“우리 기업이 털린 게 아니라고 나몰라라 하면 안 된다. 우리와 협업하는 파트너사, 기관이 해킹당하면 우리의 정보까지 유출될 수 있다.”
최상명 NSHC 데이터&AI팀 매니저는 16일 서울 중구 웨스틴조선호텔에서 열린 ‘2022 사이버보안콘퍼런스(CSC)’에서 “남들이 해킹당할 때 어느 해커 조직이, 어떤 방식으로, 무슨 정보를 유출했는지를 다크웹 인텔리전스 플랫폼을 통해 파악해야 한다”며 이렇게 말했다.
CSC는 사이버 보안 분야 지식 공유 플랫폼으로, 올해 첫 회를 맞았다. 조선미디어그룹의 경제전문매체 조선비즈가 주최하고 과학기술정보통신부가 후원한다. 이날은 ‘조용한 전쟁, 사이버 보안’이라는 주제로 세계 지정학적 대립 구도 강화와 함께 고도화되는 사이버 공격을 분석하고, 디지털 전환을 준비 중인 기업들이 꼭 알아야 할 업계 최신 트렌드와 대응 방안을 살펴본다.
최 매니저는 ‘다크웹 상의 기업 내부자료 유출 현황에 대한 인텔리전스’라는 주제의 강연에서 최근 해커 조직들 사이에서 유행하는 수법을 소개했다. 그는 “올해 초 랩서스(LAPSUS)라는 해커 조직이 국내외 빅테크 기업의 내부 자료를 유출하는 사건이 발생했다”며 “이들은 다크웹에서 구매한 임직원 계정 정보를 통해 해당 기업의 내부에 침투하는 데 성공할 수 있었다”고 했다.
최 매니저는 “다크웹에 유출된 계정 정보는 VPN을 통해 탈취된 경우가 많다. 이렇게 유출된 계정 정보는 약 400억개에 달한다”며 “한국 기업과 공공 기관도 적잖은 피해를 입고 있다. 공공 기관 중에는 1만개 이상의 계정 정보가 유출된 곳이 10곳, 1000건 이상의 계정 정보가 유출된 곳이 100여곳 있는 것으로 파악됐다”고 덧붙였다.
최 매니저는 이어 “일반 기업이 일일이 유출된 정보를 파악하기는 현실적으로 어렵다. 이 때문에 키워드, 도메인 등을 검색해 유출 현황을 확인할 수 있는 다크웹 인텔리전스 플랫폼이 존재한다”며 “요즘은 랜섬웨어 조직들도 다크웹에 유출된 계정 정보를 구입해 기업들을 공격하는 쪽으로 방향을 틀고 있다”고 했다.
최 매니저에 따르면, 현재 활동 중인 랜섬웨어 조직은 70곳이 넘는다. 이들이 내부 정보를 유출한 기업은 5월 말 기준 5400곳이다. 이 가운데 한국 기업은 19곳이다. 최 매니저는 “이들은 서비스, 제조, 금융, 교통 등 산업 분야를 가리지 않는다”며 “문제는 여태 수사 기관에 잡힌 곳은 3~4곳에 불과하다는 점이다”라고 했다.
최 매니저는 그러면서 다크웹 인텔리전스 플랫폼에 각국의 수사 기관을 도울 수 있는 기능이 있다고 덧붙였다. 다크웹 서버의 취약점을 분석하는 기능이다. 그는 “일반 웹에서는 IP 추적이 가능하지만, 다크웹에선 그렇지 않다”며 “이것이 바로 서버에 주목하는 이유다”라고 설명했다.