[사진=게티이미지뱅크]
과학기술정보통신부(과기정통부)가 한국인터넷진흥원(KISA)과 함께 지능화·조직화되는 사이버위협에 체계적이고 선제적으로 대응할 수 있도록 국내 기업 대응 방안을 7일 발표했다.
앞서 과기정통부는 지난 3월 21일 민간분야 국가 사이버위기 경보를 '관심'에서 '주의'로 상향하고, 주요 기업과 기관 대상 사이버위협 모니터링 강화와 24시간 비상 대응체계 구축 조치를 취한 바 있다.
코로나19 지속으로 재택근무 등 비대면 업무가 확산되고, 기업 디지털 전환이 가속화되면서 이러한 서비스를 노린 침해사고가 증가하는 상황이다. 특히, 최근 암호화폐, 다크웹 등 추적이 어려운 인터넷 환경을 범죄에 도입하는 공격이 증가하고 관련 공격자도 전문화·조직화되는 추세다.
과기정통부가 최근 발생한 국내‧외 침해사고를 분석한 결과 외부로부터 공격은 ①최초 침투(접근) ②내부망 침투 ③데이터 유출 등 3단계로 나뉜다.
최초 침투 단계에서 공격자는 임직원 기업용 계정 등을 다크웹 등에서 구매하거나 피싱 공격으로 수집하는 등 다양한 방법을 활용하며, OTP(1회용 비밀번호) 등 추가적인 인증 수단도 우회하는 형태를 보였다.
공격자는 내부 시스템 침투 단계에서 다수 계정과 단말을 관리하는 중앙서버나 기업 내 소프트웨어 관리 서버에 접속해 추가적인 정보 습득과 악성코드 유포를 진행했으며, 이후 제품과 영업 정보 혹은 내부직원 정보가 저장된 공간에 접근해 데이터를 외부로 유출했다.
과기정통부는 비대면 상황에서 침해사고는 업무 효율을 우선시하면서 기본 보안수칙이나 필수 보안정책 간과로 발생한 것이며, 비대면 업무가 지속 유지‧확대에 대비해 제로트러스트 관점에서 단계별 조치를 강화할 필요가 있다고 밝혔다.
단계별 대응 방안을 살펴보면, 우선 ①최초 침투를 예방하기 위해 생체인증 등 2차인증 필수 도입, 원격근무시스템 접속 단말과 IP 사전 승인 정책 도입, 직원계정 활동 이력과 이상징후 모니터링 시스템 도입 등을 권고했다.
내부 시스템 접속을 위해서는 2차인증(MFA)을 반드시 사용하며 상대적으로 안전한 생체인증, 모바일 앱 등)을 사용하여 외부 침투 가능성을 낮춰야 한다. 또 재택근무자가 원격에서 시스템에 접속할 때는 접속 IP나 단말(노트북 등)을 사전 승인‧지정하는 접근 정책이 필요하며, 인공지능(AI) 기술 등을 통해 관리자 계정 활동 이력을 추적하거나 이상 징후를 모니터링해야 한다.
②내부망 침투단계에서도 중요서버 접속용 단말기 지정, 2차인증 적용, 비정상 이용 모니터링 등이 필수적이다. 중앙관리서버, 패치관리서버 등은 기업 내 주요 단말기와 직접 연결되기 때문에 서버 관리 접속 권한을 제한하는 한편 2차인증을 통한 보안 강화가 필요하다. 또 AI와 머신러닝 기반으로 비정상 접근 시도를 판별하는 시스템을 구축해 이를 차단하는 등 모니터링을 강화해야한다.
내부망 침투 단계에서는 공격자가 수평이동을 위해 정보를 수집한다. 때문에 계정 수집 악성코드(미미카츠 등) 실행여부를 점검하고, 서버 기록(로그)을 무단으로 삭제하는 등 비정상 행위 역시 AI 등을 기반으로 점검해야 한다.
③데이터 유출단계에서는 사용자별‧데이터별‧이용행태별로 접근 권한과 데이터 반출 정책 등을 서로 다르게 적용하고, 권한 외 활동이나 반복적 반출 등을 탐지·차단해야 한다. 특히 AI 기반 상시모니터링 시스템 도입 등을 통해 사전 승인 없이 자료에 접근하는 행위 등 내부 서버 접속 이력을 철저히 관리해야 한다.
