[보안뉴스]SK쉴더스 유출 데이터 2차 다크웹 공개...자체 보안 거버넌스 적절했나

내용 요약

SK쉴더스가 “블랙쉬란택”에 의해 데이터가 탈취되었다는 주장이 나오며, 이 집단이 다크웹에 추가 자료를 공개했습니다. 공개된 자료가 고객사 시스템 정보와 취약점을 포함한다면 2차 피해가 발생할 위험이 커졌고, SK쉴더스가 보안 거버넌스를 제대로 갖추고 있었는지 의문이 제기되었습니다.

핵심 포인트

• 블랙쉬란택(Blackshrantac): 세계적 사이버 범죄 집단이 SK쉴더스의 데이터를 탈취했다고 주장하고 다크웹에 추가 자료를 공개함.
• 다크웹에 공개된 자료: 고객사 시스템 구성과 취약점 정보까지 포함된 것으로 보이며, 이는 2차 피해(지식 유출·공격 기반)의 위험을 높임.
• 보안 거버넌스 의문: SK쉴더스가 사고 대응, 내부 통제, 위험 관리 등을 충분히 준비했는지에 대한 의문이 제기됨.

기술 세부 내용

1️⃣ Dark Web & Anonymity

개념 정의

• Dark Web: 일반적인 검색 엔진이 색인하지 못하는, 토르(Tor) 네트워크와 같은 암호화된 익명성 채널을 통해 접근할 수 있는 인터넷 영역.
• Hidden Services: *.onion 도메인으로 운영되는 사이트로, 접속 시 암호화된 라우팅을 통해 IP 주소를 숨김.

작동 원리

단계	설명	주요 기술	역할
1️⃣ Tor 네트워크 구축	사용자는 Tor 브라우저를 설치 → Tor 노드를 통해 트래픽 라우팅	Relay Nodes, Guard Nodes, Exit Nodes	익명성 확보
2️⃣ 암호화	트래픽은 여러 계층 암호화(SSL → TLS → Tor)	AES, RSA, ECDHE	데이터 무결성 및 비밀 유지
3️⃣ Hidden Service 접속	*.onion 주소 요청 → Hidden Service의 공개키를 사용	ECDSA	인증 및 연결 보안
4️⃣ 트래픽 라우팅	노드 간 라우팅 경로 생성 → 최종 목적지로 전달	Randomized Path	IP 추적 방지

사용 사례

• 합법적: 언론인·시민단체가 검열 회피용으로 사용.
• 비합법적: 사이버 범죄(데이터 거래, 암호화폐 마이닝, 악성코드 배포)에서 흔히 활용.

보안 대비책

1. VPN + Tor 결합: Tor 노드만이 아닌, VPN을 먼저 통해 ISP를 우회.
2. HTTPS‑Only: 암호화되지 않은 트래픽은 금지.
3. DNS Leak Prevention: Tor 전용 DNS 사용.

---

2️⃣ Data Exfiltration & Leak Mechanisms

탈취 프로세스 단계

단계	목표	대표 도구	방어 포인트
1️⃣ Reconnaissance	목표 시스템 파악	Nmap, Shodan, OSINT	내부 보안 정보 공유 최소화
2️⃣ Credential Theft	접근 권한 확보	Keyloggers, Mimikatz, Credential Dumpers	MFA, 비밀번호 정책 강화
3️⃣ Lateral Movement	내부 네트워크 확장	Pass-the-Hash, Remote PowerShell	세분화된 접근 제어
4️⃣ Data Staging	탈취 대상 파일 수집	PowerShell 스크립트, RDP 세션	파일 암호화 방지, 파일 무결성 검증
5️⃣ Exfiltration	외부로 전송	암호화된 FTP, HTTPS, Tor Hidden Service	암호화 전송, 전송량 모니터링
6️⃣ Cover‑Up	흔적 제거	로그 삭제, 타임스탬프 변조	로그 보존 정책 강화, 보안 모니터링

실제 사례: 블랙쉬란택

• 고객사 시스템 구성 정보 및 취약점 공개 → 악성 코드 삽입 기반 공격 가속화.
• 다크웹에 공개된 자료를 통해 공격자는 내부 네트워크 구조를 파악하고, 표적 공격(예: APT)을 설계할 수 있음.

