정보기술(IT) 영역에 관한 모든 지식을 압축해 풀이합니다. IT산업에 꼭 필요한 용어들을 소개하고, 살펴보면 좋을 쟁점들도 정리합니다. IT가 처음인 입문자라면 혹은 동향을 알고 싶은 전문가라면, 디지털데일리의 'IT백과'를 참고하세요. <편집자주>

[디지털데일리 김보민기자] 국내 대표 보안기업 SK쉴더스가 해킹 공격을 받았다. 해킹조직 '블랙슈란탁'은 다크웹에 고객정보, 네트워크 자료, 인사 및 급여 내역, 사이버보안 기술 정보 등 24기가바이트(GB) 규모의 SK쉴더스 데이터를 해킹했다고 주장했고 이를 뒷받침할 샘플을 공개했다.

사건 초기에 SK쉴더스는 해커를 추적하기 위한 '허니팟(Honeypot)' 시스템이 공격을 당했을 뿐 실제 내부 자료는 피해를 입지 않았다고 해명했다. 그러나 허니팟에 연결된 가상머신(VM)에서 직원 개인 이메일 계정이 로그인돼 있었고, 이를 통해 무관한 자료도 유출된 것으로 알려졌다. 해커를 유인하기 위해 허니팟을 만들었지만, 가상환경에 실제 이메일 계정이 연결돼 있던 탓에 해커가 업무 자료를 빼갈 수 있었던 것으로 풀이된다.

SK쉴더스는 전날 한국인터넷진흥원(KISA)에 신고를 완료했고 조사를 진행하고 있다. 해커조직은 고객정보와 인사 내역도 유출했다고 주장했는데, 이에 대한 조사도 이뤄지고 있다. SK쉴더스는 조사가 진행 중인 만큼, 개인정보 유출 여부는 확답이 어렵다는 입장이다. 개인정보보호위원회는 이날 오전 기준으로 SK쉴더스로부터 신고를 받지 않았다고 확인했다.

이번 사고가 수면 위로 올라오자, 보안업계에서는 "SK쉴더스가 자신이 만든 덫에 스스로 걸려들었다"는 말이 나오기 시작했다. 보안을 강화하기 위해 만든 가상환경이 오히려 보안 취약점을 낳은 원인이 됐다는 평가다.

허니팟은 해커를 유인해 공격 행위를 탐지, 추적, 차단하는 가상환경이다. 해커가 공격할 만한 '표적'처럼 위장한 뒤 위협 기법과 정보를 얻어내는 것이 목적이다. 허니팟은 애플리케이션과 데이터를 갖춘 실제 컴퓨터 시스템처럼 보이기 때문에, 사이버 범죄자들이 정보를 빼가고 공격을 가하기 위해 이에 접근하도록 유도할 수 있다. 신용카드 번호를 알아내려는 해커라면, 이를 유인하기 위해 허니팟을 합법적인 청구 시스템처럼 꾸미는 방식이다. 해커가 해당 시스템을 침입하면 이를 추적하고, 공격 행위를 분석한 뒤 실제 네트워크 보안을 강화하는 체계를 구축할 수 있다.

허니팟이 작동하는 방식도 다양하다. 사이버보안 기업 카스퍼스키는 "허니팟 유형은 해결하고자 하는 보안 위협이 무엇이냐에 따라 달라진다"며 "단순히 방화벽이나 바이러스 백신처럼 특정 문제를 해결하기 보다, 기존 위협을 파악하고 새로운 위협을 감지하는 데 필요한 도구"라고 설명했다.

대표적으로 '이메일 덫(스팸 트랩)'이 있다. 이는 자동주소수집기만 찾을 수 있는 숨겨진 영역에 가짜 이메일 구조를 배치하는 방식으로 구성된다. 해당 주소는 스팸 트랩 이외 다른 용도로 사용되지 않기 때문에, 해당 주소로 수신되는 모든 메일은 100% 스팸이다. 스팸 트랩에 전송된 메일과 동일한 내용을 포함한 모든 메시지는 자동 차단되고, 발신자 인터넷프로토콜(IP) 주소는 차단 목록에 추가될 수 있다.

미끼용 데이터베이스도 대표적인 허니팟 유형이다. 이는 불안전한 시스템 구조를 악용하는 공격이나 SQL 인젝션, 권한 남용 등 공격을 식별하도록 설정할 수 있다. 악성코드 공격 등을 유도하는 '멀웨어 허니팟'도 있다. 멀웨어 허니팟은 소프트웨어 앱과 애플리케이션프로그래밍인터페이스(API)를 모방해 멀웨어 공격을 유도하는 방식으로 작동한다. 유도에 성공하면 멀웨어 특성을 분석해 안티멀웨어 소프트웨어를 개발하거나, API 취약점을 보완할 수 있다.

스파이더 허니팟도 자주 활용되는 유형 중 하나다. 스파이더 허니팟은 웹크롤러(웹을 탐색해 페이지를 복사 및 인덱싱하는 봇)를 유인하기 위해 크롤러만 접속할 수 있는 웹페이지와 링크를 생성하는 것이 목적이다. 크롤러를 탐지하면 악성 봇 차단 방법뿐만 아니라 광고 네트워크 크롤러를 식별할 방법을 고안할 수 있게 된다.

이번 SK쉴더스 사태로 허니팟을 활용하는 보안기업들 사이 경종이 울릴 전망이다. SK쉴더스도 "해커 유인용 가상환경인 허니팟에 로그인돼 있던 개인 이메일 계정(지메일)에서 일부 업무 문서를 확인했다"며 "고객 정보보호를 위한 점검과 조치를 진행 중"이라고 인정했다. 조사 결과가 언제 마무리될지는 미정이라고 밝혔다. 대신 "이번 사안을 매우 엄중하게 인식하고 있다"며 "조사 결과를 관계기관에 공유하고 확인되는 사항에 대해 신속하고 투명하게 안내드리겠다"고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -