검색결과3건
IT

연초부터 사이버 공격 시달리는 LGU+

LG유플러스가 연초부터 사이버 공격으로 몸살을 앓고 있다. 개인정보 유출 사고의 조사가 끝나지도 않았는데 디도스(분산서비스거부) 공격까지 받으며 고객 불만이 이만저만이 아니다. 업계에서는 유사 사례가 보고되지 않은 점으로 미뤄봤을 때 부족했던 관련 투자가 미비했던 것이 화를 부른 것 아니냐는 분석이 나온다.30일 한국인터넷진흥원(KISA) 관계자는 "전날 LG유플러스의 디도스 공격 신고를 접수했고 이날 오전 현장 조사에 착수했다"고 말했다. 디도스 공격은 다수의 좀비 PC로 한꺼번에 많은 트래픽을 발생시켜 시스템을 마비시키는 것을 뜻한다.LG유플러스 유선 인터넷은 지난 29일 오전 2시 56분과 오후 6시 두 차례에 걸쳐 각각 19분, 20분간 일부 고객이 접속이 원활하지 않았다. 두 번째 장애의 복구를 완료했다고 밝힌 이후에도 불편을 겪은 고객이 다수 있었다.LG유플러스 관계자는 "도로에 차가 몰리면 막히는 것처럼 한꺼번에 트래픽이 몰리면서 정상적인 서비스가 불가했다"며 "긴급하게 우회로를 확보해 정상화했고 현재는 복구한 상태다"고 말했다.LG유플러스는 앞서 발생한 개인정보 유출 사고의 원인을 미처 밝히기도 전에 이번 장애를 마주하게 됐다.회사는 지난 2일 고객 약 18만명의 개인정보가 빠져나간 것을 확인하고 경찰 사이버수사대와 KISA에 수사를 의뢰했다고 10일 밝힌 바 있다.금융 관련 내용은 없다고 했지만 해커가 탈취한 개인정보에는 이름과 전화번호, 생년월일은 물론 가입자 고유식별번호(IMSI)와 단말기 고유식별번호(IMEI)도 포함돼 우려를 샀다.개인정보 유출 사고 현장 조사는 LG유플러스의 IT 시스템이 집결한 서울 상암 사옥에서 계속 진행 중이다. 아직 원인과 배후는 찾아내지 못했다.개인정보보호위원회(이하 개인정보위) 관계자는 "조사 결과 발표 시점은 예단할 수 없다. 계속 로그 기록을 살펴보고 있다"며 "정리가 되고 전체 회의 안건으로 상정하면 해당 시점에 맞춰 내용을 공개할 계획"이라고 했다. 제재 수위 역시 비슷한 시기에 결정할 것으로 관측된다. 개인정보위에 따르면 연초부터 사이버 폭격을 당한 LG유플러스와 달리 SK텔레콤과 KT에서는 단 한 건의 신고도 들어오지 않았다. 결국 정보보호 투자 노력이 서비스 경쟁력을 판가름했다는 진단이다.이동통신 3사가 지난해 5월 공시한 정보보호 투자 현황을 보면 LG유플러스는 2021년 전체 투자액의 3.9%인 약 292억원을 정보보호에 쏟았다. 각각 1021억원(5.2%), 627억원(3.7%)을 투자한 KT, SK텔레콤과 비교된다.정보보호 전담 인력 규모도 확연한 차이를 보인다.LG유플러스는 정보기술부문 인력 2332.3명 중 3.9%에 해당하는 91.2명이 정보보호 업무를 맡고 있다. SK텔레콤은 2528.5명 중 196.1명으로 7.8%를 차지해 비중이 가장 높다. 단순 직원 수로 따지면 KT가 335.8명(6.6%)으로 정보보호부문 전담 인력이 가장 많다.김형중 고려대 정보보호대학원 특임교수는 악성 트래픽을 분산하는 방어 솔루션 등을 거의 모든 대기업이 도입했어도 디도스 공격을 완벽하게 막을 방법은 없다고 설명했다. 김 교수는 본지에 "인프라가 잘 갖춰진 도시도 폭우에 속수무책인 것처럼 공격자가 마음먹고 트래픽을 쏟아부으면 누구도 감당할 수 없다"며 "디도스는 우리 기업들이 방어해야 할 가장 손쉬운 공격"이라고 말했다. 보호장치 마련은 물론 데이터가 흐르는 차선을 늘리는 등의 투자가 꾸준히 이뤄져야 한다는 의미다.공격자를 찾아도 처벌은 쉽지 않을 전망이다. 김 교수는 "좀비 PC를 움직이는 서버는 대부분 치외법권에 있고, 협조를 요청해야 하는 인터폴도 한가한 곳이 아니라 해프닝으로 끝내는 경우가 적지 않다"며 "북한 해킹조직 '김수키'도 자주 언급되지만 마땅히 대응을 못 하지 않나"고 했다.정길준 기자 kjkj@edaily.co.kr 2023.01.31 07:00
IT

