“‘지피지기’와 ‘초지일관’” 보안 위협을 바라보는 KISA의 제언
“지피지기와 초지일관이 중요합니다. 나부터 제대로 알고 위협에 대응해야 합니다. 또 꾸준하게 보안 업무에 매진하는 노력도 소홀히 해서는 안 됩니다.”
올해도 국내에서 수많은 사이버 위협 사례가 확인됐다. 보안을 소홀히 여기는 것도 아닌데 계속 사고가 터지는 이유가 뭘까. 한국인터넷진흥원(KISA)은 코로나19 팬데믹 후폭풍과 공급망 공격 등을 2023년의 보안 위협 원인으로 꼽았다. 먼저 위협을 면밀히 파악하고 꾸준한 모니터링으로 대응하라는 조언이다.
한국침해사고대응팀협의회(CONCERT)는 7일 서울 여의도 전경련회관에서 ‘제27회 해킹방지워크숍’을 개최했다. 이날 세션 발표에 나선 김광연 KISA 사고분석팀장은 “나를 알고 적을 알면 백번 싸워도 위태로울 것이 없다”며 “보안 허점을 꾸준히 관리하는 게 숙제”라고 강조했다.
그는 올해 KISA에 접수된 우리나라 기업과 기관들의 보안 사고 사례들을 종합해 키워드로 정리했다. 정보 유출을 비롯해 ▲크리덴셜 스터핑 ▲랜섬웨어 ▲디도스 ▲가상자산 해킹 ▲공급망 위협 등이 2023년 굵직한 보안 사고의 주요 요소였다.
김광연 팀장은 “코로나19로 인한 디지털 전환으로 IT 자산이 증가했고, 엔데믹이 오자 비용 절감을 위해 보안 인력이 최우선 감축대상이 됐다”고 말했다.
또 익명성이 보장된 가상자산 시장이 활성화하며 랜섬웨어 같은 공격이 빈번해졌고, 기업 시스템을 노린 전문 브로커도 늘어났다는 분석이다. 특히 올해는 통신사, 서점, 쇼핑몰 등을 대상으로 고객 정보 유출을 노린 크리덴셜 스터핑 공격이 성행했다. 또 외부에 방치된 백업 서버를 노린 랜섬웨어 공격도 기승을 부렸다.
가상자산 해킹의 경우 트렌드가 조금 바뀌었다. 김 팀장은 “예전에는 거래소를 공격했다면 최근에는 개인 가상자산 지갑을 노리는 경우가 상당히 많다”고 설명했다.
공급망 공격도 위협적이었다. 소프트웨어(SW) 취약점이나 유지보수 업체를 노린 공격이 있었다. 믿었던 유지보수 업체의 고객사 관리용 PC가 해킹됐고, 고객사의 인프라 관리자 PC까지 접속해 그룹웨어에 접근한 사례였다.
그는 손자병법에 담긴 ‘지피지기 백전불태(知彼知己 百戰不殆)’라는 구절을 빌어 보안 담당자들이 가져야 할 자세를 강조했다. 다가온 보안 위협이 무엇인지 정확히 파악하고 현재 보안을 위해 어떤 노력을 하고 있는지 스스로 파악하고 있어야 한다는 게 정 팀장의 생각이다.
구체적으로는 IT 자산을 점검하는 게 우선이다. 이 자산들은 중요도에 따라 등급을 매기고, 중요 자산이라면 접근 주체를 명확하게 정해 최소한의 권한만 주어야 한다. 백업 체계를 운영하는 것은 기본이다.
아울러 사소한 위협도 원인을 확인하고 공격자 정보를 수집하는 노력도 함께 기울여야 한다. 이를 통해 공격의 연관성을 분석할 수 있어 대응 체계 구축도 한층 수월해질 거라는 분석이다.
또 ‘초지일관(初志一貫)’의 자세도 중요하다. 처음 보안 업무에 투입됐을 때는 의지에 불타지만 개발팀이나 외부 업무팀과의 관계로 인해 어느 순간 타협하는 경우가 생길 수 있다는 게 김 팀장의 분석이다. 그는 “그 홀(허점)을 어떻게 관리하느냐가 숙제”라며 “지속적인 모니터링과 대응을 소홀히 해서는 안 된다”고 말했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network