전 세계적으로 극심한 경제침체가 지속되고 있습니다. 경제위기는 해커들에게 더없이 좋은 기회이기도 하나, 기업들은 경제 상황이 악화될수록 IT 예산을 보수적으로 책정하게 됩니다. 그러나 이런 대응은 오히려 사이버 보안의 위기로 이어질 수밖에 없습니다. 보수적인 예산에서 기업들은 도입 성과가 확실하지 않은 새로운 보안 기술 도입을 주저하고 기본적인 보안기술만을 고수하려고 하기 때문입니다. 하지만 해커들은 이미 상용화된 보안 기술을 우회하거나 피하는 방법을 잘 알고 익숙한 공격 도구와 성공한 방법들을 활용합니다. 해커들은 지하 세계에서 해킹 성공 방식을 공유하며, 공격 도구와 전략 및 전술을 판매하고 심지어 운영하기까지 합니다. 그렇기 때문에 기업이 기존 기술과 방식을 계속 사용하면 해커들에게 쉽게 침해당할 수 있습니다. 기업의 보안 조직은 해킹 사례와 방식을 정확하게 분석하고 대응 방법을 마련해야 합니다. 이를 위해 최근 발생한 최악의 보안 침해 사고를 대표적인 유형별로 소개합니다.
해킹 유형별 보안 침해 사고
솔루션 공급망을 통해 이용 기업에게 확산된 사례 - 솔라윈즈(SolarWinds)의 IT모니터링 솔루션
이 사건은 해커가 솔라윈즈 내부망에 침투해 솔라윈즈가 개발/공급하는 IT 모니터링 솔루션 '오리온'에 악성코드를 심어 소프트웨어 공급망을 통해 해킹이 확산된 사례입니다. 오리온을 사용하는 기업·기관들이 버전을 업데이트하는 과정에서 SUNBURST라는 악성코드가 솔라윈즈의 고객에게 배포된 사상 최악의 공급망 공격 사고였습니다. 이 사고로 미국 국토안보부, 상무부, 재무부 등 핵심 정부 기관과 핵무기 비축량을 관리하는 국가핵안보관리청(NNSA)까지 피해를 입었습니다. 미국 정부 기관 외에도 오리온 플랫폼을 사용하는 전 세계 1만 7,000여 기업과 기관이 피해를 입었습니다.
해커들은 2019년부터 솔라윈즈에 잠입했으며, 2020년 3월부터 솔라윈즈 제품을 이용해 멀웨어(Malware)를 배포하기 시작했습니다. 이후, 여름부터 미국 정부기관을 감염시키기 시작했으며 마이크로소프트, 시스코 등 글로벌 기업들도 대거 영향을 받았습니다. 해당 사고로 위협을 경험한 미국 바이든 행정부는 ‘사이버 보안 행정명령’을 발표하고 ▲정부와 민간의 위협정보 공유 ▲제로 트러스트 아키텍처 채택 ▲소프트웨어 공급망 보안을 위한 SBOM 의무화 ▲정부·민간 부문 전문가로 구성된 사이버 보안 안전 심의 위원회 구성 ▲사고대응을 위한 표준 플레이북 마련 ▲정부 네트워크에서 사이버 보안 사고탐지 개선 ▲사이버 보안 조사 및 수정 기능 개선 등을 의무화했습니다. 이 행정명령으로 미국은 물론 전 세계적으로 제로 트러스트에 대한 관심을 갖기 시작했고, IT/OT 전반에서 제로 트러스트가 새로운 보안 원칙으로 자리 잡게 되었습니다.
