다수의 대기업 계열사 기밀문서 유출 공격 징후 나타나

[보안뉴스 오병민] 최근 SK컴즈 및 현대캐피탈의 고객정보 유출 사건에 이어 고객정보 뿐만아니라 국내 대기업의 기밀정보를 노린 공격 징후가 발견돼 주의가 요구되고 있다.

이번에 발견된 공격징후는 특정 대기업의 중요 문서를 노리고 있으며 그룹웨어의 내부망 취약점을 악용할 가능성이 높아 기업들의 집중적인 보안 대비가 필요해 보인다.

APT 보안 위협을 연구하고 있는 하우리 선행기술팀은 최근 국내 대기업인 A그룹 1개 계열사와 B그룹 1개 계열사, C그룹 2개 계열사, D그룹 3개 계열사가 공격 목표로 포함되어 있는 APT 공격 징후를 발견했다고 8일 밝혔다.

APT 공격은 특정 해킹 기법을 이용하기보다 목적을 완수하는 것이 최종 목표이기 때문에 사회공학적인 기법과 더불어 우회, 은폐, 탈취 등의 다양한 공격기법을 이용하기 때문에 한번 공격자의 목표가 되면 지속적으로 끊임없이 공격을 받게 된다.

APT공격이란? APT 공격(지능형 지속 해킹, Advanced persistent threat)은 공격자가 특정 기업이나 기관을 타깃으로 정하고 기업 기밀정보와 주요정보, 고객정보 탈취 등의 목적 달성을 위해 지속적인 해킹 공격을 감행하는 공격 형태다.

사회공학적 기법 동원해 기업 주요 정보 빼내

이번에 발견된 APT 공격 징후는 사회공학적인 기법을 이용해 이메일을 보내고 특정 파일을 열면 공격하는 형태로 진행된다. 따라서 이 공격에 노출되면 PDF와 워드, 엑셀, 파워포인트, 한글, 압축파일 등의 문서 파일의 이름에 해당 기업명 등 특정 단어가 삽입돼 있으면 공격자가 빼내갈 수 있다.

예를 들어 ┖D기업 ## 프로젝트 계획서.doc┖와 같이 공격대상 기업명이나 특정 구문이 들어가면 공격자에게 보내지는 것.

최상명 하우리 선행기술팀장은 "공격자는 사용자의 시스템 정보를 비롯해 IP정보까지 수집하고 있다"면서 "공격자는 이 정보를 이용해 추가 공격을 진행할 가능성이 매우 높다"고 밝혔다.

공격자의 APT공격, 내부망 허점으로 그룹웨어 노리나?

이번 APT공격 징후가 해당기업의 내부망 보안 취약성을 틈타 내부 그룹웨어를 노릴 가능성도 제기되고 있다.

대부분의 기업들이 외부 보안에는 투자를 강화하고 있지만 내부망은 기업 내에서만 이용할 수 있다고 방심해 보안 투자가 거의 없는 상황이기 때문이다. 따라서 전문가들은 공격자가 내부망을 노릴 경우 속수무책으로 당할 수 있다고 경고한다.

실제 2009년 3월, 경북지방경찰청 사이버수사대에 의해 검거된 공격자 일당은 내부망 보안 허점을 이용해 그룹웨어에서 빼낸 정보로 도박사이트를 광고하는 문자메시지 190만여 건 보내기도 했었다.

최상명 팀장은 "이번에 특정 기업을 타깃으로 나타난 공격 징후는  주요 문서와 내부 정보를 집중적으로 수집하는 만큼 지속적인 공격으로 이어질 가능성이 높다"면서 "지속적인 공격으로 이어질 경우 빈틈을 노리는 다양한 공격 수법이 동원될 수 있기 때문에 다양한 관점에서 보안강화가 요구될 것으로 보인다"고 조언했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>