인터넷진흥원 "해커, 연결된 PC 서버 조종 가능한 AD 노려"

올해 상반기 이메일과 제품 공급망, 망분리 등이 해커의 주요 공격 대상으로 부상한 것으로 파악됐다.

한국인터넷진흥원(KISA) 이재광 침해사고분석팀장은 지난 26일 서초구 서산빌딩에서 열린 정보보호 스터디에서 악성 이메일과 공급망 위협, 망분리 공격 등이 최근 기업에 상당한 위협이 되고 있다고 밝혔다.

그는 "해킹 메일은 여전히 좋은 공격 수단으로, 기업이 방어하기에 한계가 있다"며 "메일에 악성코드 파일을 첨부하거나 링크를 걸어두는 방식이 사용된다"고 설명했다.

그는 또 "메일 내 링크를 클릭하면 이용자가 사용하는 이메일 로그인 화면이 뜨고 패스워드가 틀리면 오류 창이 뜨기 때문에 정상 화면으로 믿기 쉽다"며 "최근에는 매크로 기능 실행을 유도하는 엑셀 파일을 이용한 공격도 많다"고 말했다.

이 팀장은 "해커는 연결된 PC 서버를 마음대로 조종할 수 있는 중앙관리서버(AD)에 관심이 있다"며 "해커가 AD를 장악했다면 기업의 심장을 가지고 나간 것과 같다"고 경고했다.

AD가 장악되면 기업의 사용자 PC마다 악성코드를 설치해 기업 내부를 모니터링할 수 있다는 것이다.

이 팀장은 "영세한 공급 업체들은 영업을 위해 고객사 정보를 갖고 있다"며 "해커가 이들 업체를 해킹해 제품의 취약점을 찾고 제품을 사용하는 기업을 공격하는 데 이용한다"고 경고했다.

이어 "망분리의 가장 큰 문제는 관리의 문제"라며 "기업이 망을 분리하고서도 비상 작업을 위해 인터넷망에서 폐쇄망으로 통하는 길을 만들어 놓지만 해커가 이를 다 찾아낸다"고 지적했다.

이 팀장은 " 악성코드가 감염된 시스템이 확인될 경우 단순히 포맷만 하지 말고 식별과 추적, 사후 모니터링 등 과정을 반복적으로 거쳐야 한다"며 "기업도 평상시 내부에서 어떤 침해 행위가 발생하는지 지켜보고 정상과 비정상을 구분하는 안목을 키우는 훈련이 필요하다"고 당부했다.

"이메일·공급망·망분리, 주요 사이버공격 대상 부상"
/연합뉴스