기업이나 기관에서 한 차례 발생한 정보 유출 사고가 다시 반복되는 일은 드물지 않습니다. 실제로 글로벌 통계에 따르면 사이버 공격을 겪은 기업 중 3분의 2는 1년 내에 추가 공격을 당한 사례가 있다고 합니다. 국내에서도 여러 보안 사고를 통해 얻은 교훈은 “소 잃고 외양간 고치는” 사후대응만으로는 부족하다는 점입니다. 반복 유출의 형태는 다양합니다. 동일한 키워드 – 예컨대 회사의 도메인, 브랜드명, 특정 프로젝트 이름 – 이 다크웹 등지에서 여러 차례 언급되는 경우가 있습니다. 혹은 동일한 계정(이메일 등)의 자격증명이 여러 유출 사고에 연속으로 등장하기도 합니다. 이는 공격자 입장에서 한번 확보한 정보를 재활용하거나, 초기 침투에 사용한 취약점을 방치할 경우 다른 공격자들까지 잇따라 침투하는 결과를 낳기 때문입니다.

공격자의 행위 패턴도 이러한 반복 유출에서 공통적으로 발견됩니다. 첫 침해 시 획득한 계정 정보나 취약점을 여러 번 활용하거나 판매함으로써 2차, 3차 피해를 일으키는 것입니다. 예를 들어 공격자가 어느 기업의 이메일 관리자 계정을 탈취했다면, 이를 다크웹에 판매하여 다른 범죄자가 동일 계정으로 추가 공격을 감행하는 식입니다. 실제 한 국내 온라인 교육 사이트 사례에서는 공격자가 유출된 사용자 계정 정보를 입수해 로그인한 뒤, 웹 취약점을 악용하여 내부 직원 계정까지 탈취하고 대량의 개인정보를 빼낸 일이 있었습니다. 이처럼 한 번 유출된 계정(ID/PW)은 연쇄적으로 악용되기 쉽습니다. 한 보고에 따르면 다크웹에 떠도는 유출 비밀번호의 73%가 다른 계정에 재사용되고 있었습니다. 공격자는 이러한 비밀번호 재사용습관을 노려 크리덴셜 스터핑(Credential Stuffing) 같은 공격을 시도하며, 실제 최근 국내에서도 크리덴셜 스터핑으로 동일 계정의 반복 침해가 보고되고 있습니다.

반복 유출의 경로는 처음과 유사한 경우가 많습니다. 초기 침입에 성공한 수법(예: 피싱 이메일, 웹 취약점, 내부자 계정 탈취 등)을 기업이 제대로 차단하지 못하면 동일한 경로로 재침투를 허용하게 됩니다. 특히 패치되지 않은 알려진 취약점이나 잘못된 설정은 첫 공격 이후에도 그대로 남아 다른 공격자들의 쉬운 표적이 됩니다. 보안업계에서는 “하나의 취약점이 여러 번의 공격으로 이어질 수 있다”는 점을 강조합니다. 결국 초기에 취약점을 신속히 보완하고 유출된 계정에 대한 조치를 취하지 않으면, 추가 유출의 위험은 매우 높아집니다.

과거 대응 이력을 활용한 보안팀의 반복 침해 분석

반복되는 정보 유출을 막기 위해서는 과거 유출 대응 이력을 면밀히 분석하고 교훈을 얻는 것이 필수적입니다. 한 번Incident가 발생하면, 보안팀은 사후 분석(Post-mortem)을 통해 근본 원인(Root Cause)을 찾아내고 재발 방지책을 마련해야 합니다. 그런데 현실에서는 초기 사고 수습에만 급급하여 이러한 리뷰를 생략하는 경우도 있습니다. 체계적인 대응 이력 관리가 없다면 동일 유형의 공격이 반복될 때 적절한 대응 타이밍을 놓치기 쉽습니다.

기업 보안팀은 과거 침해사고 조사에서 얻은 침입 경로, 사용된 악성코드 해시, 공격에 사용된 계정과 IP 정보 등의 지표(IOC)를 축적해두어야 합니다. 이렇게 구축한 지식 베이스를 통해 새로운 의심 사례가 나타났을 때 과거 사례와 대조 분석을 빠르게 수행할 수 있습니다. 예를 들어 이전 유출 사고에서 특정 내부 시스템 로그에 남았던 이상 징후나 공격 패턴이 있다면, 이후 유사 로그가 재발생할 때 즉시 경보를 울릴 수 있습니다. 과거 대응 이력을 참고하여 모니터링 규칙을 강화하고, 비정상 활동 탐지 기준을 세분화하면 동일한 수법의 침해 시도에 선제적으로 대응할 수 있습니다.

