금융권 노린 해킹 '랜섬웨어' 기승, 취약점 '이것' 노렸다

작성일 08-20

<div id="layerTranslateNotice" style="display:none;"></div> "VPN 파고든 침투, 전체 공격 30%…특정 VPN 많이 써 확산우려" "핵심서버 이상접근 막는 게 현실적…전문관제 MDR 단기 방안" 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="zaSMzV5rtl">
 <figure class="figure_frm origin_fig" contents-hash="f84fb40186f7ac706221a186413520de5071fc89355d78430aa1bb306e77b631" dmcf-pid="qNvRqf1mZh" dmcf-ptype="figure">
 <img alt="ⓒ News1 DB" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/20/NEWS1/20250820053114663xmot.jpg" data-org-width="560" dmcf-mid="7cRZsvNf1S" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/20/NEWS1/20250820053114663xmot.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 ⓒ News1 DB
 </figcaption>
 </figure>
 (서울=뉴스1) 윤주영 기자 = 올해 7월 SGI서울보증 전산 장애, 최근 웰컴금융그룹 계열사 해킹 등 금융권을 노린 랜섬웨어 공격이 기승을 부리고 있다.
 기업 내부 통신에 쓰이는 가상사설망(VPN) 취약점이 널리 알려지면서, 이를 파고드는 침투가 증가했다는 지적이다. 추가 피해를 막으려면 관리형 탐지 대응(MDR) 등 관제형 보안모델을 통해 핵심서버로의 접근을 막아야 한다.
 20일 보안업계에 따르면 최근 랜섬웨어 공격 중 VPN 취약점과 무차별 비밀번호 대입 등으로 초기 침투를 시도한 사례가 많게는 30%로 추산된다.
 글로벌 디지털 플랫폼·보안기업 코버스 인슈어런스도 올해 초 보고서를 통해 이같은 분석을 내놨다. 지난해 3분기 1257건의 공격 중 약 28%가 구식 소프트웨어를 쓰거나 보안이 허술한 VPN 계정 때문이었다.
 구체적으로 'admin'·'user' 등 흔한 계정명을 쓰거나, 다중 인증 등 보완책이 미비한 게 원인으로 지목됐다. 공격자가 자동화한 무차별 대입 공격으로 손쉽게 네트워크 접근 권한을 얻는 경우가 잦았다.
 SGI서울보증 사태 역시 SSL-VPN 장비 관리자 계정이 무차별 대입 공격을 받으면서 침투를 허용한 것으로 알려졌다. 공격 배후는 러시아 랜섬웨어 소스코드를 쓰는 조직 '건라'가 지목된다.
 보안업계 관계자는 "코로나19 시기 재택근무가 확산하면서 VPN을 통한 랜섬웨어 공격이 널리 알려졌다"며 "외부 개인 기기와 회사 내부망을 연결하는 게 VPN이기 때문이다. 비교적 침투가 쉬운 개인 단말에서 VPN 취약점을 파고들어 기업 내부망에 접근하는 식"이라고 설명했다.
 이어 "서버에 업로드된 뒤 공격자에게 서버 제어권을 부여하는 '웹셸' 공격 역시 랜섬웨어 주요 침투 경로로 작용한다"고 부연했다.
 특히 국내외 가리지 않고 특정기업 VPN이 많이 쓰이면서 취약점 노출이 심화됐다. 이런 기관만 국내통신사·연구소·대학 등을 더해 2000곳이 넘는다. 
 다양한 산업군이 같은 보안 구멍을 지녔다는 의미다. 공격자는 VPN의 제로데이·원데이(해결 방법을 모르거나 혹은 패치되지 않은) 취약점을 다크웹으로 사고팔며 랜섬웨어 생태계를 확장하고 있다.
 최초 침투를 원천봉쇄하는 건 불가능하다고 업계는 입을 모은다. 내부 서버 간 이동을 다중인증(MFA) 등 설루션으로 통제해 핵심서버 감염을 막는 게 보다 현실적인 대처법이다.
 이 관계자는 "최초 침투 이후 공격자는 권한을 상승시키며 내부 핵심 서버로 접근, 랜섬웨어를 심는다"며 "서버 간 통신에서 이상징후를 실시간으로 파악해 공격을 끊는 킬체인이 중요하다"고 강조했다.
 이어 "궁극적으로는 서버 접속자를 계속 검증하는 제로트러스트 보안 모델이 필요하다. 하지만 기존 보안·망 장비를 상당 부분 교체해야 하므로 비용이 많이 든다"며 "단기적으로는 전문 관제 팀을 통한 MDR 설루션도 효과적"이라고 부연했다.
 legomaster@news1.kr &lt;용어설명&gt; ■ 가상사설망(VPN) Virtual Private Network. 가상사설망. 공용 네트워크에서 분리된 내부망에 접속할 수 있도록 도와주는 보안 서비스. ■ 랜섬웨어 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 시스템을 잠그거나 데이터를 암호화해 쓸 수 없도록 한 뒤 이를 인질로 금전을 요구하는 악성 프로그램이다. ■ 제로트러스트 제로 트러스트(Zero Trust)는 아무것도 기본적으로 신뢰하지 않는다는 원칙에 기반한 최신 보안 모델이다. 모든 사용자·장치·애플리케이션·트랜잭션을 신뢰하지 않고 항상 신원과 권한을 엄격하게 검증한 후 접근을 허용한다. 
 </section> 
 </div> 
 Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

금융권 노린 해킹 '랜섬웨어' 기승, 취약점 '이것' 노렸다

멤버랭킹

관련자료

멤버랭킹