삼성·LG 해킹 등 최근 침해사고 사례 분석…정부 “제로트러스트 보안 전환 필요”
사이버보안 사고 소식이 최근 잇따르고 있다. 랜섬웨어 감염을 비롯해 최근 국내외 기업을 가리지 않고 표적으로 삼아 공격하는 해킹조직 ‘랩서스(LAPSUS$)’의 해킹으로 지난달 삼성전자, LG전자 등 대기업들이 소스코드와 임직원 계정 정보같은 기밀 정보가 잇달아 유출된 사실이 드러났다. 이런 가운데, 과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 최근 사이버위협 동향을 분석해 기업의 대응방안을 내놨다.
정부는 코로나19 지속으로 재택근무 등 비대면 업무가 확산되고 기업들의 디지털 전환이 가속화되면서 다소 보안이 소홀할 수 있는 서비스 대상의 침해사고가 증가하고 있는 상황이라고 진단하고 있다.
앞서 과기정통부는 지난 3월 21일 민간분야 국가 사이버위기 경보를 ‘관심’에서 ‘주의’로 상향하고, 주요 기업·기관 대상 사이버위협 모니터링 강화와 24시간 비상 대응체계 구축 조치를 취한 바 있다.
김정삼 과기정통부 정보보호네트워크정책관은 “최근 계속해서 침해사고가 늘어나고 있다. 일부는 언론에 보도돼서 알려진 사고도 있고 또 일부는 개별적으로 과기정통부나 인터넷진흥원에 신고된 다양한 사례들이 있는데, 이를 단계별로 취합해 분석했다”며 “사이버위협으로부터 안전한 영역 시스템과 사용자는 없다. 이런 측면에서 사이버 보안 사고를 방지하기 위해서는 끊임없는 관심과 주의 그리고 지속적인 투자가 수반돼야 할 수 있다”고 말했다.
3단계로 침투해 데이터 유출…보안수칙 간과가 사고 부른다
정부는 최근 발생한 여러 국내외 침해사고 분석을 종합한 결과, 외부로부터 사이버공격이 최초 침투, 내부망 침투, 데이터 유출의 3단계로 이뤄졌다고 결론내렸다.
해커는 최초 침투 단계에서 공격대상 기업의 사용자 계정 등을 다크웹 등에서 구입하거나 업무 관련으로 위장한 악성 메일을 보내 계정을 수집하는 등 다양한 방식을 활용했고, 일회용 비밀번호 등의 추가 계정 인증 요구도 우회하는 형태를 보였다.
내부망 침투 단계에서는 내부 시스템 침투 후, 다수 계정‧단말을 관리하는 중앙서버 또는 기업 내 프로그램 관리 서버 등에 접속해 추가 정보 습득을 위한 악성코드를 배포하는 방식 등으로 접근하기도 했다.
내부망 침투 이후에는 제품 및 영업 관련 정보 또는 내부 직원 정보 등이 저장된 데이터 수집소에 접근한 뒤 관련 파일을 확보해 외부 반출했다.
이같은 비대면 상황이 지속되는 상황에서 최근의 이런 침해사고는 대부분 업무 효율을 우선시하면서 기본 보안수칙이나 필수적인 보안정책을 간과해 발생한 사례들이 많았다고 정부는 지적했다.
“제로트러스트 관점 조치 강화, 강력한 이중인증 필요”
정부는 비대면 업무가 지속 유지‧확대되는 것에 대비해 제로트러스트 관점에서 단계별 조치를 강화할 필요가 있다고 강조했다.
이에 따르면, 먼저 공격자들의 최초 침투를 막기 위해, 내부 시스템 접속을 위해서는 이중인증을 반드시 사용해야 한다. 그 중에서도 이메일 인증 등 해킹 위험도가 높은 방식을 사용하기 보다는 가급적 소유기반 인증(생체인증, 모바일 앱 등)을 사용하여 외부 침투 가능성을 낮춰야 한다.
재택근무 등에 사용되는 원격근무 시스템 등에 접속할 때는 접속 IP나 단말을 제한 없이 허용하기 보다는 사전 승인‧지정된 단말 또는 IP 등만 접속을 허용하는 접근 보안정책을 적용해야 안전하다.
또한 인공지능(AI), 빅데이터 기술을 활용해 주요 시스템 등에의 접근 권한이 큰 관리자 계정 등은 별도 선별하여 활동 이력 추적, 이상 징후 모니터링 등의 정책을 적용하는 것도 필요하다.
