이재광 KISA 사고분석팀장은 29일 “현재 기업은 해킹에 대해 최초단계와 최종단계의 모니터링만 집중하고 있다”며 “방어자가 해킹과정 중간에 개입하는 노력이 필요하다”고 강조했다.
그는 기업 서버 운영자가 해커의 행동을 포착할 수 있는 안목을 길러야 한다고 강조했다. 기업 서버 운영자만이 정상적인 이벤트와 해커의 접근 이벤트를 구분할 수 있기 때문이다.
이 팀장은 “해커는 해킹 과정에서 여러 군데 거점을 만들어 놓는데, 이 해킹 중간 단계별 위협을 식별하는 체계가 부족하다”며 “평시에도, 내부에서 발생하는 이벤트를 수집해 정상과 비정상을 분리하는 안목을 키우는 훈련이 필요하다.
이어 “악성코드가 감염된 시스템이 확인될 경우 단순히 포맷 등 조치하는 것 말고도 식별과 추적, 사후 모니터링 등의 과정을 반복적으로 거쳐야 한다”고 덧붙였다.
그는 이날 기업에 주요 위협이 되는 악성 이메일과 공급망 위협, 망분리에 대해 설명했다.
글로벌 보안회사 파이어아이 조사에 따르면 사이버공격의 91%는 이메일로부터 시작되며, 이 중 악성코드 등을 담은 첨부파일이 활용되고 있다. 첨부파일을 누르면 악성코드가 설치된다. 해커는 감염 PC를 활용해 기업 내 AD(ACTIVE DIRECTORY)와 같은 중앙관리서버에 침투한다. KISA는 AD의 보안이 뚫리면 사실상 해커가 모든 PC를 마음대로 제어할 수 있다고 주의를 당부했다.
다수의 고객사 정보를 보유한 공급망 회사에 대한 해킹 시도도 늘어나고 있다. 해커는 공급망 회사의 소스코드를 탈취해 이 회사의 제품을 이용하는 기업을 공격한다.
업무망과 인터넷망을 분리해도 해킹 공격에 안심할 수 없다. 폐쇄망에 있는 서버도 일을 위해 자꾸 접근하게 되는데 이때 사고가 발생할 수 있다.
이 팀장은 “망분리의 가장 큰 문제는 관리의 문제”라며 “관리 직원들은 비상시를 위해 길을 만들어 놓지만 해커는 그 길을 다 찾는다”고 말했다.
그는 “위조지폐감별사는 여러 기법을 가지고 있지만 비정상적인 것을 가리는 가장 좋은 방법은 스스로 반복해서 진폐를 만져 감을 익히는 것”이라며 “보안도 이런 개념이다. 기업 내부에서 어떤 행위가 일어나는지 평상시에 지켜보는 것이 중요하다”고 강조했다.
이재광 KISA 사고분석팀장[사진=KISA]