또한 이전 유출된 데이터의 범위를 정확히 파악해 두는 것도 중요합니다. 그래야 훗날 다크웹 등에 등장한 데이터셋이 기존 유출분인지, 새로운 유출인지를 판별할 수 있습니다. 예를 들어, 과거 유출된 고객 목록에 없는 새로운 레코드가 다크웹에 떠돌고 있다면 이는 추가 유출 사건임을 의미하므로 즉각적인 추가 조사와 대응이 필요합니다. 실제로 기업 정보 유출 대응팀들은 처음 사고 발생 시 확보한 유출 데이터 샘플을 해시 처리해 보관하고, 훗날 유사 데이터가 발견되면 해시 비교를 통해 중복 여부를 확인하는 기법도 사용합니다. 이러한 반복 분석 과정을 통해 보안팀은 공격자의 의도와 행태 변화도 추적할 수 있습니다. 예컨대 초기에는 금전 목적이던 공격자가 2차 침해에서는 랜섬웨어를 심고 데이터 파괴 시도를 했다면, 대응 이력을 통해 공격 수법 변화를 인지하고 대응 전략을 조정하게 됩니다.

무엇보다 재발 방지 조치가 핵심입니다. 첫 유출 사고의 원인이 된 취약점이나 관리 부실을 남겨둔 채 운영을 계속하면 추가 침해는 시간문제입니다. 앞선 사고 대응에서 도출된 개선사항(예: 취약 시스템 패치, 접근권한 강화, 직원 보안교육 등)을 신속히 이행해야 합니다. 실제 한 보안 보고서에서는 중형 기업들이 대기업보다 반복 공격에 더 취약하다는 지적이 있는데, 이는 규모가 작은 조직일수록 초기 사고 후 대응 및 복구가 지연되어 공격 표면이 한동안 열린 상태로 남기 때문이라고 합니다. 따라서 이전 사고 후 얼마나 빨리 대응책을 적용했는지가 이후 추가 공격의 성패를 가르는 요인이 됩니다.

다크웹·해킹포럼 모니터링의 역할

다크웹, 해킹 포럼, 불법 거래 마켓은 현대 사이버 공격의 정보 허브 역할을 합니다. 많은 경우 유출된 데이터가 가장 먼저 나타나는 곳이 다크웹입니다. 한 조사에 따르면 전 세계적으로 데이터 침해의 약 45%는 발생 30일 이내에 그 탈취 정보가 다크웹에 등장한다고 합니다. 따라서 조직이 유출 사실을 인지하기도 전에 공격자가 훔친 정보를 올려놓고 거래를 시작하는 경우가 절반에 육박합니다. 초동 탐지에 실패하면 한 달 사이에 고객 정보나 기밀이 암시장에 유포되어 버릴 수 있다는 뜻입니다. 이 짧은 시간을 벌기 위해, 다크웹 모니터링은 필수적인 대응 수단이 되고 있습니다. 실제로 기업명, 도메인, 이메일 주소 등을 다크웹에서 모니터링해 이상 징후 발생 시 경보를 주는 전용 서비스도 다수 활용되고 있습니다. 국내에서도 한국인터넷진흥원(KISA)이 개인을 위한 「털린 내 정보 찾기」 서비스를 통해 이메일 계정의 다크웹 유출 여부를 조회해주는 등 다크웹 감시 중요성을 강조하고 있습니다.

다크웹 모니터링은 반복 유출을 추적하는 데 특히 유용합니다. 초기 침해 후 공격자가 1차로 유출한 자료를 올려둔 경우, 보안팀이 이를 입수하여 피해 범위를 파악할 수 있습니다. 더 나아가 동일 공격자가 추가 자료를 올리거나, 동종 업계 다른 회사를 노린 정황을 포착하는 등 위협 인텔리전스 확보에도 활용됩니다. 예컨대 다크웹에서 특정 기업의 이름이 반복적으로 언급되거나 해당 기업 정보 판매 글이 주기적으로 올라온다면, 지속적인 침투 시도나 내부자 연루 가능성까지 의심해봐야 합니다. 실제 한 다크웹 전문가는 “최근 해킹포럼에 한국 관련 데이터 판매 글이 자주 올라오고 있어 주의가 필요하다”고 경고했습니다. 이처럼 다크웹 상의 움직임은 공격자들의 관심사를 보여주므로, 보안팀은 자사 키워드가 언급되는지를 상시 주시해야 합니다.

