사이버위협으로부터 안전한 시스템 영역과 사용자는 존재하지 않는다!! |
- 재택근무 등 비대면 서비스를 대상으로 인증 우회 등 사이버위협 지속 증가 - 제로트러스트(Zero Trust) 관점에서 기업의 데이터·네트워크 보안시스템 전환 필요 - 사용자 비밀번호 이외 보안강도가 높은 생체인증 등 이중인증 적용 - 사용자·데이터‧이용행태에 따라 차등화된 접근 관리정책 전환 필수 - 사이버위협정보공유시스템(C-TAS 2.0) 가입, 사이버모의훈련 등 적극 참여 |
□ 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 한국인터넷진흥원(원장 이원태, 이하 ‘KISA’)와 함께 우리 기업들이 코로나19 이후 일상화된 재택근무 등 업무 환경 변화와 날이 갈수록 지능화되고 조직화되는 사이버 위협에 체계적이고 선제적으로 대응할 수 있도록 최근 사이버위협 동향을 분석, 관련 국내 기업의 대응방안을 발표하였다.
ㅇ 앞서 과기정통부는 지난 3.21일 민간분야 국가 사이버위기 경보를 ‘관심’에서 ‘주의’로 상향하고, 주요 기업·기관 대상 사이버위협 모니터링 강화와 24시간 비상 대응체계 구축 조치를 취한 바 있다.
< 최근 사이버위협 동향 >
□ 코로나19 지속으로 재택근무 등 비대면 업무가 확산되고 기업들의 디지털 전환이 가속화되면서 다소 보안이 소홀할 수 있는 서비스 대상의 침해사고가 증가하고 있는 상황이다.
ㅇ 특히, 최근 가상자산, 다크웹 등 추적이 어렵고 익명성을 가진 인터넷 환경이 확산되면서 기업의 정보를 유출한 후 금전을 요구하는 방식 등의 해킹이 증가하고 관련 해커들도 전문화·조직화되어 가는 추세다.
※ 주요 사례 : △△중공업 랜섬웨어 감염('22.1월), 국내 디파이 서비스 가상자산 유출('22.2월), △△기업 소스코드 유출(‘22.3월), △△기업 임직원 계정정보 유출(‘22.3월), 해외 자동차부품업체 랜섬웨어 감염 및 정보 유출(’22.3월)
< 최근 주요 침해사고 사례 분석 >
□ 최근 발생하였던 여러 국내‧외 침해사고에 대한 분석을 종합해보면, 외부로부터의 사이버 공격 단계는 ①최초 침투 단계, ②내부망 침투 단계 및 ③데이터 유출 단계 등 3단계로 나눌 수 있다.
① (최초 침투 단계) 해커는 공격대상 기업의 사용자 계정 등을 다크웹 등에서 구입하거나 업무 관련으로 위장한 악성 메일을 보내 계정을 수집하는 등 다양한 방식을 활용하였으며, 일회용 비밀번호 등의 추가 계정 인증 요구도 우회하는 형태를 보였다.
② (내부망 침투 단계) 내부 시스템에 침투한 이후, 다수 계정‧단말을 관리하는 중앙서버 또는 기업 내 프로그램 관리 서버 등에 접속하여 추가 정보 습득을 위한 악성코드를 배포하는 방식 등으로 접근하기도 하였다.
③ (내부자료 유출 단계) 내부망 침투 이후에는 제품 및 영업 관련 정보 또는 내부 직원 정보 등이 저장된 데이터 수집소에 접근한 뒤 관련 파일을 확보하여 외부 반출하기도 하였다.
< 단계별 대응방안 >
□ 이와 같은 최근 비대면 상황에서의 침해사고는 업무 효율을 우선시하면서 기본 보안수칙이나 필수적인 보안정책이 간과되어 발생한 것이었다. 따라서 개별 기업은 이러한 비대면 업무가 지속 유지‧확대되는 것에 대비하여 제로트러스트(Zero Trust) 관점에서 단계별 조치를 강화할 필요가 있다.
① 최초 침투단계
| < 대응방안> |
|
|
| |
☞ 보안성이 높은 생체인증 등 이중 인증 필수 도입 ☞ 원격근무시스템 접속 단말/아이피(IP) 사전 승인 정책 도입 ☞ 인공지능, 빅데이터 기반 직원 계정 활동 이력 추적 및 이상 징후 모니터링 시스템 도입 |
ㅇ 내부 시스템 접속을 위해서는 ①이중 인증을 반드시 사용하도록 하며, 특히 그 중에서도 이메일 인증 등 해킹 위험도가 높은 방식을 사용하기 보다는 가급적 소유기반 인증(생체인증, 모바일 앱 등)을 사용하여 외부 침투 가능성을 낮춰야 한다.
ㅇ 재택근무 등에 사용되는 원격근무 시스템 등에 접속할 때는 접속 아이피(IP)나 단말을 제한 없이 허용하기 보다는 ②사전 승인‧지정된 단말 또는 아이피(IP) 등만 접속을 허용하는 접근 보안정책을 적용하여야 안전하다.
ㅇ 또한 인공지능, 빅데이터 기술을 활용하여 ③주요 시스템 등에의 접근 권한이 큰 관리자 계정 등은 별도 선별하여 활동 이력 추적, 이상 징후 모니터링 등의 정책을 적용하는 것도 필요하다.
② 내부망 침투단계
| < 대응방안> |
|
|
| |
☞ 중요서버 접속용 관리자 단말 지정 및 생체인증 등 이중인증 적용 ☞ 최초 접속 계정과 다른 계정으로 서버 접속 등 비정상 이용 모니터링 강화 ☞ 내부망 공격에 주로 사용되는 악성코드 실행, 로그삭제 행위 등 점검 강화 |
ㅇ 기업내부 다수의 단말과 연결된 중앙관리서버와 패치관리서버 등 중요 서버에 대한 접근 권한은 ①특정 관리자 단말기에서만 접속을 허용하고 내부 시스템에 대한 관리자 접속인증도 생체인증 등 이중인증을 추가 적용해야 한다.
ㅇ 아울러, ②동일한 사용자 단말기(PC)에서 최초 사용자 접속 계정과 서버 접속 계정이 다른 경우 등 권한에 맞지 않은 비정상 접근 시도를 판별하는 시스템을 구축(인공지능, 빅데이터 기반)하여 접속을 차단하는 등 모니터링을 강화해야한다.
ㅇ 내부망 침투 단계에서 여러 시스템 계정정보 탈취를 위해 주로 사용되는 ③계정 수집 악성코드(미미카츠 등) 실행여부 점검과 함께 무단 로그 삭제 등과 같은 시스템 내의 비정상 행위를 점검할 수 있도록 관련 시스템을 적용(인공지능, 빅데이터 기반)하여 면밀하게 체크해야 한다.
③ 데이터 유출단계
| < 대응방안> |
|
|
| |
☞ 사용자별‧데이터별‧이용행태별 접근권한, 반출정책, 이용정책 등 차등 관리 ☞ 대용량, 반복적 반출 계정에 대한 모니터링 및 차단 ☞ 사전 승인 없이 데이터‧서버에 접근하려는 이상행위 등 접속 이력 관리를 위한 인공지능 기반 상시 모니터링 시스템 도입 |
ㅇ 기업의 주요 자료가 저장되어 있는 시스템(소스코드 저장소, 스토리지 등)에 대하여 ①저장된 자료의 유형, 중요도와 사용자별 데이터 접근 및 반출 범위 등에 대한 권한을 차등부여 관리하여야 한다.
ㅇ 아울러, ②대량·반복적으로 데이터 외부 반출을 시도하는 사용자 존재 여부 등을 집중 점검하여 필요시 차단해야 하며 ③인공지능 기반 상시모니터링 시스템 도입 등을 통해 사전 승인 없이 자료에 접근하려는 행위 등 내부 서버 접속 이력을 철저히 관리하여야 한다.
< 기업 보안역량 강화를 위한 다양한 사업 적극 참여 >
□ 최근 빠른 디지털 전환에 따라 사이버 공격이 빠르게 진화하고 있어 기업 차원의 세심한 보안 관리가 매우 필요한 시점이다. 관련하여 기업에서는 아래와 같은 정보보안 서비스에의 가입‧참여를 통해 기업의 보안역량을 강화하여야 한다.
ㅇ (위협정보 공유) 우선, 다양한 사이버 공격에 빠르게 대응할 수 있도록 사이버 위협정보를 실시간 공유받을 수 있는 ‘사이버위협정보공유시스템(C-TAS 2.0*)’에 가입하여 빠르게 위협정보를 확인, 사전에 조치하고, ‘취약점 정보포털’을 통해 소프트웨어 등 보안 취약점 정보를 수시로 확인, 시스템을 보완하는 것이 중요하다.
* C-TAS(Cyber Threat Analysis & Sharing) : 사이버위협정보의 수집, 분석 및 공유 플랫폼으로 가입문의(한국인터넷진흥원) : 02-405-4945, ctashelp@krcert.or.kr
ㅇ (모의훈련 참여) 또한 직원들과 기업 시스템 관리상의 위기대응 능력을 높이기 위해 실제 사이버 공격과 동일하게 해킹메일, 디도스(DDoS), 모의침투 훈련등을 실시하는 ‘사이버 위기대응 모의훈련*’ 등에도 적극 참여하여야 한다.
* 상·하반기 년 2회실시 하며 참여를 희망하는 기업 누구나 훈련참여 가능
ㅇ (내 서버·컴퓨터(PC) 돌보미) 그밖에 기업의 주요서버(WEB, WAS, DB 서버 등)와 국민의 인터넷PC의 보안 취약점을 점검‧조치해 주는 ‘내서버·컴퓨터 돌보미’와 기업의 비대면 서비스 개발 단계부터 보안 취약점이 없도록 보안 내재화를 지원해주는 사업에도 적극적인 활용이 필요하다.
□ 과기정통부 김정삼 정보보호네트워크정책관은 “최근 비대면 확산과 빠른 디지털 전환의 허점을 노리고 사이버 위협 수법도 빠르게 고도화‧지능화됨에 따라 기본적인 보안관리 미흡으로 침해사고가 발생하지 않도록 기업은 관리자 차원에서 상시 체크 등 세심한 보안 활동이 필요한 시점”이라고 강조하며,
ㅇ “아울러, 사이버위협정보공유시스템(C-TAS 2.0) 가입, 내서버 돌보미, 사이버위기대응 모의 훈련 등 다양한 정보보안 서비스를 적극 활용하여 날로 지능화 고도화되는 사이버위협으로부터 기업의 소중한 정보자산을 보호해 줄 것을 당부한다.”라고 밝혔다.