이슈분석, 해커 돈이 되는 제조업으로 눈을 돌리다.
페이지 정보
작성자 게시판관리자 작성일19-03-06 08:08 조회10,613회 댓글0건관련링크
본문
[이슈분석]제조업으로 눈 돌리 해커..."돈 되는 것에 집중"
2019년 최근에 중소기업 대상으로 주요 시스템 랜섬웨어 공격 심해지다.
#중견 제조기업 A사는 최근 해킹공격으로 해커는 관리자 계정 탈취해 주요 사업 관련정보, 계정 등이 유출 됐을 뿐 아니라 일부 자산은 랜섬웨어에 감염됐다. 해커는 전사자원관리(ERP) 서버, 파일, 홈페이지 등 7개 서버뿐 아니라 223대 PC를 감염시켰다. 업무가 마비돼 막대한 혼란이 일었고 경제 피해를 입었다.
#조선기자재 제조기업 B사는 주요 거래처인 C사가 결제대금을 타행으로 변경해 계좌번호가 바뀌었다는 이메일을 받았다. 은행 계좌 변경이 의심스럽긴 했지만 주로 연락을 주고받았던 이메일 이었기 때문에 별다른 확인 없이 금액을 지불했다. 하지만 며칠이 지나 해당 거래처에서 정상적인 거래대금을 다시 요구하면서 해킹 사실을 알아냈다. B사 업무담당자가 메일 계정이 해킹으로 거래 관련 정보가 유출된 것이 원인이었다.
제조기업 특성상 공장 가동이 멈출 경우 심각한 경제 타격을 입어 해커와 적극 가격 협상에 나선다는 점을 악용한다.최근 주요 은행, 암호화폐 거래소 등을 노리던 해킹 조직이 제조업 공장 등으로 공격 범위를 확대한다. 큰 돈이 몰린 은행이나 암호화폐 거래소가 최근 사이버 공격에 대한 대비책을 촘촘하게 세우면서 해킹 대상을 바꿨다.
A제조사 해킹은 초기침투, 거점확보, 권한상승, 내부정찰로 이어지는 치밀한 공격활동이 있었다. A사는 액티브디렉토리(AD)를 체계를 이용해 ERP, 애플리케이션 등 다양한 서비스를 연결해 사용했다. AD는 실제 사용자 PC에 별도 계정을 생성하지 않고 시스템 중앙에서 계정을 발급, 부여하는 방식이다. 중앙에서 관리하기 때문에 효율적이지만 보안 주의가 요구된다.
해커는 로컬 관리자 계정을 탈취하는데 성공한 후 △패스워드 탈취도구 △악성코드 2종 설치 △기존 계정을 수정한 백도어 계정생성 등을 통해 해외지사 업무 연동서버를 거점으로 삼았다.
윈도 서버메시지블록(SMB) 취약점을 악용, 일부 관리되지 않은 시스템에 백도어 계정을 생성해 'AD관리자계정' 탈취했다. AD관리자계정을 통해 다시 한 번 악성코드가 뿌려졌다. 내·외부 IP를 스캔하는 등 내부정보까지 하나씩 확인했다. 이를 바탕으로 사업관련정보, 다양한 계정 등 기업과 개인 중요자산을 유출하는데 성공했다. 악성코드에 감염된 서버는 앱, ERP, AD, 파일, CAS64, 홈페이지 등 7개 였고, 개별 PC는 223대가 감염된 것으로 파악됐다. 이들 활동은 약 2주간에 거쳐 이뤄졌다.
해커 주요 목표가 되는 금융권, 암호화폐 거래소가 변화를 보이는 사이 제조기업을 중심으로 한 중견, 중소기업은 사이버보안 사각지대로 남았다. 문제는 개별 중소기업 피해뿐 아니라 이들 기업이 숙주가 되어 2~3차 피해까지 양산하고 있다는 점이다. 중소기업 자체적으로 열악해 사이버보안에 투자를 하지 못하고 있을뿐 아니라 보안 의식조차 부족하다. 실제 지난해 KISA가 195개 기업을 선정해 정보보호 컨설팅 지원 사업을 했지만 104개는 중도 포기했다. 담당자 이직, 비용 문제, 최종 결정권자인 대표가 거부 등이 이유였다.
보안 현실은 심각한 수준이다. PC보안 백신조차 없는 곳이 많다. 방화벽 등은 찾기 조차 어렵다. 보안 의식수준도 낮다. 보안사고를 당하더라도 신고하지 않을뿐 아니라 사고 발생 후에도 별도 대응체계를 마련하지 않는다.
장상수 KISA 지역정보보호총괄센터장은 “실제 현장에 나가보면 랜섬웨어 공격을 받아 파일이 모두 날아갔다는 신고뿐 아니라 송장 등 견적서 위조로 인한 피해 접수가 가장 많다”면서 “특히 지방 중소기업은 정보보호 불모지로 경영여건 등 이유를 들어 정보보호에 아예 신경조차 쓰지 않는 경우도 많다”고 설명했다.
결론 중소기업의 보안의 현실 주소이다. 중소기업은 IT보안 담당자보다는 CEO의 의사결정권한이 막대하다. 주요자료를
유출하면 다시 만들면 되지 하는 의식이 팽배하다. 주요 자료 유출된 것에 대한 피해의식이 상당히 결여되어 있다고
보아도 과언이 아니다. CEO의 보안의식수준과 막대한 피해를 입는 다는 사실을 인지하는 것이 중요하다.
정영일기자 jung01@etnews.com
댓글목록
등록된 댓글이 없습니다.