침해사고/위협동향

암호화·유출 ‘투 트랙’ 전략 취하는 해커들··· 결국 ‘보안수칙 준수’가 답

이종현
이랜드를 공격한 클롭의 웹페이지. 다크웹을 통해 확인할 수 있다.
이랜드를 공격한 클롭의 웹페이지. 다크웹을 통해 확인할 수 있다.
[디지털데일리 이종현기자] 랜섬웨어 공격을 받은 이랜드그룹(이하 이랜드)를 통해 카드정보가 유출됐다는 논란이 불거지고 있다. 데이터를 암호화하고 이를 풀어주는(복호화) 대신 대가를 요구하던 랜섬웨어 공격이 ‘투 트랙’ 전략을 취하고 있는 모습이다.

지난달 22일 이랜드의 사내 네트워크 시스템이 랜섬웨어 공격을 받았다. 이로 인해 NC백화점, 뉴코아아울렛 등 점포의 영업에 차질이 발생했다. 이랜드는 피해 확산을 막기 위해 판매시점관리시스템(POS) 단말기와 연동된 시스템을 차단했다.

공격을 한 것은 러시아 해커조직 ‘클롭(CL0P)’이다. 기업 시스템을 주요 공격 대상으로 삼는 이 조직은 랜섬웨어와 함께 이랜드의 고객 카드정보 200만건가량을 훔쳤다고 주장하며 이랜드에 4000만달러(한화로 약 434억4000만원)을 요구했다.

이랜드는 “고객카드 정보 유출은 없다”는 입장이다. 고객 정보는 랜섬웨어 공격을 받은 내부 업무 및 결제 시스템과 무관한 다른 서버에 암호화해 관리하기 때문에 유출 가능성이 없다고 주장하며 “해커와의 협상은 없다”는 입장을 밝혔다.

해커조직은 랜섬웨어 공격과는 별건의 공격으로 카드정보를 훔쳤다고 피력했다. 1년도 전부터 이랜드 점포의 POS 기기에 악성코드를 심어 정보를 훔쳐왔다고 것인데, 데이터를 암호화함과 동시에 훔치는 투 트랙 전략을 취한 것으로 추정된다.

이 경우 공격에 대응하기 까다로워진다. 기존 랜섬웨어 공격에는 암호화된 데이터를 복호화하거나 데이터 백업을 함으로써 문제를 해결했지만, 만약 공격자가 중요 정보를 이미 훔쳐냈다면 해커조직과 협상하는 것 외에는 뾰족한 수단이 없기 때문이다.

보안업계에서는 결국 애초부터 공격을 받지 않아야 한다고 말한다. 랜섬웨어를 비롯한 사이버 공격 대다수는 이메일을 통해 이뤄지고 있다. 시스템의 허점을 노리는 고도의 공격이라기보다는 임직원의 ‘휴먼 에러’를 겨냥한 사회공학적 수법을 활용한다. ‘코로나19 확진자 정보’라거나 ‘월급 명세서입니다’ 따위의 메일로 방심을 유도해 악성코드에 감염시키는 것.

출처가 불분명한 이메일이나 인터넷주소(URL)을 클릭하지 않고, 의심스러운 첨부파일이나 애플리케이션(앱)을 내려받지 않으며, 운영체제(OS)나 백신 등 소프트웨어(SW)를 최신 버전으로 업데이트하는 것이 가장 기본적이고 효과적인 대응이다.

이와 같은 기본적인 보안 수칙을 지킨 뒤에는 콘텐츠 약성코드 무해화(CDR)나 데이터에 대한 접근통제, 엔드포인트 탐지 및 대응 솔루션(EDR) 등으로 만일의 사태를 방지하거나 대응해야 한다.

한편 이랜드를 공격한 해커조직이 데이터를 훔쳤다고 주장하고 있으나 실제 피해사실 여부는 아직 파악되지 않은 상태다. 해커조직이 이미 유출됐던 정보를 짜깁기한 허위정보로 협박하고 있다는 것이 이랜드 측 견해다.

해커조직은 다크웹을 통해 훔쳤다는 카드정보를 공개하고 있다. 이랜드와 금융보안원, 카드업계 등은 해커조직이 공개한 카드정보와 실제 고객 정보를 대조할 것으로 보인다. 실제 피해 유무를 확인하고 있는 만큼 다음 주 초에 금융당국과 수사기관의 발표할 예정인 것으로 알려졌다.

일각에서는 ‘이랜드가 피해 사실을 은폐하려는 것 아니냐’는 의혹도 제기되나 이는 불가능하다. 개인정보보호법, 신용정보법에 따라 데이터 유출이 사실로 확인될 경우 기업은 피해 사실을 통지해야 한다. 경찰, 금융보안원, 한국인터넷진흥원(KISA) 등이 이미 조사를 진행하고 있어 피해를 은폐하거나 축소할 수 없다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널