|
반복 침해가 발생하는 이유는 새로운 공격이 계속 발생해서만은 아니다. 사고 이후 시스템을 복구하는 데 집중한 나머지 공격자가 남긴 접근 통로와 악성 요소가 제거되지 않는 경우가 적지 않다.
공격자는 해킹 과정에서 정상 계정의 아이디와 비밀번호를 탈취하거나 관리자 권한을 확보하기도 한다. 또한 웹 서버에 웹셸(Web Shell)을 설치하거나 원격제어 도구를 남겨 장기간 내부 접근 권한을 유지한다. 서버를 포맷하거나 서비스를 복구하더라도 이러한 흔적이 남아 있으면 공격자는 언제든 같은 통로를 이용해 내부망에 다시 침입할 수 있다.
최근 랜섬웨어에 감염된 제조기업 A사는 서두른 복구에만 초점을 맞춘 채 관리자 계정을 여러번 탈취 당하기도 했다. 이에 A사는 닷새 동안 네 차례의 추가 침해를 겪었다.
SK쉴더스 침해사고 대응 전문조직 탑서트(Top-CERT)는 최근 발간한 기술 리포트를 통해 이 사례를 단순한 재감염이 아니라 최초 침투 경로가 제거되지 않아 동일한 공격이 반복된 대표 사례로 분석했다.
SK쉴더스 탑서트는 약 2000건의 침해사고 대응 경험을 바탕으로 랜섬웨어와 정보 유출, 공급망 공격 등 다양한 사고를 조사해 왔다. 자체 포렌식 기술과 전문 장비를 활용해 침투 경로와 피해 범위를 규명하고, 공격자가 남긴 흔적과 잔존 위협을 식별해 추가 피해 가능성을 분석한다. 또 사이버보안 관제센터 ‘시큐디움(Secudium)’과 연계해 침해사고지표(IOC) 기반 점검과 공격 흐름 분석을 수행하며 사고 원인 규명부터 재발 방지까지 지원하고 있다.
기존 보안관제가 외부에서 들어오는 공격을 실시간으로 탐지하고 차단하는 데 초점을 맞췄다면, 침해사고 대응은 사고 이후 공격의 시작 지점과 권한 탈취 과정, 내부 확산 여부, 정보 유출, 잔존 위협까지 종합적으로 분석하는 데 목적이 있다. 서버를 포맷하거나 서비스를 복구하더라도 공격자가 탈취한 관리자 계정이나 웹셸, 원격제어 도구가 남아 있으면 언제든 같은 경로를 통해 재침입이 가능하기 때문이다.
침해사고 조사는 일반적으로 사전 조사와 디지털 증거 수집, 사고 분석 순으로 진행된다. 사고 발생 경위와 피해 시스템, 영향 범위를 파악한 뒤 디스크 이미지와 메모리, 네트워크 연결 정보, 시스템·웹·방화벽 로그 등을 무결성을 유지한 상태로 확보한다. 이후 타임라인과 침투 경로, 악성 행위, 정보 유출 여부 등을 종합 분석해 사고 원인과 피해 범위를 객관적으로 규명한다.
이 같은 조사는 단순한 기술 분석을 넘어 기업의 피해 규모와 대응 범위를 명확히 하는 근거가 된다. 고객과 협력사, 규제기관 등 이해관계자에게 책임 있는 후속 조치를 수행하고 재발 방지 대책을 마련하기 위해서도 정확한 사고 원인 규명이 중요하다.
최재호 SK쉴더스 사이버전략본부장은 “사이버 회복력은 사고 이전 상태로 시스템을 되돌리는 데 그치는 것이 아니라, 동일한 공격이 반복되지 않는 상태를 만들고 기업이 안정적으로 사업을 지속할 수 있도록 하는 역량”이라며 “침해사고 조사를 통해 객관적인 사실을 확인하고 사고 원인을 정확히 규명해야 재발을 막는 것은 물론 고객과 시장의 신뢰를 회복하는 기반도 마련할 수 있다”고 말했다.





![네이버-두나무 합병 또 연기…24일 ‘특금법 대주주 규제' 분수령 [only이데일리]](https://image.edaily.co.kr/images/vision/files/NP/S/2026/07/PS26070701313t.jpg)