EverGiver

04.22 - "해킹 팬데믹’ 대비하라"···SK쉴더스, 사회·기업·개인, 모두가 위협에 노출 본문

취뽀/경제신문스크랩

04.22 - "해킹 팬데믹’ 대비하라"···SK쉴더스, 사회·기업·개인, 모두가 위협에 노출

친절한개발초보자 2022. 4. 22. 08:11
728x90
헤드라인
(요약과 압축)
"해킹 팬데믹’ 대비하라"···SK쉴더스, 사회·기업·개인, 모두가 위협에 노출
기사링크 https://n.news.naver.com/mnews/article/138/0002123220
본문
(본문 내용 복사)
코로나19 팬데믹 이후 사이버보안 사고 발생은 증가 추세다. 지난 3월에는 삼성전자와 LG전자가 비슷한 시기에 같은 조직에 의해 해킹되는 초유의 사태도 발생했다. 지난 연말에는 아파트 월패드가 해킹되면서 월패드에 연동돼 있는 가정 내 카메라 영상 정보가 고스란히 노출되기도 했다. 사회·기업·개인, 모두가 위험에 노출된 상황이다.

21일 SK쉴더스는 경기도 성남시 SK쉴더스 판교 사옥에 있는 자사 사이버보안관제센터 ‘시큐디움 센터(Secudium Center)’를 공개했다.

◆국내 최대 사이버보안기업의 심장부, SK쉴더스 시큐디움 센터

시큐디움 센터는 SK쉴더의 통합 보안관제가 이뤄지는 컨트롤타워다. 국내 최대 사이버보안 기업인 SK쉴더스의 심장부라고 할 만하다. 2200여개 고객 위협 정보를 실시간으로 분석·차단하고 있다.

SK쉴더스가 제공하는 통합 보안관제는 크게 ▲보안 로그 수집 ▲해킹 위협 탐지 ▲해킹 영향도 분석 ▲해킹 공격 대응 ▲대응 경과 보고 등의 프로세스로 이뤄진다.

통합 보안관제 플랫폼 ‘시큐디움’에는 매일 약 79억건의 데이터가 수집·분석되고 있다. 초당 25만건가량이다. 수집된 데이터를 인공지능(AI)을 통해 분석하면 하루 발생하는 실제 위협은 약 5만건이다. AI가 판별, 분석한 위협을 차단 조치하고, 대응 결과를 고객사에게 전달하는 것이 일련의 과정이다.

김종현 SK쉴더스 시큐디움 센터장은 “관제라고 하면 모니터 앞에 사람이 앉아있고, 이를 살피는 것을 생각하기 쉽다. 틀린 생각은 아니다. 다만 그보다 다양한 일을 한다. 정보기술(IT)에서 발생하는 모든 위협을 모니터링하는 곳이라고 이해하면 된다”고 말했다.

사이버보안 사고는 언제든지 발생할 수 있는 특성상, 365일 24시간 상시 모니터링이 필수적이다. 위협으로 서비스 장애가 발생하는 등의 사태가 발생할 경우 이를 복구하고, 원인을 분석하거나 대응하는 체계도 만들어야 한다. 높은 전문성을 가진 인원이 상시 근무해야 하는데, 개별 기업이 이를 만족하기란 쉽지 않다. SK쉴더스와 같은 전문 보안관제 기업의 역할이 중요한 이유다.

SK쉴더스는 관제 과정에서 취약점을 이용한 제로데이 공격에도 대응하고 있다. SK쉴더스의 고객 중 상당수는 작년 12월 전 세계 IT 기업을 강타한 로그4쉘(Log4shell)을 이용한 공격에 노출됐는데, SK쉴더스는 이를 모두 탐지하고 차단하는 데 성공했다. 지난 3월 발생한 스프링4쉘(Spring4shell) 공격도 모두 차단, 고객 피해는 제로다.

이를 가능케 하는 것은 대량의 이벤트 분석을 위한 빅데이터 엔진 기술, 해킹 위협을 판단하는 AI, 글로벌 보안기업과 정보를 공유하며 축적 중인 위협 인텔리전스(TI) 등이다.

◆한국의 맨디언트, SK쉴더스 Top CERT 팀

3월 전 세계 IT 업계를 떠들썩하게 한 인수합병(M&A)가 있었다. 구글이 사이버보안 기업 맨디언트(Mandiant)를 54억달러(약 6조6000억원)에 인수한 건이다. 맨디언트의 인수에는 마이크로소프트(MS)도 관심을 보였으나 구글이 최종 승자가 됐다.

맨디언트는 위협 인털리전스(TI)와 컨설팅, 솔루션을 제공하는 기업이다. 사고 발생 시 해킹의 원인은 무엇인지, 공격자는 누구인지, 어떤 부분을 보완하면 될지 등에 대한 컨설팅과 이를 위한 솔루션을 제공하는데, 해당 분야 세계 최고 수준의 기업이라는 평가를 받는다.

