본문 바로가기
사이버공격, 랜섬웨어는 데이터 탈취 뒤 ‘시선분산’용
김대은 기자|kde125@kidd.co.kr
페이스북 트위터 카카오스토리 네이버블로그 프린트 PDF 다운로드

사이버공격, 랜섬웨어는 데이터 탈취 뒤 ‘시선분산’용

사이버 위협 대응, 관점 바꿔 생각 해봐야

기사입력 2024-06-05 16:38:45
페이스북 트위터 카카오스토리 네이버블로그 프린트 PDF 다운로드
사이버공격, 랜섬웨어는 데이터 탈취 뒤 ‘시선분산’용
안랩 추상욱 부장

[산업일보]
“세상에 두 종류의 회사가 있다고 한다. 공격당한 사실을 아는 회사와 모르는 회사”

안랩의 추상욱 부장은 4일 ‘제13회 개인정보보호페어 & CPO워크숍(PIS FAIR 2024)’에서 강연을 진행하며 위와 같이 말했다.

‘사이버 위협 대응 관점에서 바라보는 개인정보 유출 사고 방지 방안’을 주제 삼아 연사로 나선 그는 “사이버 위협을 받았을 때, 관점을 바꿔서 볼 필요가 있다”라고 운을 띄웠다.

그러면서, 무인도와 배를 예로 들었다. 무인도에 고립된 사람은 멀리서 보이는 배가 자신을 구해줄 것이라고 기대하지만, 사실 그 배에 타고 있던 사람은 바다를 표류하던 조난자로 그 무인도가 탈출구라고 생각할 수도 있다는 것이다.

추 부장은 “어떤 조직이든 보안에는 꽤 많은 구멍이 존재하고 있는데, 과연 우리가 그 구멍들을 모두 감시하고 있는지, 아니면 보고 싶은 것만 살펴보고 있는 건 아닌지 생각해 보자”라고 해설했다.

이어, “2022년과 2023년, 두 해만 두고 보더라고 굉장히 많은 사이버보안 이슈가 있었다”라며 “사용자 입장에서 개인정보를 탈취당한 기업은 가해자겠지만, 보안회사에서 그 기업은 또 하나의 피해자”라고 안타까움을 전했다.
사이버공격, 랜섬웨어는 데이터 탈취 뒤 ‘시선분산’용
해커조직 ‘LOCK BIT’의 메인화면(왼쪽)과 커뮤니티(오른쪽)

추상욱 부장은 ‘딥웹’에서 이러한 사이버공격을 감행하는 ‘LOCK BIT’이라는 조직을 소개하며 “이들은 갱단이면서, 회사기도 하다. 본인들만의 정책도 있고 홍보팀도 있다”라고 말했다.

이 조직은 자신들만의 커뮤니티를 운영하고 있는데, 여기서 데이터를 탈취했다고 주장하는 국가기관·기업체의 웹사이트 주소를 올려놓고 일정 기간의 카운트다운을 표시한다. 그 기간 안에 대가를 치르라는 뜻이다.

2023년 3월 LOCK BIT은 한국 국세청의 정보를 탈취했으며, 4월 1일 기준으로 공개하겠다고 예고했다. 하지만, 국세청은 정보가 탈취되지 않았다고 반박했다. 예고한 날짜가 지난 뒤, 국세청의 정보는 아무것도 공개되지 않았다. 거짓 예고였던 것이다.

작년 말 이들은 해외항공사 B사의 정보를 탈취했다고도 예고했다. 그런데, 이번엔 진짜였다. 43GB의 정보가 공개됐는데, 정비사 명단·항공기 설비 기록·정비 기록 등이 포함돼 자칫 테러 등에 악용될 수 있는 위험한 일이었다.

추 부장은 “악성코드 하면 랜섬웨어가 가장 유명하겠지만, 어떻게 보면 사실 억울할 것”이라고 했다. 최근 악성코드 현황을 살펴보면, 랜섬웨어는 2%에 불과하고 ‘Infostealer'가 44.6%로 가장 많이 쓰이고 있다는 것이다.

이 악성코드는 유명한 웹사이트의 로그인 창을 가짜로 만드는 ‘가짜 페이지’ 등을 통해 개인의 다양한 자격증명(아이디와 패스워드 등)을 탈취한다.

그는 “‘단순히 아이디와 패스워드뿐인데 어찌할 수 있겠나’라고 쉽게 생각하면 안 된다”라며 “이 계정 정보를 통해 사용자가 속한 조직의 컴퓨터, 내부 전산망, 서버로까지 침입할 수 있게 된다”라고 설명했다.

추상욱 부장은 “해커들은 이렇게 서버에서 데이터들을 다 추출한 뒤에 랜섬웨어를 감염시켜 시선을 분산시키는 것”이라며 “보안 담당자는 ‘랜섬웨어에 당했다’라는 생각에 사로잡혀 데이터 유출에 대해선 인지하지 못하고 복구에만 신경 쓰게 되는 것”이라고 강조했다.

더불어 “이 때문에 안랩에서는 개별적으로는 정상적인 이벤트지만, 모아놓고 보면 비정상적인 패턴을 찾아내는 솔루션을 제공하고 있다”라고 밝혔다.
사이버공격, 랜섬웨어는 데이터 탈취 뒤 ‘시선분산’용
패턴분석 정보 유출 방지 솔루션 흐름도

가령, 9시에 출근해 6시에 퇴근하며 1시간 내 10개 미만의 파일을 열람하고 외부메일을 사용하지 않는 서울 본사 근무자가 있다.

어느 날, 이 근무자가 9시에 본사에서 야근하게 됐는데 9시 30분에 부산지사에서 VPN 접속을 하더니 다수의 파일을 다운로드하고 외부메일에 대용량 파일을 첨부해 발송한다면 계정 탈취를 의심해 볼 수 있다.

안랩에서는 이렇게 평소 업무패턴을 학습한 AI가 서버로그를 감시하다가, 비정상 행위가 탐지되면 사용자의 접속을 차단하고 알림을 보내 유출 위험을 사전에 방지할 수 있다는 것이다.
사이버공격, 랜섬웨어는 데이터 탈취 뒤 ‘시선분산’용
‘AI Security Assistant’ 작동 예시

생성형 AI가 적용된 ‘AI Security Assistant’ 기능도 있다. 직접 보안 콘솔 등을 뒤지고 하나하나 조회하는 것이 아니라, DB를 학습한 AI와 대화하듯 조사와 대응이 가능하다. 이 과정에서 작성된 프롬프트에 기반해 새로운 기능을 만들어 재활용할 수도 있다.

추상욱 부장은 “통합 위협 대응이란, 많이 탐지하고 보여주는 것이 중요한 것이 아니다”라며 “위험의 우선순위를 따져보고 조직의 위험도를 지속적으로 낮추고 관리해야 한다는 것”이라고 조언하기도 했다.

한편, PIS FAIR 2024는 삼성동 코엑스(COEXS) 그랜드볼룸에서 5일까지 개최됐다.
다아라 온라인 전시관 GO


0 / 1000
주제와 무관한 악의적인 댓글은 삭제될 수 있습니다.
0 / 1000




추천제품



산업전시회 일정