경제타임스 김은국 기자 | 신세계그룹 임직원 8만 명의 사번과 내부 IP 주소가 유출되는 대형 보안 사고가 발생했다. 고객 정보 유출은 피했지만, 전문가들은 유출된 정보가 '기업 내부망 침투를 위한 마스터키'로 악용될 수 있다고 경고한다.
신세계I&C(Information & Communication)는 이번 사고로 임직원 및 협력사 직원 8만 명의 사번과 부서명, IP 주소 등이 유출됐다고 지난 12월26일 밝혔다. 주민등록번호나 카드 번호가 아니기에 안전하다고 생각할 수 있지만, 보안 관점에서는 전혀 다른 이야기다.
'사번'은 사내 인트라넷의 기본 로그인 ID로 사용되며, 'IP 주소'는 해당 직원이 어느 지점, 어느 PC에서 접속하는지를 알려주는 상세 지도와 같다. 해커가 이 정보를 조합해 특정 부서원에게 정교한 '스피어 피싱(Spear Phishing)' 메일을 보내거나, 사번을 이용한 무차별 대입 공격(Brute Force)을 시도할 경우 내부 전산망이 통째로 뚫릴 위험이 크다.
불특정 다수를 노리는 일반적인 피싱(Phishing)과 달리, 스피어 피싱(Spear Phishing)은 특정 개인이나 조직을 겨냥해 정교하게 설계된 이메일 등을 보내 정보를 탈취하는 기법을 말한다. 마치 작살(Spear)로 물고기를 찍어 잡는 사냥 방식과 유사하다고 해서 붙여진 이름이다.
이번 신세계그룹 사례처럼 임직원의 이름, 부서명, 사번 등이 유출되었을 때 가장 우려되는 시나리오가 바로 이 스피어 피싱이다. 해커는 탈취한 정보를 바탕으로 직속상관이나 인사팀을 사칭해 "사번 OOOO번 OOO님, 보안 점검을 위해 아래 링크를 클릭하십시오"라는 식의 지극히 정상적인 업무 메일로 위장한다.
공격 대상의 일상적인 업무 환경을 완벽히 모방하기 때문에 보안 의식이 높은 전문가조차 무심코 링크를 누르거나 첨부파일을 실행하기 쉽다. 한 번의 클릭만으로 사내 망에 악성코드가 심어지면, 이는 기업 전체 시스템을 마비시키는 랜섬웨어 감염이나 핵심 기술 유출이라는 치명적인 결과로 이어진다.
■ "고객 정보는 무사"…그러나 끝이 아닌 시작
신세계 측은 "고객 정보 유출은 없었다"며 선을 그었지만, 보안 업계는 '공급망 공격'의 가능성을 주시하고 있다. 특히 협력사 직원의 정보까지 포함된 점으로 보아, 보안이 상대적으로 취약한 연결 고리를 타고 시스템에 침입했을 가능성이 제기된다.
내부 사정에 정통한 한 보안 전문가는 "사번과 IP가 유출됐다는 것은 해커가 이미 내부 시스템의 논리적 구조를 파악했다는 뜻"이라며 "비밀번호 변경 권고를 넘어, 전사적인 다중인증(MFA) 도입과 비정상 트래픽 모니터링 강화가 시급하다"고 지적했다.
또 다른 보안 업계 관계자는 "스피어 피싱은 기술적 방어 체계만큼이나 사용자 개인의 주의가 중요하다"며 "출처가 확실한 메일이라도 비정상적인 URL 접속이나 파일 다운로드를 요구할 경우 반드시 유선 등으로 재확인해야 한다"고 조언했다.
■ 신세계I&C의 사후 약방문…"신뢰 회복이 관건"
신세계I&C는 사고 인지 후 즉각적인 계정 차단과 관계기관 신고 등 초동 조치에 나섰다. 하지만 유통 공룡이라 불리는 신세계그룹의 IT 서비스를 전담하는 계열사에서 발생한 사고라는 점에서 브랜드 이미지 타격은 불가피하다.
회사는 향후 보안 관리 체계를 강화하겠다고 밝혔으나, 유출된 정보가 이미 다크웹 등에서 거래될 가능성을 배제할 수 없다. 신세계그룹은 현재 전 임직원을 대상으로 보안 수칙 준수를 당부하고 조사를 이어가고 있으며, 이번 사고가 그룹 전체의 디지털 전환(DX) 전략에 어떤 영향을 미칠지 업계의 이목이 쏠리고 있다.