SK쉴더스에도 맨디언트와 유사한 역할을 수행하는 조직이 있다. 해킹사고대응(Top CERT) 팀이다.

업무는 해킹사고에 대한 심층적인 분석이다. 가령 삼성전자와 LG전자를 해킹한 랩서스와 관련 랩서스는 어떤 조직인지, 공격은 어떻게 이뤄졌는지, 미흡한 부분은 무엇인지, 효과적인 대응책은 무엇인지 등을 분석한다.

김성동 팀장은 “삼성전자와 LG전자를 잇달아 해킹하며 주목받은 랩서스는 본격적인 공격 이전에 직원 계정정보를 미리 확보했다. 재택근무가 늘어난 가운데 직원 계정정보의 중요도가 크게 늘었는데, 보안상의 허점을 이용해 기업 데이터를 훔쳐냈다”고 밝혔다.

그는 랩서스 공격의 경우 크게 4개 사고 단계에서의 보안 강화로 대응할 수 있다고 분석했다. 사전 계정 정보가 유출되는 것에 대한 모니터링을 강화하고, 소유 기반의 멀티팩터(Multi-Factor) 인증 적용, 임직원 계정의 이상 행위 모니터링 체계 구축, 중요 자료에 대한 식별 및 암호화 등 단계별 대응 방안 및 그에 적합한 솔루션도 함께 소개했다.

◆너무나도 쉬워진 사이버공격··· 국내 최대 규모의 화이트해커그룹으로 대응

SK쉴더스는 국내 기업 중 최대 규모의 화이트해커그룹을 운용 중이다. 이트해커그룹 이큐스트(EQST)로, 보안 전문가 110여명이 배치돼 있다. SK쉴더스 다음으로 많은 인원을 갖추고 있는 기업은 30여명의 화이트해커를 보유 중이라는 것이 SK쉴더스의 설명이다.

SK쉴더스 EQST 김태형 담당은 “SK쉴더스 EQST는 국내 최고의 기술력을 갖춘 전문 조직이라고 확신한다. 알려진 해킹 기법을 이용하는 데 그치지 않고, 해킹이 발생할 수 있는 기술이나 보호하기 위한 기술을 직접 연구하고 있다. 여기서 얻은 인사이트는 사회공헌 활동의 일환으로 대외적으로 공개한다. ‘사물인터넷(IoT) 진단 가이드’ 등이 그 예”라고 전했다.

김 담당은 실제 드론 해킹 모습을 소개했다. 드론의 제어권을 탈취하거나 위치정보시스템(GPS)을 재밍시켜 조작을 불가능하도록 하는 모습이 시연됐는데, 복잡한 과정 없이 자동화된 툴을 통해 손쉽게 공격이 이뤄지는 것을 확인할 수 있었다.

그는 “10여년 전만 하더라도 해커는 굉장히 높은 전문성을 요구하는 어려운 직업이었다. 프로그래밍 언어는 기본이고 네트워크나 서버 등, IT 전반에 대한 지식이 있어야 했다. 하지만 최근에는 높은 수준의 자동화 도구를 쉽게 구할 수 있게 됐다. 전문가가 아니더라도 해킹을 할 수 있게 된 상황”이라고 전했다.

◆IPO 앞두고 경쟁력 뽐내기··· ‘보안 대장주’는 따논 당상?

시큐디움 센터는 높은 등급의 보안이 요구되는 장소다. 외부에 공개하는 것부터가 생소하다. 그런데도 시큐디움 센터를 공개한 것은 오는 5월 기업공개(IPO)를 앞두고 자사가 가진 경쟁력을 뽐내기 위함으로 보인다.

SK쉴더스는 물리·사이버보안기업의 통합 기업이지만 IT 영역에서는 국내 최대 사이버보안 기업으로 익숙하다. ADT캡스와 통합하기 전 SK인포섹은 국내 최초 매출액 2000억원, 3000억원을 달성했다. 시장 2위 기업인 안랩과도 격차가 상당하다.

SK쉴더스의 IPO에 대해 시장의 평가는 대체로 호의적이다. 국내 사이버보안을 대표하는 기업이 등장함에 따라 시장 전반에 활기가 띌 것이라는 기대도 있다.

한편 SK쉴더스는 5월 3일부터 4일까지 이틀간 수요예측을 실시한다. 희망 공모가액은 3만1000원에서 3만8800원이다. 공모가 기준 SK쉴더스의 시가총액은 2조8005억~3조5052억원이다.

