[소셜타임스=이원하 기자]
코로나19 지속으로 재택근무 등 비대면 업무가 확산되고 기업들의 디지털 전환이 가속화되면서 사이버 위협이 증가하고 있다. 기업들은 어떻게 대응해야 할까.
과학기술정보통신부(이하 ‘과기정통부’)는 한국인터넷진흥원(이하 ‘KISA’)와 함께 날이 갈수록 지능화되고 조직화되는 사이버 위협에 체계적이고 선제적으로 대응할 수 있도록 최근 사이버위협 동향을 분석, 관련 국내 기업의 대응방안을 8일 발표했다.
특히, 최근 가상자산, 다크웹 등 추적이 어렵고 익명성을 가진 인터넷 환경이 확산되면서 기업의 정보를 유출한 후 금전을 요구하는 방식 등의 해킹이 증가하고 관련 해커들도 전문화·조직화되어 가는 추세다.
최근 비대면 상황에서의 침해사고는 업무 효율을 우선시하면서 기본 보안수칙이나 필수적인 보안정책이 간과되어 발생한 것이었다. 따라서 개별 기업은 이러한 비대면 업무가 지속 유지‧확대되는 것에 대비하여 제로트러스트(Zero Trust) 관점에서 단계별 조치를 강화할 필요가 있다.
최근 발생하였던 여러 국내‧외 침해사고에 대한 분석을 종합해보면, 외부로부터의 사이버 공격 단계는 △최초 침투 단계 △내부망 침투 단계 △데이터 유출 단계 등 3단계로 나눌 수 있다.
▲최초 침투 단계-생체인증 등 이중인증 추가 적용
최초 침투 단계에서 해커는 공격대상 기업의 사용자 계정 등을 다크웹 등에서 구입하거나 업무 관련으로 위장한 악성 메일을 보내 계정을 수집하는 등 다양한 방식을 활용하였으며, 일회용 비밀번호 등의 추가 계정 인증 요구도 우회하는 형태를 보였다.
대응 방안으로 내부 시스템 접속을 위해서는 이중 인증을 반드시 사용하도록 하며, 특히 그 중에서도 이메일 인증 등 해킹 위험도가 높은 방식을 사용하기 보다는 가급적 소유기반 인증(생체인증, 모바일 앱 등)을 사용하여 외부 침투 가능성을 낮춰야 한다.
재택근무 등에 사용되는 원격근무 시스템 등에 접속할 때는 접속 아이피(IP)나 단말을 제한 없이 허용하기 보다는 사전 승인‧지정된 단말 또는 아이피(IP) 등만 접속을 허용하는 접근 보안정책을 적용하여야 안전하다.
또한 인공지능, 빅데이터 기술을 활용하여 주요 시스템 등에의 접근 권한이 큰 관리자 계정 등은 별도 선별하여 활동 이력 추적, 이상 징후 모니터링 등의 정책을 적용하는 것도 필요하다.
▲내부망 침투 단계-중요서버 접속 관리자 단말 지정
내부 시스템에 침투한 이후, 다수 계정‧단말을 관리하는 중앙서버 또는 기업 내 프로그램 관리 서버 등에 접속하여 추가 정보 습득을 위한 악성코드를 배포하는 방식 등으로 접근하기도 하였다.
대응할 수 있는 방안은 기업내부 다수의 단말과 연결된 중앙관리서버와 패치관리서버 등 중요 서버에 대한 접근 권한은 특정 관리자 단말기에서만 접속을 허용하고 내부 시스템에 대한 관리자 접속인증도 생체인증 등 이중인증을 추가 적용해야 한다.
아울러, 동일한 사용자 단말기(PC)에서 최초 사용자 접속 계정과 서버 접속 계정이 다른 경우 등 권한에 맞지 않은 비정상 접근 시도를 판별하는 시스템을 구축(인공지능, 빅데이터 기반)하여 접속을 차단하는 등 모니터링을 강화해야한다.
