금전 탈취를 목적으로 한 기업 대상 사이버 위협이 증가하면서 해킹 중간 과정의 개입 필요성이 촉구되고 있다. 악성코드가 감염된 시스템이 확인될 경우 단순히 포맷 등을 조치하는 것 말고도 식별과 추적, 사후 모니터링 등의 과정을 반복적으로 거쳐야 한다.
KISA(한국인터넷진흥원)에 따르면 올 상반기 기업을 겨냥한 악성 메일과 공급망 위협, 내부 망 접근 등의 위협이 기승을 부린 것으로 나타났다.
실제 한 해킹사건의 경우, 해커들이 백업 데이터 암호화로 복구가 불가능하게 한 뒤 데이터 복원 비용을 내면 암호를 수령하게 하거나 서버 정보를 탈취해 5만 달러(한화 약 6000만 원)의 금전을 요구했다. 이에 응하지 않을 경우, 회사 폐업까지 공격을 감행하겠다고 협박을 가했다. 해킹을 통해 불법 접속된 사용자의 메일함에 있는 프로젝트 내용물(기업의 자산)을 유출해 제3자에게 발송하는 방식의 해킹 위협도 KISA에 신고됐다.
이 같은 해킹 통로로는 '악성 메일'이 여전히 주효하다. 이재광 KISA 침해사고분석 팀장은 "악성 메일은 여전히 해커들에게 좋은 공격 수단으로 기업이 방어하기에는 한계가 있다"고 말했다.
해킹 메일 공격기법은 두 가지로 이뤄진다. 우선, 메일 자체에 악성코드가 들어 있는 것이 아니라 첨부파일이나 링크를 클릭하면 문서를 볼 수 있다고 유도하는 방식이다. 우선, 링크를 통한 정보 탈취는 링크를 누를 시 가짜 메일 로그인 창을 띄운다. 평소 구글 계정을 사용할 경우 구글 로그인 화면이 뜨는 식이다. 이때 아이디와 패스워드를 다르게 입력할 경우 오류 창이 뜬다.
이 팀장은 "메일 로그인 창이 뜨는 것은 일반 사람이 느끼기에 '로그인 창으로 나를 검증하고 보여준다'는 느낌 때문에 더욱 신뢰를 하게 만든다"며 "해커는 이렇게 탈취한 계정을 통해 피해자의 메일에 접속하고 피해자와 평소에 주고받았던 메일 주소를 추가 수집해 사람들에게 다시 메일을 보내는 등 공격을 확대한다"고 설명했다.
메일 본문에 삽입된 첨부 파일을 클릭할 경우에는 악성코드가 설치된다. 첨부파일을 열어 해당 PC가 감염되면 해커는 기업의 AD(ACTIVE DIRECTORY, 기업에서 사용하는 수백 대의 PC를 AD에 연결하는 중앙관리 서버)를 장악해 PC 한 대 한 대마다 악성코드를 설치해 기업 내부를 모니터링할 수 있다. 이 팀장은 "AD 서버를 해커가 장악했다는 것은 기업의 심장을 가지고 나간 것과 같다"고 지적했다.
'공급망 위협' 문제 또한 올 상반기 기업을 위협한 주요 사이버 공격 사례로 언급됐다. 해커들은 영세한 IT서비스 운영사와 구매파트너, 솔루션 개발사를 해킹해 이들이 유지·보수하는 고객정보, 호스팅 정보(계정)를 본다. 또 소스코드를 탈취해 제품의 취약점을 찾아 제품을 사용하는 기업을 공격한다.
망 분리 또한 안전하지 않다. 해커는 해킹 과정에서 여러 군데에 거점을 만들어 놓기 때문이다. 이 팀장은 "망 분리의 가장 큰 문제는 '관리의 문제'로 완벽하게 유지를 하지 못한다"면서 "폐쇄망에 있는 서버도 일을 하기 위해 자꾸 만져야 하고, 임의 보안정책 변경에 의한 내-외부 망간 접점 생성도 해커들에게 길이 되어준다"고 말했다.
이 팀장은 "현재 기업들은 해킹 최초 단계와 최종 단계 모니터링에만 집중을 하고 있다"며 "내부 (망)에서 어떤 행위가 일어나는지 평상시에 지켜보는 것이 중요하다"고 강조했다.
![[기획] 美·이란 협상결렬… 韓경제 또 ‘먹구름’](https://wimg.dt.co.kr/news/cms/2026/04/12/news-p.v1.20260412.a2aa9f3d604e4aa1826742347b3cd73e_R.jpg)