랜섬웨어 사례 - 콜로니얼 파이프라인 송유시설 중단
바이든 행정부의 사이버 보안 행정명령 발표 일주일 전, 미국 최대 송유관 기업 콜로니얼 파이프라인(Colonial Pipeline)이 랜섬웨어 공격을 받아 미국 동부 전역의 석유 공급이 일주일간 전면 중단되는 일이 발생했습니다. 러시아 기반 공격그룹 다크사이드(Dark Side)가 벌인 이 사고는 수개월 전부터 피싱, 가상사설망(VPN) 및 원격 데스크톱 통신(RDP)을 통한 계정 탈취, PsExec, 코발트 스트라이크(Cobalt Strike), 서버 메시지 블록(SMB) 취약점 등을 이용해 교묘하게 시스템을 장악했던 것입니다. 이 사고로 미국이 국가비상사태를 선포했으며, 해커에게 440만 달러(약 49억 원)에 달하는 비트코인을 지불했습니다. 뿐만 아니라 사고 직후 세계 최대의 육가공 업체 JBS가 랜섬웨어 공격을 당해 1,100만 달러(약 120억 원) 상당의 비트코인을 지불하는 사고도 발생했습니다. 미국, 호주, 캐나다의 JBS 공장을 마비시킨 이 사고는 또 다른 러시아 공격그룹 리블(Revil)의 소행으로 밝혀졌습니다.
2021년에는 전 세계에서 대규모 랜섬웨어가 극성이었습니다. 국내에서는 이랜드와 자동차 부품 제조기업, 의료기관 등이 잇달아 랜섬웨어 공격을 당해 큰 피해가 있었습니다.
콜로니얼 파이프라인 랜섬웨어 공격은 지하 시장의 질서를 바꾼 계기가 됐습니다. 전 세계 랜섬웨어 피해가 극심해지자 세계 각국 정부 수사기관과 유로폴, 보안기업들이 합동으로 랜섬웨어 범죄자 추적에 나섰습니다. 미국은 악명높은 랜섬웨어 공격그룹이 러시아를 기반으로 활동하고 있다고 경고하며 푸틴 대통령에게 러시아 기반 해커들의 사이버 공격을 막을 것을 강력히 요구하기도 했습니다. 전 세계 수사기관과 보안기업의 공조로 다크사이드 해커의 인프라가 압수당하고 조직원 일부가 검거됐으며, 범죄수익금의 상당 부분이 회수됐습니다.
중요정보 유출 사례 – 해킹집단 LAPSUS$(랩서스)의 엔비디아·삼성·LG전자 해킹
악명높은 공격그룹이 활동을 중단하자 새로운 공격그룹 LAPSUS$의 활동이 두드러졌습니다. 랩서스는 2021년 5월부터 딥웹(Deep Web) 포럼에서 활동이 포착됐으며, 브라질 보건부를 시작으로 브라질과 남미에서 활동하다가 2022년 엔비디아, 삼성전자, LG전자, 마이크로소프트 등 글로벌 기업의 중요정보를 탈취해 공개하면서 관심을 끌었습니다.
해커들은 VPN 계정을 이용해 MFA(다중인증, Multi Factor Authentication)를 우회했으며, 소셜 엔지니어링, 직원 메일계정, 내부자 매수 등을 이용해 공격을 행했습니다. 헬프데스크를 통한 공격도 발생했는데, 제한되어 있는MFA 인증 횟수를 고의로 초과한 후 헬프데스크에 연락해 MFA를 자신의 매체로 재설정했습니다. 이후, 피해기업의 외주업체 직원 PC에 침투한 후 협업 툴을 이용해 중요 정보에 접근했습니다. 뿐만 아니라, 휴대전화 대리점 직원을 매수해 심(SIM) 스와프를 악용한 공격을 벌이기도 했습니다. 대부분이 공격의 배후를 잘 훈련된 사이버 스파이일 것으로 예측했지만, 검거된 조직원들은 10대 후반에서 20대 초반의 젊은 해커들이었습니다. 이들은 돈 만이 아니라 기술에 대한 과시가 주목적이었던 것입니다. 너무 쉽게 얻을 수 있는 공격도구와 방법이었습니다.
