넥슨 정보유출 사건은 빙산의 일각이라는 의견이 보안전문가들과 해커들 사이에서는 지배적이다. 사이버 범죄자들은 타깃 기업이 어떤 백신을 사용하는지 파악후 해당 백신이 탐지하지 못하는 악성코드를 사용해 공격한다. 즉 어떤 백신을 사용해도 뚫린다는 것이다. 또 사내 IT지식과 보안인식이 취약한 부서 담당자를 타깃으로 메일을 보내 1차적으로 직원 1명의 PC를 장악후 사내 네트워크 침투에 성공한다. 이럴 경우 공격자는 백신과 IPS/IDS를 그대로 우회하기 때문에 보안담당자 입장에서도 속수무책이다.(우측 이미지. www.flickr.com / by Darcy McCarty)   
 
◇넥슨 공격한 악성코드는 중국 자동화툴로 만들어져=넥슨을 공격한 악성코드는 백도어 2종으로 알려졌다. 모 악성코드 분석 전문가는 이번 넥슨 공격용에 사용된 것으로 추정되는 ‘cXXXX.exe’ 악성코드 샘플을 입수해 분석에 들어갔다.
 
그의 말에 따르면 “백도어 기능을 가진 악성코드다. 원격제어가 가능한 해킹툴로 다른 악성파일을 실행시킬 수도 있고 감염된 PC를 계속 모니터링 할 수도 있다”며 “중국에서 개발된 악성코드 제작 자동화툴로 만들어진 악성코드로 보여진다”고 밝혔다.
 
또 “최근 공격자들은 여러 타깃에 악성파일 감염이 될 경우, 이를 관리할 목적으로 타깃들의 이름을 명시하고 있다. 공격자는 여러 타깃에 악성파일을 뿌린 후, 감염 성공 메시지가 뜨기를 기다린다. 이때 감염자 IP를 볼 수 있지만 대부분 내부망 IP라 어딘지 알 수 없다”며 “이때를 대비해 악성코드 내부에 타깃의 이름을 명시해 구분한다. 넥슨의 경우도 그런 경우에서 벗어나지 않는다”고 밝혔다.
 
◇이번 공격은 넥슨만 타깃 된 것 아니다=달리 생각하면, 이번 공격이 넥슨만을 타깃으로 한 것이 아니라는 논리도 성립된다. 즉 다른 게임사들도 예의주시해야 한다는 것이다.   
 
그는 “이런 공격툴 자동생성기는 중국에서 인터넷 상으로 판매도 되고 일반 공개용으로 다운받아 사용할 수도 있다. 위험한 툴은 일대일로 접근해서 판매하기도 한다”며 “종류는 엄청 많고 쉽게 사용할 수 있어 위험성이 크다. 따라서 현재 한국에서 발생하는 사건사고들이 당하는 기업 입장에서는 복잡하지만 공격자 입장에서는 쉽게 악성파일을 생성할 수 있기 때문에 심플하게 공격이 이루어지고 있다”고 설명했다.
 
그는 또 “악성파일 전문 제작자가 아니라도 쉽게 악성파일 생성툴로 공격 도구를 만들 수 있다. 이것을 타깃 기업 직원에게 문의메일이나 신고메일 등으로 조작해 보내면 99% 열어보게 된다”며 “공격자는 바보처럼 보안팀 직원에게 메일을 보내는 것이 아니라 취약한 일반 직원에게 메일을 보내기 때문에 성공율이 높을 수밖에 없다. 그래서 일반 임직원 대상의 철저한 보안교육이 반드시 필요하다”고 강조했다. 
 
◇직원들 PC 철저히 관제하는 기업 몇이나 되나=특히 “기업에서 업무용 PC 1대가 감염되는 것이 얼마나 위험한지 실감하지 못하는 것 같다. 한 PC만 장악되면 회사 전체가 감염되는 것은 시간문제”라며 “한대의 PC만 감염됐다고 하찮게 생각할 것이 아니라 그것이 공격의 시작이란 것을 명심하고 즉각적으로 대응해야 한다”고 경고했다.
 
또 다른 전문가도 “넥슨 보안팀도 능력있고 활발히 활동하고 있었다. 또 여러 보안장비를 운용하고 있었지만 뚫린 것이다. 그 보안팀의 한계치를 넘어선 공격을 하기 때문에 가능한 것이다. 직원들의 PC를 철저히 관제하는 기업들이 몇이나 될까. 일반 직원들은 공격자 입장에서는 너무도 손쉬운 먹잇감”이라며 “타깃 공격을 100% 막을 수는 없겠지만 철저한 직원 보안교육만이 피해를 최소화할 수 있다”고 강조했다.
 
그는 “악성파일에 노출되더라도 최대한 빨리 대처하면 공격자 입장에서는 짜증나는 일이다. 공격자 입장에서 감염에는 성공했는데 확산되기 전에 계속 악성파일이 지워진다면 공격을 포기할 수도 있다”며 “직원들의 모든 메일을 보안팀에서 체크할 수는 없다. 그 일 말고도 일이 산더미다. 공격자들은 또 사내메일로 공격할 뿐만 아니라 일반 웹메일로도 공격한다. 이런 부분까지 보안팀에서 체크하기란 불가능하다”고 설명했다.
 
즉 모든 직원들이 자신에게 오는 외부 접촉 시도에 대해 보안의식을 가지고 대응해야 하고 경영자는 그런 시스템이 정착될 수 있도록 체계를 만들어줘야 한다는 것이다.
 
◇보안 홀은 어디든 존재해=보안 홀은 어디에서든 존재할 수 있다. 모 게임보안 담당자는 “우리 회사에서 관리하진 않지만 관련된 웹사이트도 주의해야 한다. 특히 게임사는 자사 홈페이지 이외에 게임관련 타 웹사이트에서 상담활동도 하고 여러가지 홍보 활동도 하고 있기 때문에 그런 타깃을 공격한 후 우회해서 본진을 치는 경우도 있다”고 설명했다.
 
그는 “1차적으로 백신을 실시간 운용해야 하고 2차적으로 개인용 방화벽 사용을 권한다”며 “개인용 방화벽은 패턴매칭이 아니라 행동기반으로 탐지하기 때문에 이용자는 상당히 귀찮을 수 있지만 숙달되면 쓸 만하다. 방화벽은 쉽게 우회 못하기 때문에 기업에서 고려해 볼만한 것”이라고 추천하기도 했다.  
 
또 “전문 공격자들은 백신이나 IPS/IDS 등 전문 보안관제 유닛들을 교묘히 피해 DB서버나 백업DB서버 관리자 계정을 탈취한다. 이때부터 공격자는 정상적 접근자가 되기 때문에 보안팀이나 보안장비 등 어디에서도 의심받지 않고 정보를 빼내가거나 시스템을 망가트릴 수 있는 것”이라며 “보안교육을 통해 전직원의 보안인식 함양과 메일 사용시 각별한 주의 그리고 우리 기업과 관련된 제휴 사이트 혹은 기업들의 보안상황에도 주의를 기울여야 한다”고 강조했다. [데일리시큐=길민권 기자]