158년 기업도, 글로벌 보험사도 ‘해킹’엔 무력

[애플경제 이지향 기자] 이달 들어 밝혀진 독일 알리안츠 생명에 대한 사이버공격과, 폐업까지 부른 158년 역사의 영국 운송회사 KNP의 해킹사건이 새삼 주목을 받고 있다. 이들은 사이버위협에 대한 평소의 대비 태세와 보안의식이 얼마나 중요한지를 다시금 보여준 사례로 꼽히고 있다.

알리안츠 생명은 소셜엔지니어링이란 새로운 기법을 동원한 경우다. KNP는 한 직원의 부주의로 유출된 개인 비밀번호가 큰 재앙을 부른 사건으로 기억될만한 것이어서 주목을 끈다.

IT프로, 사이버시큐리티 인사이더 등에 의하면, 알리안츠 생명은 이달 초 데이터 유출 사실을 뒤늦게 공시했다. 보험업계 거물 알리안츠 생명은 이 사건으로 북미 고객 대다수의 데이터가 유출된 것으로 전해졌다. 독일 금융 서비스 기업 알리안츠 SE의 자회사인 알리안츠 생명은 연금과 생명 보험을 판매하며, 북미 지역에 약 140만 명의 고객을 보유하고 있다. 이 회사는 또 한국 시장에도 진출, 광범위한 고객을 확보하고 있다. 다만 이번 사건과 한국 지사와는 무관한 것으로 알려졌다.

해커들은 고객 대다수의 개인 식별 데이터와 금융 전문가, 그리고 일부 알리안츠 생명 임직원의 데이터에 접근한 것으로 추정된다.

알리안츠 생명 데이터 유출 사건의 배후는?

이번 공격은 제3자 공급업체를 통해 이루어진 것으로 추정된다. 알리안츠 생명측은 “클라우드 기반 고객 관계 관리(CRM) 시스템을 통해 이루어졌다”고 언론에 밝혔다.

전문가들은 특히 이번 사건은 소셜 엔지니어링 공격을 통해 벌어진 것으로 추정한다. 사이버 보안 회사인 소닉월 클라우드 엣지 보안 담당 부사장인 타룬 데시칸은 “이번 사건이 소셜 엔지니어링 및 ID 관리의 오랜 문제점을 다시 한번 드러냈다”고 IT프로에 밝혔다.

그에 따르면 이제 다중 인증(MFA)은 중요한 방어수단이긴 하지만 완벽하지는 않다. “공격자들은 이제 정교한 소셜 엔지니어링 기법을 사용하여 MFA를 우회하고 있다”는 경고다.

보안매체 블리핑컴퓨터에 따르면, 이번 공격은 해킹 그룹 ‘샤이니 헌터스’(ShinyHunters)의 소행일 가능성이 크다. 앞서 지난달 ‘맨디언트’그룹은 이미 소셜 엔지니어링 공격을 펼치며, 세일즈포스(Salesforce) CRM 고객을 표적으로 삼은 사건에 이어 벌어진 것이다.

‘샤이니 헌터스’ 해커들은 IT 지원 직원을 사칭, 직원들에게 세일즈포스 데이터 로더(Salesforce Data Loader) 연결을 허용하도록 요청한 후, 이를 이용하여 세일즈포스에서 (알리안트 생명 등) 데이터를 빼돌려 협박한 것으로 알려졌다.

2020년에 처음 등장한 ‘샤이니 헌터스’는 유사한 공격 이력을 보유하고 있다. 마이크로소프트, 산탄데르, 티켓마스터, 토코피디아, AT&T 등 수십 개의 주요 기관을 표적으로 삼았다.

AT&T의 경우, 1억 1천만 명의 사용자 데이터가 유출되었고, AT&T는 37만 달러의 몸값을 지불한 것으로 알려졌다.

한 직원의 실수로 158년 역사 스러져

영국에선 해커들이 직원 비밀번호를 추측, 158년 된 회사를 해킹해 문을 닫게 만든 사건이 일어났다. 전문가들은 이 사건이 사이버 범죄의 파괴적인 영향력을 여실히 보여주는 사례로 평가하고 있다. BBC ‘파노라마 다큐멘터리’는 해커들의 수법을 폭로하고, 이를 해결하기 위해 노력하는 보안팀들을 취재한 내용을 공개했다.

이에 따르면 단 한 사람의 비밀번호 유출 탓에 영국의 유서깊은 운송회사 KNP(구 Knights of Old)가 158년 만에 문을 닫아야 했다. 랜섬웨어 공격으로 인해 회사는 문을 닫고 700명의 직원이 실직했다. “사이버 공격의 파괴적인 영향력을 여실히 보여준 사건”이란 해석이다.

이번 해킹 사건은 ‘아키라’ 랜섬웨어 그룹의 소행으로 알려졌다. 이들은 한 직원의 취약한 비밀번호를 추측, 시스템에 침입했다. 해커들은 결국 최대 500만 파운드(약 75억 원)에 달하는 몸값을 요구했다. 해커들은 몸값을 요구하는 메시지에서 “당신들이 이 글을 읽고 있다면 회사 내부 인프라가 완전히 또는 부분적으로 마비되었다는 뜻이다. 모든 눈물과 분노는 우리끼리만 나누고 건설적인 대화를 나눠보도록 합시다.”라고 협뱍했다.

이에 KNP 보험사들은 즉시 사이버 위기 대응팀을 파견했고, 그 결과 회사의 모든 데이터가 암호화되었고 서버, 백업, 재해 복구 시스템이 모두 잠긴 것을 발견했다. 그러나 KNP는 몸값을 지불할 수 없게 되었다.

보안업체 ‘Keeper Security’의 사이버 보안 전문가인 앤 커틀러는 사이버시큐리티 인사이더에 “이는 사이버 범죄가 데이터 손실뿐 아니라, 단 하나의 비밀번호 유출로 인해 심각한 피해를 입을 수 있는 현실 세계의 파괴적인 결과를 보여주는 적절한 사례”라고 평가했다. 그는 “이 단순한 침해 사고로 158년 역사의 기업이 완전히 붕괴되었고, 수백 개의 일자리가 사라지고 지속적인 피해가 발생했다. 이 사건에서 특히 경각심을 불러일으키는 것은 이 사건이 예외적인 경우가 아니라, 흔히 벌어지는 사례란 점”이라고 했다.

최근 몇 년 동안 비밀번호 보안은 사이버 보안 전문가들의 주요 관심 영역이 되었다. 그러나 각종 조사에 따르면 일반 소비자와 기업 모두 만성적으로 허술한 보안 관행을 보이고 있는 실정이다. 글로벌 보안업체 ‘카스퍼스키’가 작년 다크웹에서 유출된 비밀번호 1억 9,300만 개를 분석한 결과, 그중 45%를 해커가 1분 이내에 추측(밝혀낼)할 수 있는 것으로 나타났다.