방어 전략

1. Zero Trust Architecture: “신뢰하지 말고 항상 검증한다”는 원칙에 따라 내부/외부 모두에 대해 최소 권한 원칙 적용.
2. Endpoint Detection & Response (EDR): 실시간 감지, 행동 분석.
3. Data Loss Prevention (DLP): 파일 이동/전송 시 암호화/검사.
4. SIEM + SOAR: 이벤트 수집, 상관관계 분석, 자동화 대응.
5. 위협 인텔리전스 피드: 최신 APT 모듈, C2 도메인, 파일 해시 제공.

---

3️⃣ Governance & Incident Response in Security Companies

보안 거버넌스 핵심 요소

요소	내용	구현 방안
1️⃣ 보안 정책	조직 전체에 대한 보안 목표와 규칙	ISO 27001, NIST CSF
2️⃣ 위험 관리	자산, 위협, 취약점 평가	RISK MATRIX, ATT&CK 기반 평가
3️⃣ 컴플라이언스	법률·규정 준수	GDPR, ISO 27001, PCI‑DSS
4️⃣ 교육·인식	직원 보안 의식	정기 훈련, 피싱 테스트
5️⃣ 거버넌스 체계	역할·책임 정의	CISO, SOC Team, Incident Response Team

사고 대응 프로세스 (IR)

단계	주요 활동	KPI
1️⃣ 식별	알림 수집, 이벤트 상관	평균 탐지 시간(EDT)
2️⃣ 정지	침해 범위 제한, 서비스 격리	반응 시간(ART)
3️⃣ 제거	악성 코드 삭제, 취약점 패치	평균 복구 시간(ART)
4️⃣ 복구	정상 서비스 복원, 모니터링 강화	시스템 가용성(Δ)
5️⃣ 배우기	사고 보고서, 교훈 도출	재발률(Δ)

SK쉴더스의 현재 상황 분석

• 다크웹 공개 자료가 고객사 데이터까지 포함 → 데이터 보호 정책이 충분히 구현되지 않았을 가능성.
• 보안 거버넌스가 부족하다면 위험 인식과 사고 대응이 느려질 수 있음.
• 보안 대표 기업이란 표현이 나타내는 바와 같이, 업계 최고 수준의 정책과 프로세스를 갖추었는지 검증 필요.

보안 거버넌스를 강화하는 실질적 조치

1. 정기적인 보안 평가 (펜테스트, 보안 컨설팅)
2. 다층 보안 정책(네트워크, 엔드포인트, 어플리케이션) 도입
3. 보안 이벤트 모니터링 (SIEM, EDR, XDR) 실시간 알림 설정
4. 데이터 분류 & 접근 제어: 민감 데이터에 대해 암호화 및 접근 제한
5. 전문 인력 채용: 보안 연구원, CISO, Incident Response Team 전문화

---

실천 체크리스트

체크리스트	설명	권장 도구
Tor 사용 여부	기업 내부에서 Tor 접속 여부	Tor Browser, Whistleblower Shield
데이터 무결성 검증	전송 데이터에 대한 해시 검증	SHA‑256, Integrity Checker
로그 보존 기간	1년 이상 보존 및 접근 제한	SIEM Retention Policies
멀티팩터 인증(MFA)	모든 접근 포인트에 MFA 적용	Duo, Okta, Google Authenticator
보안 교육 프로그램	3개월마다 모의 피싱 및 인식 교육	KnowBe4, PhishMe
정기 감사	외부 보안 감사 주기	ISO 27001 Auditor, NIST CSF Review

---

마무리

블랙쉬란택의 공격과 다크웹에서의 자료 공개는 조직의 보안 거버넌스와 데이터 보호 체계가 얼마나 취약한지를 보여주는 사례입니다. Dark Web이 제공하는 익명성, 데이터 탈취 프로세스가 기업 내부를 어떻게 침해할 수 있는지, 그리고 보안 거버넌스와 사고 대응 프로세스가 실질적으로 얼마나 중요한지를 단계별로 이해하면, IT 전문가로서 조직의 방어 태세를 한층 강화할 수 있습니다.

---

 

출처: http://www.boannews.com/media/view.asp?idx=139849&kind=&sub_kind=