과기정통부는 정부 주도 다양한 보안 역량 강화 사업에 참여할 것을 당부했다. 디지털 전환에가속화로 사이버공격이 빠르게 진화하고 있는 상황에서 기업은 정보보안 서비스에 가입‧참여해 보안역량을 강화할 수 있다.
우선 정부는 다양한 사이버공격에 빠르게 대응할 수 있도록 위협정보를 실시간 공유받을 수 있는 'C-TAS 2.0'을 운영 중이다. 이를 통해 위협정보를 빠르게 확인해 사전에 조치하고, '취약점 정보포털'에서 소프트웨어 등 보안 취약점 정보를 수시로 확인해 시스템을 보완하는 것이 중요하다.
또한 직원들과 기업 시스템 관리상의 위기대응 능력을 높이기 위해 사이버위기대응 모의훈련에도 적극 참여할 것을 당부했다. 모의훈련은 실제 사이버 공격과 동일하게 해킹메일, 분산 서비스 거부(DDoS), 모의침투 훈련 등을 연 2회 실시하며, 참여를 희망하는 기업 누구나 훈련에 참여할 수 있다.
이밖에 기업 주요서버(웹, 애플리케이션, DB 서버 등)와 개인 PC 보안 취약점을 점검‧조치해 주는 '내서버·PC 돌보미'와 기업의 비대면 서비스 개발 단계부터 보안 취약점이 없도록 보안 내재화를 지원해주는 사업에도 적극적인 활용이 필요하다.
김정삼 과기정통부 정보보호네트워크정책관은 "최근 비대면 확산과 빠른 디지털 전환의 허점을 노리고 사이버 위협 수법도 빠르게 고도화‧지능화됨에 따라 기본적인 보안관리 미흡으로 침해사고가 발생하지 않도록 기업은 관리자 차원에서 상시 점검 등 세심한 보안 활동이 필요한 시점"이라고 강조하며 "C-TAS 2.0 가입, 내서버 돌보미, 사이버위기대응 모의 훈련 등 다양한 정보보안 서비스를 적극 활용해 지능화·고도화되는 사이버위협으로부터 기업의 소중한 정보자산을 보호해 줄 것을 당부한다"고 밝혔다.
앞서 과기정통부는 지난 3월 21일 민간분야 국가 사이버위기 경보를 '관심'에서 '주의'로 상향하고, 주요 기업과 기관 대상 사이버위협 모니터링 강화와 24시간 비상 대응체계 구축 조치를 취한 바 있다.
코로나19 지속으로 재택근무 등 비대면 업무가 확산되고, 기업 디지털 전환이 가속화되면서 이러한 서비스를 노린 침해사고가 증가하는 상황이다. 특히, 최근 암호화폐, 다크웹 등 추적이 어려운 인터넷 환경을 범죄에 도입하는 공격이 증가하고 관련 공격자도 전문화·조직화되는 추세다.
과기정통부가 최근 발생한 국내‧외 침해사고를 분석한 결과 외부로부터 공격은 ①최초 침투(접근) ②내부망 침투 ③데이터 유출 등 3단계로 나뉜다.
최초 침투 단계에서 공격자는 임직원 기업용 계정 등을 다크웹 등에서 구매하거나 피싱 공격으로 수집하는 등 다양한 방법을 활용하며, OTP(1회용 비밀번호) 등 추가적인 인증 수단도 우회하는 형태를 보였다.
공격자는 내부 시스템 침투 단계에서 다수 계정과 단말을 관리하는 중앙서버나 기업 내 소프트웨어 관리 서버에 접속해 추가적인 정보 습득과 악성코드 유포를 진행했으며, 이후 제품과 영업 정보 혹은 내부직원 정보가 저장된 공간에 접근해 데이터를 외부로 유출했다.
과기정통부는 비대면 상황에서 침해사고는 업무 효율을 우선시하면서 기본 보안수칙이나 필수 보안정책 간과로 발생한 것이며, 비대면 업무가 지속 유지‧확대에 대비해 제로트러스트 관점에서 단계별 조치를 강화할 필요가 있다고 밝혔다.
