해커, 국내 대기업 계속 노리나? 다크웹서 내부 네트워크 침투용 VPN 계정 판 매

최근 국내 일부 대형 기업의 내부 네트워크 침투 가능한 VPN 계정 다크웹에서 판매중
코로나19에 따른 재택근무 일상화로 국내 기업들 VPN 활용 급증한 상황 노린 듯
집에서 회사 네트워크에 안전하게 접속 가능한 VPN, 계정 유출되면 보안위협 커져

[보안뉴스 권 준 기자] 지난해부터 최근까지 LG전자, 현대·기아자동차그룹, 이랜드그룹 등 국내 굴지의 대기업들이 랜섬웨어 해커조직들의 지속적인 타깃이 되고 있는 가운데 얼마 전부터는 국내 대형 기업들의 내부 네트워크에 침투할 수 있는 VPN 계정들이 다크웹에서 판매 중인 것으로 드러나 충격을 주고 있다.

[이미지=utoimage]

다크웹에서 활동하는 사이버범죄 조직과 랜섬웨어 해커들의 움직임을 지속적으로 모니터링 및 추적하고 있는 보안전문가에 따르면 해커들이 해킹으로 확보한 국내 대형 기업의 VPN 계정들이 다크웹에서 판매되고 있다. 이렇게 확보한 VPN(Virtual Private Network: 가상사설망) 계정들을 악용할 경우 외부에서의 접속을 통해 특정 기업의 내부 네트워크에 침투할 수 있게 된다.

최근 다크웹에서 국내 대형 기업인 L사, H사, S사 등과 관련된 VPN 계정을 판매하는 해커들은 이를 증명하기 위해 특정 기업의 내부 네트워크에 접속해 LDAP 리스트를 인증한 스크린샷을 남기기도 했다는 게 보안전문가의 설명이다.

▲다크웹에 해커들이 올린 국내 특정 기업의 내부 네트워크 LDAP 리스트 인증 스크린샷(왼쪽)과 또 다른 기업의 내부망 스캔 스크린샷[이미지=보안뉴스]

LDAP(Lightweight Directory Access Protocol: 경량 디렉토리 액세스 프로토콜)은 디렉토리 데이터베이스에 접속하기 위한 통신 규약으로, 디렉토리 정보의 등록·갱신·삭제·검색 등이 가능하기 때문에 LDAP 리스트를 인증했다는 건 내부 네트워크에 침입해 구성원들의 정보 등을 검색할 수 있다는 걸 입증했다는 얘기다. 이는 결국 기업의 내부 네트워크망을 뚫었다는 걸 의미하는 셈이다.

특히, 다크웹에서 활동하는 해커 가운데는 유독 한국 대형 기업 정보만 판매하는 해커도 존재하는 것으로 알려졌다. 해당 해커는 국내 특정 기업의 내부 네트워크 접속이 가능한 VPN 계정 정보를 판매하면서 이를 증명하기 위해 VPN으로 내부 네트워크에 접속해서 내부망을 스캔한 인증 스크린샷을 다크웹에 올리기도 한 것으로 드러났다.

이렇듯 최근 다크웹에서는 VPN 계정을 판매하는 해커들이 자주 포착되고 있다. 이는 코로나19 사태로 장기간 재택근무를 하고 있는 기업의 상황을 노린 것으로 추정된다. VPN은 인터넷망과 같은 공중망을 사설망처럼 이용하는 방식으로, 집 등 외부 인터넷 환경에서 회사 내부 네트워크에 안전하게 접속할 수 있는 보안 솔루션 중에 하나라고 할 수 있다.

무엇보다 VPN의 핵심 기술인 암호화와 터널링으로 인해 외부로부터의 가로채기 공격을 안전하게 방어하며 사용할 수 있다. 하지만, VPN 계정이 해킹을 통해 외부로 유출될 경우 인가되지 않은 사용자가 회사 내부 네트워크로 침투할 수 있기 때문에 내부 시스템의 자원과 정보가 노출되는 큰 피해가 야기될 수 있다.

이에 기업에서는 재택근무 등을 위해 VPN을 활용할 경우 VPN 계정이 외부로 유출되지 않도록 보다 강화된 이중 인증을 적용하는 등의 각별한 관리가 필요할 것으로 보인다.

---

스크랩내용이 문제될시 삭제하겠습니다.

출처 URL : https://m.boannews.com/html/detail.html?idx=95263