이는 공동대표주관회사인 NH투자증권, 모간스탠리인터내셔날증권회사 서울지점, 크레디트스위스 서울지점 및 공동주관회사인 KB증권이 기업가치/세전 영업이익(EV/EBITDA) 밸류에이션을 기준으로 산정한 평가액 5만2044원에서 40.43~25.45%의 할인율을 적용한 값이다. 주관회사들이 평가한 금액에 따른 시가총액은 4조7016억원이다.
기사 내용의
수치화, 인사이트 나누기
① 국내 최대 사이버보안 기업인 SK쉴더스의 심장부라고 할 만하다. 2200여개 고객 위협 정보를 실시간으로 분석·차단하고 있다.
② 통합 보안관제 플랫폼 ‘시큐디움’에는 매일 약 79억건의 데이터가 수집·분석되고 있다. 초당 25만건가량이다. 수집된 데이터를 인공지능(AI)을 통해 분석하면 하루 발생하는 실제 위협은 약 5만건이다. 
③ 구글이 사이버보안 기업 맨디언트(Mandiant)를 54억달러(약 6조6000억원)에 인수한 건이다
④ 이트해커그룹 이큐스트(EQST)로, 보안 전문가 110여명이 배치돼 있다.
⑤ ADT캡스와 통합하기 전 SK인포섹은 국내 최초 매출액 2000억원, 3000억원을 달성했다. 
⑥ 희망 공모가액은 3만1000원에서 3만8800원이다. 공모가 기준 SK쉴더스의 시가총액은 2조8005억~3조5052억원이다.
추가조사할
내용 또는결과
  1. 삼성 해킹한 '랩서스'
    1. 삼성전자, LG전자 등을 차례로 해킹한 '랩서스(LAPSUS$)'는 외부에 공개된 취약한 서버에서 유출한 사용자 계정정보(크리덴셜)을 주로 해킹 공격에 활용하는 것으로 추정됐다.
    2. 랩서스가 공개한 스크린샷 및 채팅 기록에는 유효한 VPN(가상 사설 네트워크), RDP(원격 데스크톱 프로토콜), AWS(아마존웹서비스) 및 마이크로소프트 클라우드의 애저 등의 크리덴셜을 통해 접속하는 비중이 매우 높았다
    3. 즉, 다른 곳에서 유출된 아이디와 비밀번호 등 로그인 정보를 서버에 무작위 대입해 로그인 정보가 들어맞을 경우 해당 서버에서 정보를 탈취하는 이른바 '크리덴셜 스터핑(Credential Stuffing) 기법을 랩서스가 활용했다는 분석이다.
    4. S2W의 분석에 따르면 랩서스 해킹 그룹은 2021년 5월부터 딥웹 포럼에서 활동을 시작한 것으로 추정된다. 특히 텔레그램에서는 브라질의 보건부에 대한 최초 데이터 유출을 시작으로, 글로벌 기업뿐만 아니라 국내 대기업들의 주요 데이터를 유출해 전 세계의 이목을 끌고 있다.
    5. 랩서스의 가장 큰 목적은 금전적 이득으로 추정되며, 대기업의 강력한 보안 게이트들의 허점을 파고들어 데이터를 유출시켰다는 점에서 상당한 실력자들로 구성된 것으로 추정된다. 구성원은 최소 5명 이상으로 추정되며 최근 텔레그램을 통해 직원을 모집하기도 했다.
    6. 랩서스가 활동하고 있는 채널은 '해킹 포럼'과 텔레그램 방이었는데, 최근에는 'Matrix(매트릭스)' 라는 서비스로 채널을 이동했다.
    7. S2W 분석에 따르면 랩서스는 앞으로도 활발하게 활동할 가능성이 높다. 각 기업 및 기관에서는 해당 공격그룹에 대한 지속적인 인텔리전스(정보) 수집 및 대비가 필요하다.
    8. '딥웹(일반적인 검색 엔진으로 찾을 수 없는 웹)', '다크웹(특수한 웹브라우저를 사용해야만 접근할 수 있는 웹)'을 활용한 해커들의 조직적이고 체계적인 공격은 단순하게 운영되는 보안 장비만을 이용해서는 대응하는데 한계가 있기 때문이다.
    9. 데이터가 공식적으로 유출되기 전에, 신속히 관련 내용을 전달 받아 대비책 및 탈취 정보 확산에 대응을 할 수 있는 것은 그렇지 못한 상황과 비교했을 때 큰 차이가 있다.
요약 및 의견
for 경제신문스크랩
스터디용 
코로나로 인한 재택근무가 많아지면서 보안 문제가 많이 발생되고 있는 거 같다. 특히 국내 최고 기업이라고 할 수 있는 삼성과 LG도 최근 보안 이슈를 겪으면서 보안에 대한 중요성이 더 커진 것 같다. 앞으로 보안 문제에 관한 정보를 찾아봄으로써 추후 개발 진행 시 발생될 수 있는 문제에 대해 미리 생각을 해두어야겠다.
적용할점
(현직자에게 할 질문)
① 이번 랩서스의 해킹으로 인한 피혜 규모가 어느 정도 되나요?
연관기사 링크 SK쉴더스, 비교 기업 'ADT·알람닷컴·퀄리스'빼고 '싸이버원·대만 세콤' 반영

삼성 해킹한 '랩서스', 철옹성 서버 어떻게 뚫었나

 

728x90
Comments