[정보통신신문=박광하기자]

시큐리티·인텔리전스 기업 이글루코퍼레이션(대표 이득춘)은 사이버 공격에 맞서 안전한 추석 연휴를 보내기 위한 '추석 보안 수칙'을 최근 발표했다.

이글루코퍼레이션 보안분석팀은 개인 사용자들의 사이버 보안 피해를 예방하기 위해 필요한 보안 수칙으로 △추석 선물 택배, 안부 문자 등으로 위장한 스미싱 문자 주의 △출처가 불분명한 앱 및 콘텐츠 다운로드 자제 등을 꼽았다. 또한 기업 사용자들을 위한 보안 수칙으로 △비상대응체계 확립 및 비상연락망 점검 필수 △장기간의 업무 공백에 대비한 선제적인 보안 점검 필요 등을 제시했다.

개인 사용자 보안 수칙으로는 '추석 선물 택배, 안부 문자 등으로 위장한 스미싱 문자 주의'가 있다.

이번 추석에도 '택배 확인', '추석 연휴 문자' 등으로 위장해 악성코드 다운로드 페이지 연결 및 악성 앱 유도를 설치하는 스미싱 공격이 기승을 부릴 것으로 예상된다. 최근에는 정상 사이트와 유사한 인터넷주소(URL)를 사용하는 공격도 늘어나고 있어 더욱 각별한 주의가 요구된다. 출처가 불분명한 문자 속 링크를 클릭해 설치된 앱은 악성 앱일 가능성이 높으므로, 수동으로 앱을 삭제하고 모바일 전용 백신을 설치하기를 권고한다. 또한 모바일 금융서비스에 사용된 개인정보를 악용한 2차 금융 피해가 발생할 가능성도 있으므로 기존 공인인증서 및 보안카드를 폐기하고 재발급받기를 권장한다.

개인 사용자는 '출처가 불분명한 콘텐츠 및 앱 다운로드 자제'에도 유념해야 한다.

코로나19 확산에 따라 명절 연휴 기간에 자택에 머무르는 사람들이 늘어나면서, 인기 영화나 게임 등으로 위장한 악성 콘텐츠에 의한 사고 가능성도 높아지고 있다. 최근에도 웹하드를 통해 게임 설치 파일로 위장한 원격 접근 트로이목마(RAT) 유형의 악성코드(njRAT, UdpRAT, DDoS IRC Bot)가 유포된 바 있다. 콘텐츠를 제공하는 공식 채널이 아닌 파일 공유 프로그램, 웹하드 등을 통해 콘텐츠를 다운로드할 시에는 악성 행위에 노출될 가능성이 높아질 수 있으므로, 출처가 불분명한 앱, 콘텐츠 다운로드는 최대한 자제해야 한다.

기업 담당자 보안 수칙으로는 '비상대응체계 확립 및 비상연락망 점검 필수'가 있다.

장기간 자리를 비우는 추석 연휴를 틈탄 지능형지속위협(APT) 형태의 랜섬웨어 공격 발생에 대비해, 시스템 마비 및 서비스 장애 대응을 위한 비상대응체계를 재점검하고 보안관제 모니터링 체계를 유지할 필요가 있다. 현재 암호 화폐 가격 하락 및 국가 간 정치적 이슈 등으로 인해, '귀신(Gwisin)', '마우이(Maui)' 등 기업을 겨냥한 랜섬웨어 공격이 급증하고 있다. 공격 발생 시 기민하게 대응할 수 있도록 공격 상황 별 대응 시나리오에 기반해 담당 인력 및 비상 연락망을 현행화해야 한다.

기업 담당자는 '장기간의 업무 공백에 대비한 선제적인 보안 점검 필요'에도 신경을 써야 한다.

조직 내 정보통신기술(ICT) 자산 및 서드파티 솔루션에 대한 취약점 확인 및 보안 업데이트 적용 등의 선제적인 보안 점검을 수행해야 한다. 특히, 원격 근무 확산에 따라 가상사설망(VPN) 등 네트워크 기반의 보안 솔루션의 취약점(CVE-2018-13379, CVE-2019-11510, CVE-2021-22893, CVE-2022-27535)을 악용하는 사례가 최근까지 지속되고 있으므로, 이에 대한 보안 업데이트 및 보안 패치 적용 여부를 면밀히 살펴볼 필요가 있다. 자산 취약점 점검 및 보안 패치를 통해 위험 요소들을 사전 제거하는 한편, 임직원들 역시 연휴 기간 발생할 수 있는 사고에 경각심을 가질 수 있도록 보안 교육을 실시하는 게 권고된다.

김미희 이글루코퍼레이션 보안분석팀장은 "사이버 공격자들은 보안 공백이 발생할 수 있는 명절을 틈타 개인과 기업을 겨냥한 공격을 감행하고 있다"며 "개인과 기업 모두 추석에 앞서 이러한 보안 수칙을 잘 준수해 안전한 추석 명절을 보냈으면 한다"고 밝혔다.

박광하 기자 다른기사 보기