컨텐츠 바로가기

다크웹서 '원격접속 정보' 수십만개 유통···직원 ID·비번 털리고 사내 기밀도 빼가

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다

■재택근무 확산에 기업 보안 비상

VPN 주소·서버 등 대량으로 거래

중견社 정보 4,000弗에 팔리기도

국정원, TF꾸려 랜섬웨어 공격 대응

기업도 이중 인증 등 보안 강화 시급

서울경제

<이미지를 클릭하시면 크게 보실 수 있습니다>




세계적으로 사이버 안보 전쟁이 격화되는 가운데 우리 기업 직원들의 개인 정보가 온라인 암시장(다크웹)에서 대량 유포돼 해커들에 그대로 노출되고 있다. 특히 코로나19 이후 재택근무가 늘어나면서 정보 당국의 보안 권고에 대한 민간 기업·단체들의 적극적인 협조가 더 절실해졌다는 분석이 나온다.

26일 국가정보원에 따르면 현재 다크웹에서는 외부에서 회사 내부 시스템에 원격 접속해 업무를 할 수 있도록 지원하는 가상사설망(VPN) 주소(IP)와 사용자 정보(아이디·비밀번호)가 대량으로 유통되고 있다. 국정원은 실제로 지난해 11월 중순 신원을 알 수 없는 해커가 국내외 원격 접속 서버 정보 2만 7,000여 개, 계정 정보 50만여 개를 다크웹에 유포한 정황을 포착했다. 이후 한국인터넷진흥원(KISA) 등 유관 기관과 협조해 긴급 보안 조치를 실시했다.

당시 다크웹에 유포된 정보 중에는 국내 기업·기관이 이용 중인 원격 접속 서버 500여 대의 정보도 포함됐던 것으로 파악됐다. 노출된 접속 정보를 입력하니 해당 서버 상당수에 접속이 가능했다는 것이 국정원 측의 설명이다. 코로나19에 따라 재택근무를 적극 실시하는 기업·기관이 정보 유출의 주요 목표 대상이 된 것으로 분석됐다. 다른 해커들의 활동까지 감안하면 다크웹 거래 규모는 훨씬 더 클 것이라는 게 당국의 추정이다. 지난해 5월과 6월 한국원자력연구원과 한국항공우주산업(KAI)이 북한으로 추정되는 해커 조직에 의해 내부 자료가 유출된 것도 원격 접속 서버가 뚫린 탓이었다.

국정원 사이버안보센터 관계자는 “원격 접속 서버의 접속 주소와 사용자 정보가 노출되면 해커가 내부 시스템에 접속해 기밀 자료를 절취하거나 랜섬웨어(데이터를 암호화해 쓸 수 없게 만들고 이를 인질 삼아 돈을 요구하는 악성 프로그램) 공격을 시도할 우려가 크다”고 말했다.

다크웹에서 유통되는 정보는 직원들의 개인 정보뿐만이 아니다. 해커들은 손쉽게 해킹이 가능한 원격 접속 서버의 취약점 정보까지 다크웹에서 판매하고 있다. 국정원에 따르면 국내 자동차 부품을 제조하는 중견기업 A사의 내부 시스템 정보는 다크웹에서 4,000달러 선에 거래되고 있다.

정보 당국은 관련 피해가 확산되는 것을 방지하기 위해 기업들의 보안 협조가 필수라고 강조했다. 정보기관의 개별 활동만으로는 이를 완벽히 차단하기가 어렵기 때문이다. 세부적으로는 △초기 관리자 비밀번호 변경 △소프트웨어 취약점 확인 시 신속한 업데이트 △재택·원격근무자의 주기적인 서버 접속 비밀번호 변경 △일회용비밀번호생성기(OTP) 등 이중 인증 수단 적용 등의 보안 수칙 준수가 요구됐다. 피해 사례가 늘자 국정원도 해외 다크웹·랜섬웨어 공격에 대응하기 위한 별도의 태스크포스(TF)를 운영하고 있다.

국정원 사이버안보센터 관계자는 “지난해 7월 미국·영국·호주 정부 기관들이 포티넷사의 원격 접속 서버 장비에 해킹 위험성이 있다고 지적하며 보안 조치를 권고했지만 신속하게 조치를 취한 기업은 일부에 불과했다”며 “내부 시스템 접속 정보가 노출될 경우 대규모 피해가 우려되는 만큼 기업·기관의 적극적인 피해 예방 조치가 필요하다”고 밝혔다. 또 “최신 소프트웨어로 최근 업데이트한 기업도 보안 조치 전에 이미 해킹됐을 가능성이 있는 만큼 내부 보안 장비 등을 통해 외부의 침입 시도를 확인해야 한다”고 조언했다.

윤경환 기자 ykh22@sedaily.com박진용 기자 yongs@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]

기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.