삼성전자와 LG전자는 물론 엔비디아 등 글로벌 기업의 기밀 정보를 유출한 것으로 알려진 해커 조직 랩서스의 공격에 대응하기 위한 방법이 공개됐다. SK쉴더스는 21일 경기도 성남시 판교에 있는 통합 보안 관제센터 시큐디움 센터(Secudium Center)에서 사이버보안 세미나를 열고 사이버 공격 단계별로 적절한 보안 솔루션을 소개했다.
 
SK쉴더스에 따르면 랩서스는 공격 대상 기업의 임직원 계정(ID) 정보를 입수한 것으로 나타났다. 이들은 주로 다크웹을 통해 임직원 정보를 구매했고, 이메일 피싱을 통해 임직원 ID를 습득했다. 랩서스는 이 정보를 활용해 공격 대상 기업의 PC에 접근했고, 내부 정보를 손쉽게 탈취했다.
 
김성동 SK쉴더스 탑서트(Top-CERT)팀 팀장은 "해킹 조직이 정보를 수집하는 단계에서 임직원 ID가 유출된 것은 아닌지 모니터링해야 했으나 이런 과정이 미흡했던 것으로 보인다"며 "다크웹을 모니터링하고 이메일 악성코드나 지능형지속공격(Advanced Persistent Threat·APT)을 탐지하거나 차단하는 솔루션을 도입해 피해를 예방해야 한다"고 했다.
 
랩서스와 같이 이메일을 통해 개인 정보를 탈취하려는 시도는 최근 급증하고 있다. 특히 PC 정보를 암호화하거나 기기를 잠그는 랜섬웨어는 공격 방식이 다양해지며 피해 규모도 늘었다. 글로벌 보안기업 팔로알토 네트웍스의 사이버보안 연구소 유닛42와 신한금융투자에 따르면 지난해 랜섬웨어 피해자가 해커에게 지불한 평균 피해 금액은 54만 달러(약 6억6000만원)로 1년 전보다 78% 증가했다.
 
김 팀장은 "랩서스와 같은 해커 조직이 특정 기업을 집중해서 공격한다면 사실상 막아내긴 어렵다"면서도 "해커가 우리 기업을 항상 공격하고 있다고 가정하고, 단계별 보안 솔루션을 미리 도입하고 강력한 통제 정책, 주기적인 모니터링을 반드시 해야 한다"고 강조했다.
 
신종 코로나바이러스 감염증(코로나19)으로 비대면 활동이 늘고 기업이 업무를 디지털로 전환(DX)하고 있는 점도 사이버 공격이 늘어난 이유다. 해커는 직원의 VPN 정보를 얻어 기업 내부망에 접근하거나, 직원이 원격강의 자료를 내려받을 때 악성코드에 감염되도록 유도한다.
 
SK쉴더스는 100여 명의 사이버 보안 전문가가 모인 '이큐스트(Experts Qualified Security Team·EQST)'를 주축으로 모의해킹을 실시하고 기업의 보안 취약점을 연구하며 이런 위협에 대응하고 있다. 이 조직은 2017년 설립된 이후 사물인터넷(IoT), 클라우드 등 새로운 정보통신기술(ICT) 산업과 제조업 등 200여 개 기업을 상대로 모의 해킹 컨설팅을 하고 있다. 이큐스트가 개발한 취약점 진단 플랫폼 '이큐스트VM'은 기업이 자체 서버가 아닌 클라우드 시스템을 사용하더라도 보안 환경을 진단할 수 있다.
 

김태형 SK쉴더스 이큐스트 담당은 "보안상 취약점만 밝혀낸다면 전문 해커가 아니라도 기업의 기밀 정보를 충분히 탈취할 수 있다"며 "최근에는 시스템의 보안 취약점이 발견된 직후 이를 막을 수 있는 패치가 발표되기 전 해킹을 시도하는 제로데이(Zero Day) 공격도 늘고 있어 보안 취약점을 지속해서 분석, 예측하지 않는다면 사이버 공격에 큰 피해를 볼 수 있다"고 설명했다.
 
김 담당은 이어 "해커는 사이버 공격을 시도할 수 있는 다양한 방법을 지속해서 시도하기 때문에 기업 또한 해커의 공격 행태를 먼저 파악해 대응할 수 있는 시스템이 필요하다"며 "이큐스트는 제로데이 공격 대응 전략을 미리 세우고, 자체적으로 위협 탐지 룰을 적용하는 등 고객 피해를 최소화하기 위해 노력하고 있다"고 했다.
 
SK쉴더스는 이날 통합 보안 관제센터 시큐디움 센터의 내부도 공개했다. 시큐디움 센터는 각 기업의 보안시스템을 원격으로 모니터링하고, 이상 징후를 분석해 사이버 공격 여부를 판단한다. 이곳에선 빅데이터 처리 기술로 연간 8조건, 하루 79억건, 초당 25만건에 달하는 데이터를 수집·처리하고 있다. 국내외 기업 2000여 곳의 보안 상황도 24시간 365일 살핀다.
 
SK쉴더스는 특정 데이터가 해킹인지 판단하기 위해 인공지능(AI) 기술을 통해 하루 5만건의 '위협 판단'을 진행한다. 수십 년 동안 쌓인 데이터를 활용해 위협을 빠르게 탐지하는 위협 인텔리전스(Threat Intelligence·TI)도 구축했다. 이를 통해 해커의 공격 기법과 유형, 사이버 공격을 시도했던 과거 기록을 살펴볼 수 있다.
 
SK쉴더스는 사이버 보안 컨설팅과 클라우드 보안 서비스를 중심으로 글로벌 진출에 속도를 낼 계획이다. 유종훈 SK쉴더스 클라우드사업그룹 그룹장은 "보안 위협 추적과 악성코드 분석 등 영역에서 전문 인력을 확충하고 클라우드 보안 솔루션 서비스 업체에 대한 투자를 늘리겠다"며 "통신과 바이오, 에너지, 반도체 등 보안에 민감한 산업을 중심으로 고객사도 확대해나갈 것"이라고 말했다.

선모은 기자 seon.moeun@joongang.co.kr

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지