랜섬웨어 조직들도 다크웹을 적극 악용하고 있어 모니터링의 중요성은 더욱 커졌습니다. 과거에는 데이터를 훔쳐도 공격자만 가지고 있었지만, 최근 랜섬웨어 공격자들은 탈취한 정보를 다크웹에 일부 공개하며 피해자에게 이중으로 압박을 가하는 경우가 많습니다. 가령 국제적인 랜섬웨어 조직인 Maze는 국내 대기업을 해킹한 후 보도자료를 자처하며 다크웹에 일부 정보를 올려 협박한 사례도 있습니다. 이때 보안팀은 다크웹 유출 여부를 모니터링함으로써 공격자의 협박 수위와 유출된 정보의 종류를 파악해 대응 수위를 정할 수 있었습니다. 또한 다크웹에 올라온 자사 데이터가 확인되면, 법 집행기관에 수사의뢰를 하거나 데이터 유포 차단 조치를 협의하는 등 후속 대응을 즉각 시작하게 됩니다. 최근에는 경찰, 검찰 등도 다크웹 수사 전담 조직을 두고 있으며, 국제 공조로 다크웹 폐쇄와 가상화폐 자금 추적도 병행하고 있습니다. 보안 실무자 입장에서는 사설 Threat Intelligence 업체나 다크웹 인텔리전스 플랫폼을 활용해 자사 관련 데이터를 탐색하고, 필요한 경우 이러한 수사기관과의 채널을 가동하는 절차를 마련해야 합니다.

다크웹 모니터링을 효율화하기 위해 자동화 도구를 도입하는 사례도 늘고 있습니다. 일일이 사람의 힘으로 숨겨진 다크웹을 탐색하기는 어렵기 때문에, 주요 해킹 포럼의 게시글 크롤링, 유출 데이터베이스 검색 등을 수행해주는 솔루션이 활용됩니다. ISEC 국제보안컨퍼런스 등에서도 기업 협력과 다크웹 모니터링 솔루션 도입의 필요성이 여러 차례 강조되었습니다. 물론 모니터링만으로 침해를 막을 수는 없지만, “감시 창구를 열어두는 것”과 전혀 모르고 지나치는 것의 차이는 큽니다. 실제 한 보고에 따르면 전 세계 기업의 60% 이상이 직원 인증정보를 다크웹에 유출당한 경험이 있지만, 많은 기업들은 이를 알지 못한 채 추가 피해를 입는다고 합니다. 모니터링은 첫 유출과 추가 피해 사이의 골든타임을 확보해 주는 역할을 합니다.

실무적인 대응 절차와 도구 활용 방안

반복되는 정보 유출에 효과적으로 대응하기 위해 보안 실무자들은 다음과 같은 절차와 도구를 활용할 수 있습니다:

• 유출 징후 조기 탐지 – 평소 보안 관제 시스템(SIEM 등)에 키워드 기반 경보를 설정해 두어야 합니다. 예를 들어 회사 내부에서 특정 프로젝트명이나 기밀문서명이 포함된 대량의 데이터베이스 쿼리가 발생하거나, 대량의 개인정보 레코드가 평소와 다른 시간대에 외부로 전송될 경우 자동 알림이 가도록 합니다. 이러한 DLP(데이터 유출 방지) 솔루션을 통해 동일한 중요 정보의 반복 유출 시도를 신속히 차단할 수 있습니다.
• 다크웹 및 공개된 유출DB 모니터링 – 앞서 언급한 대로 전문 모니터링 도구 혹은 서비스(예: KISA의 국민 지원 서비스, 해외의 Have I Been Pwned 등)를 활용하여 자사 도메인 이메일, 임직원 계정, 주요 키워드가 외부 유출 목록에 등장하는지 주기적으로 확인합니다. 현재 시중에는 다크웹 상에서 발견된 계정 정보를 알려주는 위협 인텔리전스 플랫폼들이 다수 존재하며, 일부는 유출 데이터 샘플을 제공해 패스워드 변경 여부 등을 판단할 수 있게 해줍니다. 중요한 것은, 경고 알림을 받았을 때의 대응 프로세스를 미리 정해두는 것입니다. 예컨대 “자사 이메일 계정이 외부 유출로 확인되면 즉시 해당 계정 패스워드 강제 초기화 및 소유자에게 공지, 해당 계정이 접근한 내부 시스템 로그 점검”과 같은 표준조치를 수립해 두어야 합니다.
• 크리덴셜 재사용 대비 – 많은 반복 유출이 비밀번호 재사용으로부터 시작되므로, 전사 차원의 비밀번호 정책을 강화해야 합니다. 하나의 계정 정보가 털리면 공격자는 다른 서비스에도 시도해보므로, 직원들이 업무용 계정과 타 웹서비스의 비밀번호를 중복 사용하지 않도록 교육합니다. 또한 모든 중요 시스템에 다단계 인증(MFA)을 적용하여, 설령 계정 자격 증명이 유출되어도 추가 인증 없이 악용되지 않게 합니다. 실제 다크웹에서 발견된 비밀번호의 상당수가 쉬운 문자열 혹은 반복사용된 것이어서, 유출 사고의 81%가 취약한 패스워드와 관련이 있다는 분석도 있습니다. 이를 막기 위해 기업은 주기적으로 유출된 비밀번호 목록과 자사 사용 패스워드를 대조 검증하는 절차(Pwned Password 체크 등)를 운영하기도 합니다.
• 과거 사고로부터 학습 – 침해사고 대응 후 작성된 사고 보고서와 교훈(Lesson Learned)을 내부 교육이나 모의훈련에 적극 활용합니다. 예를 들어 이전에 메일 첨부파일 악성코드로 당했다면, 비슷한 수법의 모의 피싱훈련을 실시해 직원들의 대응력을 높입니다. 또 과거 사고 때 식별된 공격 IP나 도메인을 차단목록에 넣고, 해당 IOC와 유사한 패턴(예: 특정 지리적 위치의 대량 로그인 시도)이 보이면 가중 경보를 주는 식으로 방어태세를 업그레이드 합니다. 사이버 훈련팀이나 레드팀이 있다면 이전 공격과 동일한 조건으로 재현 테스트를 해보고 보안 controls가 제대로 작동하는지 점검하는 것도 효과적입니다.
• 외부 전문가 및 협업 활용 – 반복되는 침해는 종종 지능적 지속 위협(APT)이나 조직화된 공격그룹의 표적이 된 신호일 수 있습니다. 이 경우 기업 내부 인력만으로 대응하기 어려울 수 있으므로, 외부 보안 전문업체나 컨설턴트와 협력해 심층 진단을 받는 것이 바람직합니다. 예컨대 침해 범위를 완전히 파악하지 못해 백도어가 남은 경우, 디지털 포렌식 전문가와 함께 전면 재조사를 실시해야 합니다. 또한 필요하다면 수사기관과 공조하여 공격자의 추적을 돕고 법적 대응을 준비해야 합니다. 반복 유출을 법·제도적으로 신고하고 감독당국의 지침을 받는 것도 재발 방지에 도움이 됩니다 (국내의 경우 개인정보 유출 시 개인정보보호위원회 신고 의무가 있으며, 이를 통해 취약점 개선 권고를 받을 수 있음).
• 시각화 및 경영진 보고 – 반복적인 보안 문제를 해결하려면 경영진의 지원이 필수이므로, 시각적 자료를 통해 위험성을 전달하는 것도 중요합니다. 예를 들어 최근 몇 년간 자사 및 업계의 개인정보 유출 건수 추이 그래프, 유출 원인별 비율(해킹, 내부실수 등) 파이차트 등을 제시하면 문제의 심각성을 한눈에 보여줄 수 있습니다. 또는 침해사고 타임라인 표를 만들어 “초기침투 – 데이터유출 – 다크웹 유포 – 2차 공격”의 흐름을 도식화하면, 반복 공격이 현실화되는 과정을 이해시키기 좋습니다. 필요한 경우 위협 모델링 다이어그램이나 방어 체계 구조도를 활용해, 현 대응 체계의 취약점을 시각적으로 짚어보는 것도 개선 작업에 유용합니다.

선제적 추적과 학습으로 반복 유출 막아야

동일 키워드나 계정의 반복적인 정보 유출 사례는 보안의 사각지대나 미흡한 사후조치가 있을 때 어김없이 나타납니다. 결국 첫 번째 침해 이후가 더 중요합니다. 보안 담당자는 “두 번 당하는 일은 없도록 하자”는 각오로 이전 사건의 대응 이력을 면밀히 점검하고, 취약점은 남김없이 제거해야 합니다. 동시에 다크웹과 외부 정보원을 지속적으로 모니터링하여 놓친 부분은 없는지 살펴야 합니다. 사이버 공격자는 끊임없이 새로운 방법을 시도하지만, 많은 공격들은 알고 보면 이전에 먹혔던 수법의 재탕인 경우가 많습니다. 다행히 수비 측도 과거의 실전 경험에서 배울 수 있습니다. 과거의 침해 로그와 인텔리전스를 무기삼아 능동적이고 반복 학습하는 보안팀만이 동일한 함정에 두 번 빠지지 않을 것입니다. 지속적인 추적과 신속한 대응, 이것이 반복 유출 시대에 기업 정보자산을 지키는 핵심 열쇠입니다.