침해사고/위협동향

ERP 솔루션 고객사들 대상 연쇄 해킹…“원인 파악중”

최민지

(이미지 제공 한국인터넷진흥원)
(이미지 제공 한국인터넷진흥원)
[디지털데일리 최민지기자] 29일 보안업계에 따르면 전사적자원관리(ERP) 솔루션을 사용하는 복수의 업체들이 악성코드에 감염됐다.

ERP 솔루션을 업데이트하는 과정에서 감염된 것으로 추정하고 있으나 현재 정확한 원인은 조사 중에 있다. 다만 관련 업체는 데이트 서버를 자체적으로 운영하지 않는다고 주장하는 것으로 알려졌다.

감염 사실은 이번주경 발견됐으나, 지난주 이전부터 공격 시도는 존재했을 것으로 예측하는 상황이다.

이와 관련 보안업계 관계자는 “해당 기업이 업데이트 서버를 두지 않았다면, 해커들은 각 고객사들 서버를 찾아 해킹해 업데이트 파일을 이용해 악성코드를 유포해야 한다”며 “이 경우, 한 업체에서만 해당 이슈가 발생해야 하는데 복수의 곳에서 이러한 정황이 발생했다”고 말했다.

이어 “해커가 고객사별로 각각 관련 솔루션 서버를 해킹하는 것도, 내부 침투 후 ERP 서버를 찾아 공격하는 시나리오도 모두 번거롭고 비효율적”이라며 “아무래도 동시에 해킹하는 편이 수월한 점이 있으며, 워터링홀 또는 ERP 취약점 악용, 개발자 PC 침투 후 업데이트 배포 때까지 잠복 등 여러 가능성을 생각할 수 있다”고 설명했다.

ERP는 인사·회계를 포함해 민감한 기업 내부 자료를 관리하고 있다. 보통, 인사평가부터 급여명세서, 매입·매출 및 재고 관리 등을 처리한다. 해커가 이를 악용할 경우 기밀 유출뿐 아니라 조작을 통한 금전 탈취, 피해 확산 등을 우려해야 한다.

직원들에게 회사이름으로 악성파일을 한 번에 유포 후 감염시킬 수 있고, 임의로 계좌번호 등을 조작해 회사의 자금을 외부로 빼내는 등 악의적인 위협에 노출될 가능성이 높다.

이 관계자는 “금전적 이득보다는 기업 내부에 침투하기 위한 목적으로 예상하며, ERP 또한 해커의 중요한 표적이 되고 있으니 개발사 및 관계자들이 이를 인지해야 한다”고 강조했다.

또 “인사·회계 조직은 외부의 위협과 관련한 보안 의식이 상대적으로 높지 않아, 정상적인 소프트웨어를 활용한 공급망 공격에 대응하기 어렵다”고 부연했다.

공급망 공격은 국내외 보안기업들이 꼽은 내년도 주요 보안 위협 이슈 중 하나다. 기업이나 기관에서 사용하는 합법적인 일반 소프트웨어를 감염시켜 우회하는 공급망 공격 수법은 발견과 위험 완화가 어렵다.

개발사 시스템이나 업데이트 서버 등을 해킹해 악성코드를 숨기고, 직접적인 공격 대상과 연결돼 있는 취약한 업체를 먼저 공략하기도 한다.

이 관계자는 “원격근무 등을 위해 일부 서버와 PC를 켜놓고 퇴근하는 경우가 많은데, 이는 해커들에게 가장 좋은 근무환경을 제공하는 셈”이라며 “사용자 눈치를 보지 않고 컴퓨터가 켜진 상태에서 PC를 해킹해 원격 제어할 수 있기 때문인데, 해커 입장에서 가장 좋은 시기가 연휴와 연말연시”라고 지적했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널