. 이 팀장은 "직원 1명의 PC만 장악해도 AD에 접근할 수 있다"며 "해커가 AD를 장악하면 기업의 심장을 쥐고 있는 것과 마찬가지"라고 경고했다.

최근에는 직원 뿐만 아니라 구매 파트너, 솔루션 개발사 등 기업의 영세한 협력사까지 노리는 것으로 드러났다. 다소 보안 방비 수준이 낮은 영세 협력사들이 고객사를 관리하기 위해 갖고 있는 고객 정보를 탈취하기 위해서다. 그 밖에도 외부망(인터넷)과 내부망(인트라넷)이 연결되는 지점도 집중 노리는 것으로 조사됐다.

이 팀장은 이 같은 해킹을 막기 위해서는 공격 초기 발생과 사건 인지 이후 뿐만 아니라 공격이 진행중인 상황에 대한 대비도 중요하다고 강조했다. 그는 "해커는 해킹 과정에서 여러군데 거점을 만들어 놓는만큼 악성코드 감염이 확인될 경우 단순히 포맷 등의 조치 뿐만 아니라 식별과 추적, 사후 모니터링 등의 과정을 반복적으로 거쳐야 한다"며 "평시에도, 내부에서 발생하는 이벤트를 수집해 정상과 비정상을 분리하는 안목을 키우는 훈련이 필요하다"고 강조했다.

이민우 기자 letzwin@asiae.co.kr