내부망 침투 단계에서 여러 시스템 계정정보 탈취를 위해 주로 사용되는 계정 수집 악성코드(미미카츠 등) 실행여부 점검과 함께 무단 로그 삭제 등과 같은 시스템 내의 비정상 행위를 점검할 수 있도록 관련 시스템을 적용(인공지능, 빅데이터 기반)하여 면밀하게 체크해야 한다.
▲내부자료 유출 단계-자료유형별 접근권한, 반출정책 차등 관리
내부망 침투 이후에는 제품 및 영업 관련 정보 또는 내부 직원 정보 등이 저장된 데이터 수집소에 접근한 뒤 관련 파일을 확보하여 내부자료를 외부 반출하기도 하였다.
기업의 주요 자료가 저장되어 있는 시스템(소스코드 저장소, 스토리지 등)에 대하여 저장된 자료의 유형, 중요도와 사용자별 데이터 접근 및 반출 범위 등에 대한 권한을 차등부여 관리하여야 한다.
아울러, 대량·반복적으로 데이터 외부 반출을 시도하는 사용자 존재 여부 등을 집중 점검하여 필요시 차단해야 하며 인공지능 기반 상시모니터링 시스템 도입 등을 통해 사전 승인 없이 자료에 접근하려는 행위 등 내부 서버 접속 이력을 철저히 관리하여야 한다.
기업들은 사이버 위협에 대응하기 위해 보안역량 강화를 위한 다양한 사업에 참여하는 것이 필요하다.
최근 빠른 디지털 전환에 따라 사이버 공격이 빠르게 진화하고 있어 기업 차원의 세심한 보안 관리가 매우 필요한 시점이다. 관련하여 기업에서는 아래와 같은 정보보안 서비스에의 가입‧참여를 통해 기업의 보안역량을 강화하여야 한다.
우선, 위협정보를 공유해야 한다. 다양한 사이버 공격에 빠르게 대응할 수 있도록 사이버 위협정보를 실시간 공유받을 수 있는 ‘사이버위협정보공유시스템(C-TAS 2.0)’에 가입하여 빠르게 위협정보를 확인, 사전에 조치하고, ‘취약점 정보포털’을 통해 소프트웨어 등 보안 취약점 정보를 수시로 확인, 시스템을 보완하는 것이 중요하다.
모의훈련에 참여하는 것도 중요하다. 직원들과 기업 시스템 관리상의 위기대응 능력을 높이기 위해 실제 사이버 공격과 동일하게 해킹메일, 디도스(DDoS), 모의침투 훈련등을 실시하는 ‘사이버 위기대응 모의훈련’ 등에도 적극 참여하여야 한다.
이와함께 내 서버·컴퓨터(PC) 돌보미를 적극적으로 활용할 필요가 있다. 기업의 주요서버(WEB, WAS, DB 서버 등)와 국민의 인터넷PC의 보안 취약점을 점검‧조치해 주는 ‘내서버·컴퓨터 돌보미’와 기업의 비대면 서비스 개발 단계부터 보안 취약점이 없도록 보안 내재화를 지원해주는 사업에도 적극적인 활용이 필요하다.
김정상 과기정통부 정보보호네트워크정책관은 “최근 비대면 확산과 빠른 디지털 전환의 허점을 노리고 사이버 위협 수법도 빠르게 고도화‧지능화됨에 따라 기본적인 보안관리 미흡으로 침해사고가 발생하지 않도록 기업은 관리자 차원에서 상시 체크 등 세심한 보안 활동이 필요한 시점”이라고 강조했다.
그러면서 “사이버위협정보공유시스템(C-TAS 2.0) 가입, 내서버 돌보미, 사이버위기대응 모의 훈련 등 다양한 정보보안 서비스를 적극 활용하여 날로 지능화 고도화되는 사이버위협으로부터 기업의 소중한 정보자산을 보호해 줄 것을 당부한다”라고 밝혔다.