연초부터 해킹 시도하는 북한…다음 메일 ‘긴급’ 누르지 마세요

북한 해커집단이 연초부터 개인정보 피싱메일을 발송한 것으로 확인됐다.16일 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 자사 블로그에 피싱메일을 활용한 비밀번호 탈취 공격을 포착해 공유했다.해당 메일은 ' 지금 바로 비밀번호를 변경해 주세요.'라는 제목으로 유포됐다. 현재는 서비스가 종료된 다음 이메일을 위장하고 있다. 이메일 본문에는 수신자의 계정정보 도용이 의심된다며 비밀번호 변경을 유도하는 내용과 함께 하이퍼링크가 포함돼 있다.공격자는 얼핏 보면 다음 메일 주소와 비슷해 보이는 'daurn' 도메인을 사용했다.이메일 본문 내 링크를 클릭하면 카카오 로그인 페이지를 위장한 피싱페이지로 접속된다. 비밀번호 확인 및 변경을 이유로 비밀번호 입력을 유도한다.ESRC는 여러 지표를 분석한 결과 이번 공격 배후에 북한 정찰총국의 지원을 받는 해킹 조직인 '김수키'가 있는 것으로 결론을 냈다.ESRC는 "기관과 기업뿐만 아니라 관련 분야의 민간 전문가들 및 민간 단체를 대상으로 한 북한의 사이버 공격이 이어지고 있는 만큼 각별한 주의가 필요하다"고 했다.정길준 기자 kjkj@edaily.co.kr 2023.01.16 10:38
경제