내부망 침투를 막기 위해 기업내부 다수의 단말과 연결된 중앙관리서버와 패치관리서버 등 중요 서버에 대한 접근 권한은 특정 관리자 단말기에서만 접속을 허용하고 내부 시스템에 대한 관리자 접속인증도 생체인증 등 이중인증을 추가 적용해야 한다.
아울러 동일한 사용자 단말기(PC)에서 최초 사용자 접속 계정과 서버 접속 계정이 다른 경우 등 권한에 맞지 않은 비정상 접근 시도를 판별하는 시스템을 구축(AI, 빅데이터 기반)해 접속을 차단하는 등 모니터링을 강화해야한다.
내부망 침투 단계에서 여러 시스템 계정정보 탈취를 위해 주로 사용되는 계정 수집 악성코드(미미카츠 등) 실행여부 점검과 함께 무단 로그 삭제 등과 같은 시스템 내의 비정상 행위를 점검할 수 있도록 관련 시스템을 적용(AI, 빅데이터 기반)해 면밀하게 체크해야 한다.
데이터 유출을 막기 위해서는 우선 기업의 주요 자료가 저장돼 있는 시스템(소스코드 저장소, 스토리지 등)은 저장된 자료의 유형, 중요도와 사용자별 데이터 접근 및 반출 범위 등에 대한 권한을 차등부여해 관리할 필요가 있다.
또 대량·반복적으로 데이터 외부 반출을 시도하는 사용자 존재 여부 등을 집중 점검해 필요시 차단해야 하며, AI 기반 상시모니터링 시스템 도입 등을 통해 사전 승인 없이 자료에 접근하려는 행위 등 내부 서버 접속이력을 철저히 관리해야 한다.
“위협정보·취약점 정보 공유 중요”…C-TAS, 사이버위기대응 모의훈련 참여 권고
과기정통부와 KISA는 빠른 디지털 전환에 따라 사이버 공격이 빠르게 진화하고 있는 상황에서 기업의 보안역량 강화를 위해 전개하는 다양한 사업들에 기업들이 적극 참여할 것을 권고했다.
우선 다양한 사이버공격에 빠르게 대응할 수 있도록 사이버 위협정보를 실시간 공유받을 수 있는 ‘C-TAS(Cyber Threat Analysis&Sharing) 2.0’에 가입해 빠르게 위협정보를 확인, 사전에 조치하고 ‘취약점 정보포털’을 통해 소프트웨어(SW) 등 보안 취약점 정보를 수시로 확인, 시스템을 보완하는 것이 중요하다고 강조했다.
김정삼 정보보호네트워크정책관은 “C-TAS 2.0에는 현재 1000여개 기업들이 가입돼 있고, 최근에 빠르게 가입이 늘고 있다. 이를 통해 위협정보를 빠르게 확인하고 사전에 조치한다거나, 또는 지난달에 개통한 ‘취약점 정보 포털’을 통해 보안취약점 정보를 수시로 확인하고 시스템을 보완하는 것도 필요하다”고 말했다.
또한 직원들과 기업 시스템 관리상의 위기대응 능력을 높이기 위해 실제 사이버공격과 동일하게 해킹메일, 디도스(DDoS), 모의침투 훈련등을 실시하는 ‘사이버위기대응 모의훈련’ 등에도 적극 참여하라고 권고했다. 이 훈련은 상·하반기 연 2회 실시한다. 참여를 희망하는 기업 누구나 훈련에 참여할 수 있다.
그밖에도 기업의 주요서버(WEB, WAS, DB 서버 등)와 국민의 인터넷PC의 보안 취약점을 점검‧조치해주는 ‘내서버·PC 돌보미’와 기업의 비대면 서비스 개발 단계부터 보안 취약점이 없도록 보안 내재화를 지원해주는 사업에도 적극적인 활용이 필요하다고 덧붙였다.
김정삼 정보보호네트워크정책관은 “정부는 C-TAS 2.0 가입, 내서버 돌보미, 사이버위기대응 모의훈련 등 지금까지 취해온 정보보호 서비스 조치 이외에도 다양한 추가적인 프로그램과 정책들을 개발해 앞으로 이런 급증하는 사이버위협과 침해 사고에 대해 조금 더 대응능력을 높이는 데 최선을 다하겠다”고 밝혔다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
