최근 사이버위협 동향 분석
국내 기업 대응방안 발표
생체인증 등 이중인증 적용
사용자·데이터 접근정책 강화
보안 서비스 가입·참여 당부
[정보통신신문=박광하기자]
과학기술정보통신부와 한국인터넷진흥원(KISA, 원장 이원태)은 최근 사이버위협 동향을 분석하고, 이에 대한 국내 기업의 대응방안을 발표했다. 과기정통부는 이번 발표에 대해 우리 기업들이 코로나19 이후 일상화된 재택근무 등 업무 환경 변화와 날이 갈수록 지능화되고 조직화되는 사이버 위협에 체계적·선제적으로 대응할 수 있도록 하기 위한 것이라고 방안 마련 배경을 설명했다.
■서비스 대상 침해사고 증가 추세
코로나19 지속으로 재택근무 등 비대면 업무가 확산되고 기업들의 디지털 전환이 가속화되면서 다소 보안이 소홀할 수 있는 서비스 대상의 침해사고가 증가하고 있는 상황이다.
특히, 최근 가상자산, 다크웹 등 추적이 어렵고 익명성을 가진 인터넷 환경이 확산되면서 기업의 정보를 유출한 후 금전을 요구하는 방식 등의 해킹이 증가하고 관련 해커들도 전문화·조직화돼 가는 추세다.
관련 주요 사례로는 △중공업 랜섬웨어 감염(2022년 1월) △국내 디파이 서비스 가상자산 유출(2022년 2월) △기업 소스코드 유출(2022년 3월) △기업 임직원 계정정보 유출(2022년 3월) △해외 자동차부품업체 랜섬웨어 감염 및 정보 유출(2022년 3월) 등이 있다고 과기정통부는 전했다.
■단계별 대응방안으로 사고 막아야
과기정통부는 침해사고 발생을 막기 위해서는 개별 기업의 경우 비대면 업무가 지속 유지·확대되는 것에 대비해 제로트러스트(Zero Trust) 관점에서 단계별 조치를 강화할 필요가 있다고 진단했다.
해커의 최초 침투를 방어하기 위해서는 내부 시스템 접속 시 이중 인증을 반드시 사용하도록 하며, 특히 그 중에서도 이메일 인증 등 해킹 위험도가 높은 방식을 사용하기 보다는 가급적 소유기반 인증(생체인증, 모바일 앱 등)을 사용해 외부 침투 가능성을 낮춰야 한다.
재택근무 등에 사용되는 원격근무 시스템 등에 접속할 때는 접속 IP나 단말을 제한 없이 허용하기 보다는 사전 승인·지정된 단말 또는 IP 등만 접속을 허용하는 접근 보안정책을 적용해야 안전하다.
또한 AI, 빅데이터 기술을 활용해 주요 시스템 등에의 접근 권한이 큰 관리자 계정 등은 별도 선별해 활동 이력 추적, 이상 징후 모니터링 등의 정책을 적용하는 것도 필요하다.
해커가 내부 인프라를 장악하지 못하도록 조치하는 것도 반드시 필요하다.
기업 내부 다수의 단말과 연결된 중앙관리서버와 패치관리서버 등 중요 서버에 대한 접근 권한은 특정 관리자 단말기에서만 접속을 허용하고 내부 시스템에 대한 관리자 접속인증도 생체인증 등 이중인증을 추가 적용해야 한다.
아울러, 동일한 사용자 단말기(PC)에서 최초 사용자 접속 계정과 서버 접속 계정이 다른 경우 등 권한에 맞지 않은 비정상 접근 시도를 판별하는 시스템을 구축(AI, 빅데이터 기반)해 접속을 차단하는 등 모니터링을 강화해야한다.
여러 시스템 계정정보 탈취를 위해 주로 사용되는 계정 수집 악성코드(미미카츠 등) 실행여부 점검과 함께 무단 로그 삭제 등과 같은 시스템 내의 비정상 행위를 점검할 수 있도록 관련 시스템을 적용(AI, 빅데이터 기반)해 면밀하게 체크해야 한다.
데이터 유출을 막음으로써 해커의 목적을 좌절시키는 것도 중요하다.
기업의 주요 자료가 저장돼 있는 시스템(소스코드 저장소, 스토리지 등)에 대해 저장된 자료의 유형, 중요도, 사용자별 데이터 접근 및 반출 범위 등에 대한 권한을 차등부여 관리해야 한다.
아울러, 대량·반복적으로 데이터 외부 반출을 시도하는 사용자 존재 여부 등을 집중 점검해 필요시 차단해야 한다. AI 기반 상시모니터링 시스템 도입 등을 통해 사전 승인없이 자료에 접근하려는 행위 등 내부 서버 접속 이력을 철저히 관리해야 한다.
■보안역량 강화 기업 참여 절실
최근 빠른 디지털 전환에 따라 사이버 공격이 빠르게 진화하고 있어 기업 차원의 세심한 보안 관리가 매우 필요한 시점이다. 관련해 기업에서는 아래와 같은 정보보안 서비스 가입·참여를 통해 기업의 보안역량을 강화해야 한다.
우선, 다양한 사이버 공격에 빠르게 대응할 수 있도록 사이버 위협정보를 실시간 공유받을 수 있는 'C-TAS 2.0'에 가입해 빠르게 위협정보를 확인, 사전에 조치하고, '취약점 정보포털'을 통해 SW 등 보안 취약점 정보를 수시로 확인, 시스템을 보완하는 것이 중요하다.
C-TAS(Cyber Threat Analysis & Sharing)는 사이버위협정보의 수집, 분석 및 공유 플랫폼이다.
또한, 직원들과 기업 시스템 관리상의 위기대응 능력을 높이기 위해 실제 사이버 공격과 동일하게 해킹메일, DDoS, 모의침투 훈련 등을 실시하는 '사이버 위기대응 모의훈련' 등에도 적극 참여해야 한다.
모의훈련은 상·하반기로 연간 2회 실시하며, 희망하는 기업 누구나 훈련 참여가 가능하다.
이 밖에도, 기업의 주요서버(WEB, WAS, DB 서버 등)와 국민의 인터넷PC의 보안 취약점을 점검·조치해 주는 '내서버·PC 돌보미', 기업의 비대면 서비스 개발 단계부터 보안 취약점이 없도록 보안 내재화를 지원해주는 사업 등을 적극적으로 활용하는 게 바람직하다.