단계별 대응 방안을 살펴보면, 우선 ①최초 침투를 예방하기 위해 생체인증 등 2차인증 필수 도입, 원격근무시스템 접속 단말과 IP 사전 승인 정책 도입, 직원계정 활동 이력과 이상징후 모니터링 시스템 도입 등을 권고했다.
내부 시스템 접속을 위해서는 2차인증(MFA)을 반드시 사용하며 상대적으로 안전한 생체인증, 모바일 앱 등)을 사용하여 외부 침투 가능성을 낮춰야 한다. 또 재택근무자가 원격에서 시스템에 접속할 때는 접속 IP나 단말(노트북 등)을 사전 승인‧지정하는 접근 정책이 필요하며, 인공지능(AI) 기술 등을 통해 관리자 계정 활동 이력을 추적하거나 이상 징후를 모니터링해야 한다.
②내부망 침투단계에서도 중요서버 접속용 단말기 지정, 2차인증 적용, 비정상 이용 모니터링 등이 필수적이다. 중앙관리서버, 패치관리서버 등은 기업 내 주요 단말기와 직접 연결되기 때문에 서버 관리 접속 권한을 제한하는 한편 2차인증을 통한 보안 강화가 필요하다. 또 AI와 머신러닝 기반으로 비정상 접근 시도를 판별하는 시스템을 구축해 이를 차단하는 등 모니터링을 강화해야한다.
내부망 침투 단계에서는 공격자가 수평이동을 위해 정보를 수집한다. 때문에 계정 수집 악성코드(미미카츠 등) 실행여부를 점검하고, 서버 기록(로그)을 무단으로 삭제하는 등 비정상 행위 역시 AI 등을 기반으로 점검해야 한다.
③데이터 유출단계에서는 사용자별‧데이터별‧이용행태별로 접근 권한과 데이터 반출 정책 등을 서로 다르게 적용하고, 권한 외 활동이나 반복적 반출 등을 탐지·차단해야 한다. 특히 AI 기반 상시모니터링 시스템 도입 등을 통해 사전 승인 없이 자료에 접근하는 행위 등 내부 서버 접속 이력을 철저히 관리해야 한다.
과기정통부는 정부 주도 다양한 보안 역량 강화 사업에 참여할 것을 당부했다. 디지털 전환에가속화로 사이버공격이 빠르게 진화하고 있는 상황에서 기업은 정보보안 서비스에 가입‧참여해 보안역량을 강화할 수 있다.
우선 정부는 다양한 사이버공격에 빠르게 대응할 수 있도록 위협정보를 실시간 공유받을 수 있는 'C-TAS 2.0'을 운영 중이다. 이를 통해 위협정보를 빠르게 확인해 사전에 조치하고, '취약점 정보포털'에서 소프트웨어 등 보안 취약점 정보를 수시로 확인해 시스템을 보완하는 것이 중요하다.
또한 직원들과 기업 시스템 관리상의 위기대응 능력을 높이기 위해 사이버위기대응 모의훈련에도 적극 참여할 것을 당부했다. 모의훈련은 실제 사이버 공격과 동일하게 해킹메일, 분산 서비스 거부(DDoS), 모의침투 훈련 등을 연 2회 실시하며, 참여를 희망하는 기업 누구나 훈련에 참여할 수 있다.
이밖에 기업 주요서버(웹, 애플리케이션, DB 서버 등)와 개인 PC 보안 취약점을 점검‧조치해 주는 '내서버·PC 돌보미'와 기업의 비대면 서비스 개발 단계부터 보안 취약점이 없도록 보안 내재화를 지원해주는 사업에도 적극적인 활용이 필요하다.
김정삼 과기정통부 정보보호네트워크정책관은 "최근 비대면 확산과 빠른 디지털 전환의 허점을 노리고 사이버 위협 수법도 빠르게 고도화‧지능화됨에 따라 기본적인 보안관리 미흡으로 침해사고가 발생하지 않도록 기업은 관리자 차원에서 상시 점검 등 세심한 보안 활동이 필요한 시점"이라고 강조하며 "C-TAS 2.0 가입, 내서버 돌보미, 사이버위기대응 모의 훈련 등 다양한 정보보안 서비스를 적극 활용해 지능화·고도화되는 사이버위협으로부터 기업의 소중한 정보자산을 보호해 줄 것을 당부한다"고 밝혔다.
