[김수연기자] 넥슨의 온라인 게임 '메이플스토리'의 백업 서버가 해킹당하면서 또 다시 1천320만명의 개인 정보가 유출되자 보안업계는 "이번에도 지능형 위협공격(APT) 공격으로밖에 볼 수 없다"며 대응책 마련에 부심하고 있다.
일부 보안 전문가들은 "지난 9월 SK커뮤니케이션즈의 네이트 해킹 때와 마찬가지로 넥슨의 해킹 역시 APT 공격이 확실하다"며 근본적인 대책 마련이 필요하다고 목소리를 높였다.
◆ "APT 공격이라 볼 수밖에 없어"…왜?
APT의 전형적인 공격 수법은 외부에서 내부 DB 서버로 바로 침입하지 않고 내부자PC를 경유해 악성코드를 침투시키는 것으로 업계는 이번 넥슨 해킹에도 같은 수법이 사용된 것으로 추정하고 있다.
보안업계의 한 관계자는 "외부의 특정 해커가 조직 내부를 유심히 관찰하다가 DB 접근 권한을 가진 특정 직원의 PC에 침투한 후 이 곳으로부터 사용자 개인정보를 유출하는 가능성이 높은데 이것이 바로 전형적인 APT 공격 수법"이라고 설명했다.
APT 공격을 당할 경우 악성코드에 감염된 PC 사용자는 본인이 어떤 행위를 하는지 전혀 모른 채, 외부 공격자에 의해 PC를 컨트롤 당하게 된고 외부 공격자 IP는 내부자 IP로 세탁되어 공격의 흔적조차 남지 않게 된다.
또 다른 보안업계 관계자 역시 "외부 해커가 직원의 심리나 행동양태 등 여러 가지 특징을 면밀히 관찰한 후 임직원 PC에 침투해 내부에서 알아차리지 못하게 은밀히, 몇 달에 걸쳐 서버까지 침투했을 수 있다"며 APT 공격을 확신했다.
문제는 과거의 해킹 시도는 주로 '10대들이 기술력을 뽐내기 위한 것'이었는데 APT 공격은 금전적 목적을 가지고 조직적으로 시도하는 것이어서 개인정보 유출 뿐 아니라 이로 인한 추가 피해의 여파가 클 수 있다는 점이다.
한 보안 전문가는 "게임 분야의 경우 아이템을 탈취해서 판매하는 블랙마켓이 형성돼 있는터라 해커들이 금전적 이득을 노리고 규모가 큰 업체의 정보를 탈취한 후 정보와 아이템을 대량 판매하기 위해 공격을 감행하고 있다"고 분석했다.
업계 전문가들은 DB정보 유출에는 웹 혹은 내부 관리자 PC를 통한 접근 경로가 존재하는데 넥슨의 경우 웹에 대한 기본적 보안을 잘 지키고 있어 DB 접근 권한이 있는 내부 PC를 통해 정보가 유출됐을 가능성이 큰 것으로 추정했다.
업계의 한 보안 전문가는 "이번 공격 역시 관리자의 사내 SNS 활동, 이메일, 업무 등에 대해 지속적으로 모니터링한 후 실행한 APT 공격일 것"이라고 말했다.
◆ 속수무책 APT, 대응방법 없나?
대형 사고마다 APT 공격이 문제가 되자 보안업계는 대응책으로 기업들이 자체적으로 망분리 솔루션을 도입하고 내부 PC에 대한 철저한 모니터링이 필요하다고 조언했다.
보안관제분야의 한 전문가는 "APT를 예방하려면 확실한 망분리가 필요하다"며 "운영 권한을 가진 직원PC에는 인터넷을 사용할 수 있는 망과, 내부 서버와 연결해서 서버를 관리할 수 있는 망이 함께 있는데, 이를 분리하는 솔루션을 도입해야 한다"고 강조했다.
악성코드가 인터넷 망을 통해 유입되는 만큼, 이를 서버로 접근할 수 있는 내부 망과 분리해야 감영경로를 원천 차단할 수 있다는 설명이다.
망분리 솔루션 도입은 기본이고 내부 PC가 조직에서 요구하는 보안정책에 부합하는 상태인지를 수시로 모니터링해야 한다는 지적도 있다.
한 보안업체 관계자는 "실제 고객사들을 점검해 본 결과 평균적으로 조직내 PC의 30%에는 최신 백신이 아닌 구버전이 깔려 있거나, 아예 백신이 설치 안된 경우가 많았다"며 "최신 백신으로도 방어가 안 되는 제로데이 공격이 횡행하는 요즘 백신마저 설치 않고 있다는 것은 앉아서 모든 공격을 당하겠다는 것"이라고 꼬집었다.
그는 "SK커뮤니케이션즈 해킹 때에도 임직원 PC가 문제의 발단이 됐었는데, 이번 사태 역시 보안 정책에 위배되는 내부 직원의 PC 때문에 발생했을 가능성이 크다"고 덧붙였다.
네트워크에 접속하는 임직원들의 PC가 회사 보안 정책에 부합하는 상태인지 수시로 확인하고 , 확인 결과 정책에 위배되는 PC들을 잡아내 즉각적인 조치를 취할 수 있어야 한다는 주장이다.
◆ 경찰청 "수사 방향성은 2주 후 결정될듯"
다양한 추정과 분석이 제기되는 가운데 구체적인 수사 방향은 약 2주 후에 제시될 전망이다.
넥슨 해킹 사건을 수사중인 경찰청 사이버수사대 정석화 실장은 "유츨경로, 침입경로, 악성코드 감염경로 등에 대한 기초조사를 마친 후 구체적인 수사 방향이 정해질 것"이라며 "2주 정도의 초동 수사 후 이번 정보유출이 내부자와 외부자 중 누구의 소행인지, 혹은 양측의 공모인지에 대한 수사 방향성이 결정될 것"이라고 밝혔다.
이와 관련 넥슨의 최현우 홍보실장은 "이상 징후를 인지한 것은 21일이었고 그때부터 전 서버에 대한 분석 작업을 시작, '메이플스토리' 이용자 개인정보가 유출된 것을 발견했다"며 "로그를 분석해보니 18일날 해킹을 당한 것으로 나타났다"고 밝혔다.
넥슨은 이상 징후를 보였던 서버를 다른 서버로 교체했고 서비스에 지장줄 만한 요소를 배제한 후 지난 25일 방송통신위원회에 개인정보 유출 사실을 신고했다.
이번에 유출된 정보는 온라인 게임 '메이플스토리' 가입자 약 1천320만명의 성명·아이디·주민등록번호·비밀번호 등으로 넥슨 측은 주민등록번호와 비밀번호의 경우 암호화되어 있어 직접 노출될 가능성은 낮다고 보고 있다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기