공격자는 사전에 기업에서 쓰는 상용 백신 프로그램들이 잡을 수 없도록 '변종 코드'를 이용했던 것. 웹마스터가 메일을 열어보는 순간 웹마스터의 PC는 해커의 수중에 이미 들어간 상태.
해커는 이 좀비 PC를 이용해 사내 인트라넷에서 시스템관리자로 파악되는 내부 직원들의 이메일 주소를 파악한다.
좀비PC를 통해 이들의 업무 내용을 파악한 뒤 관심을 끄는 내용으로 다시 이메일을 발송한다. 또다시 걸려든 PC. 그러나 한동안 해커의 공격은 없다. 다만 해당 PC들의 사용내역들이 해커의 숙주서버에 낱낱이 보고될 뿐이다.
'한방'을 노린 사전 탐지단계다. 방화벽-침입탐지시스템-데이터 서버보안 등 이중 삼중으로 걸쳐진 회사의 보안시스템을 우회하기 위한 수법이다. 표적이 된 시스템 관리자 언제 어떤 단계를 거쳐 데이터 서버에 접속하는지 확인하기 위해서다.
해커는 시스템 관리자가 자리를 뜬 상황을 틈타 핵심 서버에 접근해 주요 정보를 빼낸다. 해킹에 성공한 순간 시스템 관리자의 PC에 남아있는 흔적들을 삭제한다. 관리자가 해킹사실을 감지했을 때는 이미 해커가 주된 발자취를 지우고 나간 이후다.
이른바 '지능형지속가능위협(APT; Advanced Persistent Threat)'로 불리는 사이버 공격기법에 따른 가상 시나리오다.
APT 공격이란 이메일 악성코드 등을 통해 특정 기업의 내부시스템에 잠복해있다가 때를 맞춰 필요한 정보를 탈취하는 공격으로 3500만명에 달하는 네이트·싸이월드(SK커뮤니케이션즈 운영)가 이같은 공격수법에 당했을 가능성이 높다는 게 보안 전문가들의 지적이다.
SK컴즈의 구체적인 해킹피해 경위와 관련해선 경찰의 중간 수사 발표 전까지 속단하기 이른 시점이다. 그러나 SK컴즈 내부 PC에 감염된 악성코드를 분석한 결과, 이번 SK컴즈의 정보유출 사고는 사전에 오랫동안 치밀하게 준비돼온 표적형 공격일 가능성이 높다는 게 보안 전문가들의 지적이다.
가령, 해커가 이번 정보유출을 위해 제작한 악성코드는 PC에 한번 깔리면 PC 내부파일 검색은 물론 자신의 PC처럼 원격조정할 수 있는 일반적인 백도어 프로그램이지만, 'V3'를 비롯한 국내 유명 백신 프로그램이 탐지할 수 없도록 검증과정을 거친 것으로 밝혀졌다.
아울러 작동되는 악성코드 중 일부는 이 회사의 메신저 서비스인 '네이트온'을 가장한 파일명(nateon.exe)이 포함돼 있는 것으로 전해졌다. 시스템 관리자가 쉽게 악성코드 작동사실을 탐지하지 못하도록 하는 은닉 수법이다.
또 'nateon.exe' 파일의 경우, 3500만명의 회원정보가 전송된 중국내 서버가 아닌 대만의 웹사이트에서 유포됐을 가능성도 일부 포착됐다. 해커가 추적을 피하기 위해 대만내 관리가 허술한 웹사이트를 해킹한 뒤 이곳을 경유지 서버로 악용한 것 아니냐는 추론도 나오고 있다.
웹방화벽-방화벽-침입방지시스템-서버 보안 등 다단계 보안시스템을 직접 뚫고 침투하는 대신 보안 관리가 허술한 내부 직원들의 PC를 통해 침투하는 우회 경로를 이용한 것이다. 허점을 노린 셈이다.
보안업계의 한 관계자는 "어떤 조직이든 모든 임직원들이 철저한 보안의식을 갖추기는 사실상 불가능하다는 점에서 빈틈이 있기 마련"이라며 "기업들은 기술적으로 다단계 방어막을 쌓는데 전념하고 있지만, 해커들은 어려운 기술적인 방법 대신 관리자들의 한순간 방심을 노리는 방식으로 전환되고 있다는 점이 문제"라고 지적했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]