임직원 계정 구매한 뒤 내부 정보 접근
[서울=뉴스핌] 임성봉 기자 = 엔비디아와 삼성, LG, 마이크로소프트 등을 해킹한 랩서스가 다크웹이나 악성 코드 등을 활용해 기업 임직원들의 계정을 확보하고 내부 정보에 접근했다는 분석 결과가 나왔다.
SK쉴더스는 이같은 내용이 담긴 '랩서스의 공격 기법과 대응 전략'을 30일 발표했다.
이번 분석은 SK쉴더스에서 침해사고분석과 대응을 전담하고 있는 인포섹 Top-CERT팀이 랩서스 해킹조직이 텔레그램을 통해 직접 공개한 내용을 추적하는 방식 등으로 진행됐다.
SK쉴더스 CI [사진=SK쉴더스] |
앞서 랩서스는 지난해 12월 브라질의 보건부를 해킹한 뒤 미국 반도체 기업 '엔비디아'의 내부 정보를 해킹하고 유출하면서 이름이 알려졌다. 뒤이어 삼성, LG, 마이크로소프트 등 글로벌 빅테크 기업을 연달아 해킹했다고 주장했다. 랩서스가 유출한 정보는 그래픽처리장치(GPU) 회로도, 소스코드, 직원 이메일 계정 등이다.
SK쉴더스 인포섹 Top-CERT는 랩서스 해킹 조직이 공격 수행 시 공격 대상의 임직원 계정 정보를 입수하는 데 큰 노력을 기울였다는 것에 주목했다.
분석 결과, 랩서스는 공격하기 전 '다크웹'을 통해 공격 대상의 임직원 정보를 구매하거나 다양한 루트의 해킹 공격으로 계정 유출 기능 악성코드를 확산시킨 후 임직원 계정 정보를 습득한 것으로 파악됐다. 이렇게 수집한 임직원 계정정보를 통해 랩서스는 공격 대상의 사용자 PC에 손쉽게 접근했고 이후 내부 정보를 탈취했다. 다크웹은 특수한 웹브라우저를 사용해야만 접근할 수 있는 웹으로 익명성 보장 등을 이유로 사이버 범죄 등에 주로 활용된다.
SK쉴더스는 이 같은 분석 결과를 바탕으로 해킹 사고 단계별 대응책도 제시했다. 우선 해킹 조직이 정보를 수집하는 단계에서 피해를 예방하기 위해 ▲다크웹 모니터링 ▲이메일 악성코드 탐지 및 차단 솔루션 구축 ▲지능형 지속위협 공격(APT) 탐지 및 차단 솔루션 구축 등 순이다.
특히 SK쉴더스는 이메일을 통한 해킹 공격이 매년 증가하고 있기 때문에 이메일을 악용한 악성코드 유포와 같은 공격을 솔루션을 통해 효과적으로 차단하고 위협을 제거할 것을 강조했다.
또 ▲불필요한 원격 접근지 차단 ▲이중 인증 사용 ▲최신 보안 패치 적용 ▲문서보안(DRM) 솔루션, 정보유출 탐지 솔루션 구축 ▲해킹 사고 정보 공유 체계 강화 등의 방안을 제시했다. 특히 SK쉴더스는 랩서스 해킹 조직이 손쉽게 공격 대상 PC에 접근이 가능했던 이유로 이중인증이 적용되지 않은 PC를 노렸을 가능성이 있어 계정 사용시 이중인증 사용을 권고했다.
김병무 SK쉴더스 클라우드사업본부장은 "랩서스 해킹 조직과 같이 한 기업을 집중적으로 타깃한 공격은 사실상 막아 내기가 쉽지 않다"면서도 "해커의 공격이 상시적으로 이뤄지고 있다는 가정하에 각 단계별 적절한 보안 솔루션을 도입하고 강력한 통제정책과 주기적인 모니터링이 필수적으로 이뤄져야 한다"고 말했다.
imbong@newspim.com