사장님이 갑자기 보낸 메일, 알고보니 '해킹 미끼'

상반기 발생 해킹 사고 중 35% 이메일이 최초 침입 경로

이미지=게티이미지뱅크

[아시아경제 김철현 기자] 최근 이메일을 통한 해킹 위협이 급증하고 있는 것으로 나타났다. 특히 기업 최고경영자(CEO) 등을 사칭해 메일을 보내 첨부된 파일을 클릭하게 유도하고 이를 통해 정보를 탈취하는 사례가 늘어나 주의가 요망된다.

21일 보안기업 파이어아이가 발표한 이메일 위협 보고서에 따르면 올해 1분기 피싱 이메일 공격이 전 분기 대비 17% 증가했다. 특히 경영진을 사칭한 공격이 지속적으로 늘어난 것으로 집계됐다. 대부분 조직의 회계 담당 부서를 타깃으로 CEO나 다른 고위 임원을 사칭한 '스푸핑' 이메일을 발송하는 방식이다. 스푸핑은 승인받은 사용자인 것처럼 시스템에 접근하거나 네트워크상에서 허가된 주소로 가장하는 공격 행위를 말한다.

올 1분기에는 조직 급여를 제3자 계좌로 빼돌리기 위해 급여 관련 부서에 은행 계좌 정보 등의 개인 정보 변경을 요청하는 이메일을 보내는 신종 수법도 발견됐다. 또 기존에 신뢰를 쌓아온 공급업체가 보낸 이메일로 가장해 해당 업체에 대한 지불금이 제3자 계좌로 입금되도록 유도하는 해킹 사례도 있었다. 켄 배그널 파이어아이 이메일 보안 부문 부사장은 "위협 행위자들의 수법은 계속해서 진화하고 있다"며 "더 위험한 것은 새로운 표적들은 이러한 사이버 공격들을 식별할 준비가 돼 있지 않고 필요한 지식도 부족하다는 점"이라고 강조했다. 사기 행위가 발견되는 시점에 이미 계좌로 입금을 끝낸 경우가 많다는 것이다.

SK인포섹의 자체 조사에서도 올해 상반기에 발생한 해킹 사고 중 이메일이 최초 침입 경로가 된 사례가 35%에 달하는 것으로 나타났다. 이메일 공격은 주로 '견적서', '대금청구서', '계약서' 등 수신자의 메일 확인을 유도하는 단어를 활용했다. 또한 메일 제목에 일련번호처럼 숫자를 붙여서 보안 시스템을 우회하는 사례도 발견됐다. 김성동 SK인포섹 EQST 침해사고대응팀장은 "올해 상반기에 탐지된 악성 메일 건수가 17만1400건이며, 이는 작년 한해 동안 탐지한 16만3387건을 상회한다"면서 "남은 하반기까지 고려하면 악성 메일 공격이 전년 대비 2배 이상으로 확대될 것"이라고 말했다.

이메일을 경로로 기업 시스템에 침투한 이후에는 랜섬웨어에 감염시키거나 채굴형 악성코드를 심는 경우가 많았는데 올해 들어서는 피해를 확산시키기 위해 'AD(Active Directory) 서버'를 장악하는 시도가 많아지고 있는 것으로 조사됐다. AD는 윈도 시스템 관리 도구를 말한다. AD서버가 공격자에게 장악될 경우에는 내부망 권한도 함께 넘겨주게 돼 권한을 확보한 공격자는 윈도 파일 공유 프로토콜(SMB) 기능을 이용해 악성파일을 여러 곳에 전파할 수 있다.

김 팀장은 "최초 이메일로 침투해 AD서버를 장악하고, 윈도 SMB 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 공식처럼 이뤄지고 있다"면서 "AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다"라고 설명했다. 그는 이어 "회사 임직원들이 이메일 공격에 대한 경각심을 가질 수 있도록 지속적인 모의 훈련이 병행돼야 한다"고 했다.