 |
교원그룹이 정부에 제출한 해킹 신고서에 "해커의 협박이 있었다"고 명시됐지만, 해커가 요구한 금액란에는 '0'이라고 기재돼있어 그 배경에 관심이 쏠린다. 교원그룹이 갖춘 백업 서버로 서비스는 복구됐고, 금전 피해는 아직 없지만 해커가 개인정보를 탈취했을 가능성이 높다고 보안업계는 보고 있다. 해커가 시스템을 암호화하는 동시에 내부 데이터를 빼내 협박에 활용하는 방식으로, 이른바 '이중갈취(Double Extortion)' 수법일 가능성도 거론된다.
15일 보안당국과 업계에 따르면 이는 해킹 공격에서 드물지 않은 초기 협박 방식이다. 해커가 침입 직후 바로 금액을 제시하는 경우도 있지만, 상당수 공격에서는 먼저 "연락하라"는 메시지만 남기고 협상 채널로 피해 기업과의 협상을 유도한다. 다크웹 기반 채팅이나 특정 이메일 주소 등이 협상 창구로 활용된다. 기업 입장에서는 신고 시점에는 금전적 이야기가 오가기 전이기 때문에, 요구 금액을 특정할 수 없어 신고서에는 협박 금액을 '0'으로 기재할 수밖에 없다.
교원그룹 사고 신고서에도 협박 사실은 명시돼 있으나, '해커 요구금액'과 '예상 피해금액'은 모두 '0(원화)'이라고 적혀 있다. 이는 해커가 금전을 요구하지 않았기 때문이라기보다는, 아직 금액이 제시되지 않았거나 협상 국면으로 넘어가지 않았기 때문으로 풀이된다.
교원그룹은 데이터 유출 정황을 한국인터넷진흥원(KISA)과 개인정보보호위원회에 신고했지만, 그 데이터에 개인정보가 포함됐는지는 여전히 '확인 중'이라는 입장이다. 다만 보안 업계에서는 해커가 침투 이후 서버를 훑으며 개인정보가 저장된 시스템과 그렇지 않은 시스템을 식별할 수 있다고 본다. 데이터가 외부로 반출된 정황이 확인됐다면, 해커가 의미 없는 정보가 아니라 개인정보가 포함된 데이터를 선별해 가져갔을 거라는 설명이다. 교원그룹은 교육 사업과 함께 여행, 라이프 서비스 등을 운영해 고객·학생·학부모 개인정보를 다량 보유하고 있다.
해커가 여러 데이터 중에서도 개인정보를 노리는 이유는 단순하다. 기업이 가장 두려워하는 건 시스템 마비 자체보다도 개인정보 유출로 인한 과징금과 신뢰도 하락이기 때문이다. 특히 교원그룹처럼 교육 사업과 함께 여행, 라이프 서비스 등을 운영하는 기업은 고객·학생·학부모 정보를 다량 보유하고 있다. 이 같은 정보가 외부로 유출될 경우 법적 책임은 물론, 기업 이미지에 미치는 타격도 크다. 개인정보가 포함된 데이터를 쥐고 협박하는 건 단순히 시스템을 암호화해 운영을 멈추게 하는 것보다 훨씬 강력한 압박 수단이 된다.
이형택 한국랜섬웨어 침해대응센터장은 "해커는 2차 공격을 이어가거나, 협상이 여의치 않을 경우 탈취한 데이터를 다크웹에 공개하는 등 여러 선택지를 동시에 쥐고 있다"며 "백업을 통해 서비스가 복구됐더라도, 해커가 데이터를 보유하고 있는 한 기업은 언제든 협박에 노출될 수 있다"고 말했다.
박유진 기자 genie@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