[단독]국정원이 뒤진 주차장 시스템, 그곳이 해킹 입구였다

국가정보원은 지난해 11월 행정안전부와 공공기관 주차장 정보시스템에 대한 전수조사에 나섰다. 같은 달 공공기관과 민간기업의 주차장 관리를 대행해 온 A사가 해킹을 당한 데 따른 조치였다. A사는 지자체와 지방교육청 등 공공기관에 입·출차 정보 관리, 주차요금 정산 등의 서비스를 제공하고 있다. 국정원은 해커들이 A사를 노린 배경을 의심했다. 보안 사각지대인 주차관리 대행업체를 해킹해 공공기관 내부망에 침투할 목적으로 공격에 나선 것으로 본 것이다. 국정원 관계자는 9일 “조기에 발견해 큰 피해는 발생하지 않았으나 많은 사용자가 이용 중인 소프트웨어가 공급망 공격에 악용될 경우 심각한 피해가 우려된다”고 말했다. ━ 일시에 대량의 자료 유출 우려 이번 사건은 최근 국정원이 주목하는 ‘공급망 해킹 공격(supply-chain attack)’의 한 사례다. 주자장 정보를 관리하는 A사와 같은 네트워크 관리 기업에 해커가 침투해서 악성 프로그램이나 악성코드를 삽입하는 식이다. 공급망 해킹은 대량의 자료가 일시에 유출될 수 있다는 점이 가장 우려된다. 지난해 말 미국의 IT인프라 관리 기업 솔라윈즈에 대한 공급망 공격이 대표적이다. 외신은 미 재무부, 국무부, 국토안보부, 국립보건원 등을 비롯해 핵무기를 담당하고 있는 에너지부와 국가핵안보실(NNSA)도 해킹당했다고 보도했다. 국내에선 지난 2011년 북한의 해킹 공격으로 농협 전산망이 마비된 사례가 있었다. 국정원은 A사에 대한 해킹 주체로 북한을 특정하진 않았다. 그러나 국내 보안업계에 따르면 지난해 5월 국내에서 발생한 위즈베라의 보안 프로그램 ‘베라포트’에 대한 해킹 공격은 북한의 해커조직 ‘라자루스(Lazarus)’가 배후에 있는 것으로 분석된다. 한국은 인터넷 뱅킹이나 정부 웹사이트를 방문할 때 추가적인 보안 소프트웨어를 설치해야 하는 경우가 많다. 이를 통합 설치하도록 돕는 프로그램이 베라포트다. 라자루스 외에도 김수키(Kimsuky), 금성121(Geumseong121), 코니(Konni) 등이 북한 정부의 지원을 받는 해커 조직으로 알려져 있다. ━ 사이버보안 전문가 사칭 e메일도 지난해 12월에는 국내 보안업체 대표 B씨에게 사이버보안 전문가를 사칭하는 e메일로 악성코드를 심으려 한 시도도 있었다. 자신을 유럽에서 일하는 전문가라고 소개한 그는 활동 내용과 실적을 소개하며 ‘사이버보안 합작 사업 및 공동 연구 프로젝트’를 제안했다. 본인의 이력서를 확인해달라며 직접 접속이 가능한 URL도 덧붙였다. B씨가 국정원에 해킹 여부를 문의한 결과 메시지에 첨부된 URL에 악성코드가 숨겨져 있었다. 구글의 보안팀인 위기분석그룹 TAG(Google Threat Analysis Group)도 지난달 26일(현지시간) “해외 사이버보안 연구자들에 대한 북한 해커들의 공격이 확대되고 있다”고 밝혔다. 구글은 트위터, 링크드인, 텔레그램 등 다양한 소셜네트워크서비스(SNS)에서 가짜 개인 정보를 이용해 보안 연구원들에게 접근한 사례가 발견됐다고 보고했다. 공급망 해킹은 정상적인 소프트웨어 업데이트 파일에 악성코드를 심는 식이어서 탐지하기가 매우 어려운 편이다. 보안기업 이스트시큐리티의 문종현 시큐리티 대응센터장은 “공급망 공격은 정상 프로그램 기능이 무력화되고 악성 기능이 작동되는 게 아니라, 원래 프로그램 기능은 다 작동하면서 악성코드가 활동하는 것”이라며 “따라서 탐지도 어렵고, 분석도 어렵다”고 말했다. ━ “철저한 보안관리, 정기적 업데이트” 중요 국정원은 지난달 29일 한국정보보호산업협회(KISIA)를 통해 사이버보안 업체들에게 공급망 해킹 공격에 대한 주의를 당부했다. 국정원 관계자는 “소프트웨어 제조사는 개발 단계부터 해킹에 대비하고 정기적인 취약점 점검 등 철저한 보안관리를, 사용자는 정기적인 보안 업데이트를 통해 해킹 피해 예방에 만전을 기해야 한다”고 말했다. 위문희 기자 moonbright@joongang.co.kr 2021.02.10 09:16
브랜드미디어
모아보기
이코노미스트
이데일리
마켓in
팜이데일리
행사&비즈니스
TOP