패치관리시스템(PMS), 디지털저작권관리(DRM), 데이터유출방지(DLP), PC자산관리, 그룹웨어 등 소프트웨어(SW) 보안 강화가 절실하다. 일반 포털사이트에서 제공하는 각종 SW 도구도 해킹에 이용된다.
경찰청은 15일 동대문 JW메리어트 호텔에서 `2016 국제 사이버범죄대응 심포지엄`을 개최했다. 정석화 경찰청 사이버안전국 수사실장은 `한국 내 사이버테러의 최신 동향` 발표에서 중앙제어서버를 이용하는 SW의 위험성을 경고했다.
최근 공격자는 중앙제어 서버를 대규모 사이버테러에 이용한다. 기업이 내부 PC 관리와 보안 강화 목적으로 쓰는 PMS, DRM, DLP, 그룹웨어의 취약점이 악용된다. PMS, DRM, DLP 등은 관리자(admin) 아래 중앙서버와 클라이언트로 이어지는 구조를 가진다. 관리자는 중앙서버를 이용, 필요한 프로그램을 배포한다.
정 실장은 “공격자는 관리자 권한을 탈취하면 한 번에 기업 내부 PC를 모두 장악하는 중앙서버관리시스템을 노린다”면서 “일부 제품은 아예 관리자 인증 없이 접근할 수 있어 보완이 시급하다”고 경고했다.
그룹웨어도 공격 표적이다. 최근 대부분 기업은 메일, 메신저, 파일서버, 데이터베이스(DB) 등 다양한 정보기술(IT) 서비스를 그룹웨어로 제공한다. 공격자는 그룹웨어의 취약점을 찾아내고 이를 이용, 특정 기업 네트워크에 침투한다. 그룹웨어 포털에 악성코드를 올려놓으면 조직원이 로그인하는 과정에서 감염된다.
또 다른 방법은 일반 포털사이트에서 제공하는 각종 SW 도구다. SW 도구의 취약점을 이용해 악성코드를 심고 내려 받은 사용자를 파고들어 조직 서버를 장악한다.
최근 사이버 공격의 발견은 나날이 어려워지고 있다. 기업 네트워크 정상 흐름을 이용하는 탓이다. 정 실장은 “영화관에서 불이 났을 때 용의자가 대피하는 사람 속에 섞여 나오면 구분하기 어렵다”면서 “공격자는 특정 서버나 PC에서 주요 자료를 유출할 때 정상 트래픽처럼 가장한다”고 설명했다.
공격 흔적도 남기지 않는다. 과거 사이버 공격은 2피어(peer) 구조로 명령&제어(C&C) 서버에 유출한 자료가 저장됐다. 최근 공격은 3피어로 C&C는 그냥 데이터가 지나가는 통로에 지나지 않는다. 공격자가 원격 경유 서버를 이용, 직접 피해 서버에 접근해 정보를 빼간다. C&C에 남는 흔적이 거의 없다.
정 실장은 “공격자는 표적으로 삼은 기관 조직원 가운데 단 한 명을 노린다”면서 “한 사람의 낮은 보안 의식이 조직 전체를 위태롭게 한다”고 설명했다. 그는 “현재 국내를 노린 사이버테러 공격 주체는 개인이 아닌 국가”라면서 “어떻게 사이버테러가 나타나는지 신속히 공유하고 대응해야 피해를 줄일 수 있다”고 강조했다.
김인순 보안 전문기자 insoon@etnews.com