랩서스의 공격 수법은 2021년 다수의 주요 해커 조직이 힘을 잃은 후 이 틈을 타 완전히 새로운 유형의 해커가 등장하면서 크게 주목받았습니다. 해킹 수법은 끝없이 진화하고, 사이버 공격은 연일 잇따르지만, 이에 따라 보안 또한 지속적으로 강화하기 때문에 대부분의 공격은 막을 수 있습니다. 또, 대규모 해킹은 주로 잘 알려진 해커 조직에 의해 행해지고, 이러한 해커 조직들이 사용하는 도구와 전략, 전술은 이미 공공연하게 알려져 있어서 침투 정황이 발견되면 이들의 목적과 수법을 빠르게 파악해 대처할 수 있습니다.
반면, 랩서스는 모두가 예상하지 못했던 해킹 수법을 사용했으며, 어떤 패턴으로 공격할지 그 누구도 예측할 수 없었습니다. 보안기업 맨디언트(Mandiant)가 작년 4월에 발표한 M-Trends 2022 보고서에 따르면 새로운 해커의 유입으로 해커 생태계가 변하고 있다며 이들은 돈 뿐 아니라 자랑하고 명성을 얻기 위해 공격하고 있고 이전과 다른 새로운 방식을 취하기 때문에 대응이 더 어려워질 것이라는 분석이 나왔습니다.1 조직원 일부가 검거된 후 랩서스는 활동을 멈추고 자취를 감춰 이들의 실체를 정확하게 알아낸 보고서는 아직 없습니다.
개인정보 유출 사례 - LG 유플러스
2023년 1월, LG 유플러스 개인정보 대규모 유출 사고가 발생했습니다 LG 유플러스는 해커가 개인정보를 판매한다는 글을 게시했다는 사실을 제3기관을 통해 통보 받은 후에야 개인정보 유출 사실을 파악했습니다. 어떤 경로로 해킹을 당했는지 알려지지 않았고 유출 규모와 유출된 정보도 정확하게 파악하지 못해 처음에는 18만 명이라 밝힌 후 나중에 29만 명, 피해 건수가 59만 건이라고 정정했습니다.2
해커는 수단과 방법을 가리지 않고 개인정보를 갈취하기 때문에 해킹을 완전히 막는 것은 불가능에 가깝습니다. 해커의 침입과 불법적인 유출을 막을 수 있는 최대한의 노력을 다하고, 사고 시 즉시 고객과 관계기관에 알려 추가 피해를 막아 사고 수습에 성실히 임해야 합니다. 지난 2월 말 개인정보 보호법 개정안이 국회를 통과하면서 개인정보 활용 범위가 넓어졌습니다.3 개인정보 전송 요구권의 일반 법적 근거가 신설되면서 마이데이터 서비스가 다양한 영역에서 보편적으로 이뤄질 수 있게 됐습니다. 뿐만 아니라, 동의의 범위와 의미가 완화돼 예상할 수 있는 범위의 활용은 정보 주체의 동의가 없어도 수집과 활용이 가능해졌고, AI에 대한 정보 주체의 권리 신설, 개인정보 유출 시 과징금을 전체 매출액의 3%까지로 상향 조정하는 등 개인정보 보호를 위한 내용도 강화됐습니다. 개인정보 보호법으로 개인정보 유출 사고를 막는 데는 한계가 있겠지만, 법을 지키는 활동으로 위협 수준을 낮출 수는 있습니다. 기업과 기관은 더욱 극심해지는 개인정보 유출 사고를 막을 수 있도록 기술적 조치, 관리적 조치를 더욱 정비해야 할 것입니다.
세줄 요약
하나. 경제위기는 사이버 보안의 위기로 이어질 수밖에 없음
둘. 해커는 보안기술의 취약점을 파악하고 있기 때문에, 해킹 예방을 위해서는 보안 기술과 정보의 업데이트 필요
셋. 해킹 최소화를 위해서는 기업과 기관의 기술적 조치, 관리적 조치 강화 필수
해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 다우기술에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
Featured images via gettyimages.
References
1. Mandiant 2022년 사이버 보안 전망, 멘디언트, 2022.04
2. LG유플러스 개인정보 유출사고로 되짚어본 LG그룹 해킹사건 일지, 보안뉴스, 2023.02
3. 개인정보 유출 때 매출액 3% 과징금…개인정보 보호법 전면개정, 아시아경제, 2023.03
