침해사고/위협동향
“네이트·싸이월드 해킹은 ‘지능형 표적공격’”
디지털데일리
발행일 2011-07-31 21:27:11
- SK커뮤니케이션즈 내부직원 PC, 악성코드에 감염된 후 원격조정으로 고객정보 해킹, “농협 해킹수법과도 유사” 분석
[디지털데일리 이유지기자] 3500만명의 네이트, 싸이월드의 고객정보 유출에 이용된 해킹기법이 지능형 표적공격의 전형이란 분석이 나오고 있다.
‘APT(지능형지속가능위협)’라고 불리는 이같은 공격기법은 내부시스템에 침투할 수 있도록 사전에 치밀하게 내부 시스템 환경 등을 파악한 뒤 맞춤형 악성코드를 제작, 감염시킨 후 오랜기간 은밀히 잠복하며 필요한 정보를 습득해 최종 목표를 달성하는 형태다.
보안업체인 EMC RSA를 비롯해 해외에서도 많은 기업과 기관들이 이같은 공격을 당하고 있지만, 공격을 감지할 때에는 이미 고객정보나 기밀정보가 유출되는 등의 피해가 발생한 뒤여서 수습하기가 쉽지 않다.
30일 보안업계와 전문가들에 따르면, 이번 네이트와 싸이월드의 고객정보 유출에는 ‘nateon.exe’등 다수의 악성코드가 사용됐으며 SK커뮤니케이션즈 내부직원의 PC가 감염돼 해킹이 이뤄진 것으로 분석됐다. 감염된 PC는 좀비PC화돼 고객DB 서버에 접속할 수 있는 계정정보 등 시스템접근권한을 탈취한 뒤 원격조정으로 고객정보를 유출했을 것이란 시나리오다.
전문가들은 공통적으로 내부직원 PC의 악성코드 감염이 이번 사고 발생의 단초를 제공한 것으로 보고 있다. 이에 따라 안철수연구소, 잉카인터넷, 하우리 등 국내 백신업체들은 이번 사고가 알려진 이후인 29일부터 대표적인 악성코드인 ‘nateon.exe’를 자사 보안제품의 진단목록에 추가하고, 치료기능을 제공하고 있다.
한국인터넷진흥원(KISA)도 30일부터 보호나라(www.boho.or.kr)에서 이번 개인정보 유출 관련 악성코드를 치료할 수 있는 전용백신을 배포하고 있다.
보안업계 관계자는 “네이트온, 싸이월드 해킹에는 SK커뮤니케이션즈 내부시스템을 파악하고, 사용하는 백신과 사용자까지도 우회할 수 있도록 정교하게 악성코드를 제작한 뒤 내부자 PC를 감염시켜 원격조정한 것으로 보인다”며, “전형적인 표적공격이며, APT 공격”이라고 말했다.
다른 보안전문가는 “서버를 직접 공격한 것이 아니라 직원PC를 감염시켰고, 여러 악성코드를 동원한데다 PC를 원격조정해 공격한 것으로 볼 때 전산망 장애를 일으켰던 농협과 유사한 해킹 기법으로 볼 수 있다”며, “계속해서 심화될 지능적인 공격을 막는 것은 쉽지 않기 때문에 중요한 개인정보 수집·사용을 최소화하고, 이를 막을 수 있는 보안체계와 대응책을 재점검해 마련해야 할 것”이라고 강조했다.
<이유지 기자> yjlee@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지