사이버위협정보 공유 시스템 가입·취약점 정보포털 사용 등도 제안
과기정통부, 사이버위협 동향 분석 및 국내기업 대응방안 발표
과학기술정보통신부와 한국인터넷진흥원은 날이 갈수록 지능화되고 조직화되는 사이버 위협에 체계적이고 선제적으로 대응할 수 있도록 최근 사이버위협 동향을 분석하고 관련 국내 기업의 대응방안을 발표했다.
과기정통부는 재택근무 등 비대면 서비스를 대상으로 인증 우회 등 사이버위협이 지속 증가함에 따라 제로트러스트(Zero Trust) 관점에서 기업의 데이터·네트워크 보안시스템 전환이 필요하다고 강조했다.
특히 사용자 비밀번호 이외 보안강도가 높은 생체인증 등 이중인증을 적용하고, 사용자·데이터·이용행태에 따라 차등화된 접근 관리정책 전환이 필수적이며 사이버위협정보공유시스템에 가입해 사이버모의훈련 등에 적극 참여할 것을 당부했다.
![▲ 사이버 공격 단계. [출처=과학기술정보통신부]](https://cdn.newshl.net/news/photo/202204/67159_58959_2354.jpg)
최근 코로나19 지속으로 재택근무 등 비대면 업무가 확산되고 기업들의 디지털 전환이 가속화되면서 다소 보안이 소홀할 수 있는 서비스 대상의 침해사고가 증가하고 있는 상황이다.
특히 가상자산과 다크웹 등 추적이 어렵고 익명성을 가진 인터넷 환경이 확산되면서 기업의 정보를 유출한 후 금전을 요구하는 방식 등의 해킹이 증가하고 관련 해커들도 전문화·조직화되어 가는 추세다.
최근 발생했던 여러 국내·외 침해사고에 대한 분석을 종합해보면 외부로부터의 사이버 공격 단계는 최초 침투 단계, 내부망 침투 단계 및 데이터 유출 단계 등 3단계로 나눌 수 있다.
최초 침투 단계에서 해커는 공격대상 기업의 사용자 계정 등을 다크웹 등에서 구입하거나 업무 관련으로 위장한 악성 메일을 보내 계정을 수집하는 등 다양한 방식을 활용했으며, 일회용 비밀번호 등의 추가 계정 인증 요구도 우회하는 형태를 보였다.
내부망 침투 단계는 내부 시스템에 침투한 이후, 다수 계정·단말을 관리하는 중앙서버 또는 기업 내 프로그램 관리 서버 등에 접속해 추가 정보 습득을 위한 악성코드를 배포하는 방식 등으로 접근하기도 했다.
내부망 침투 이후에는 제품 및 영업 관련 정보 또는 내부 직원 정보 등이 저장된 데이터 수집소에 접근한 뒤 관련 파일을 확보해 외부 반출하기도 했다.
이에 과기정통부는 최근 비대면 상황에서의 침해사고는 업무 효율을 우선시하면서 기본 보안수칙이나 필수적인 보안정책을 간과해 발생한 것이었다고 설명했다.
그러면서 개별 기업은 이러한 비대면 업무가 확대하는 것에 대비해 제로트러스트(Zero Trust) 관점에서 단계별 조치를 강화할 필요가 있다고 강조했다.
![▲ 단계별 주요 보완 필요사항. [출처=과학기술정보통신부]](https://cdn.newshl.net/news/photo/202204/67159_58960_2421.jpg)
최초 침투단계 대응을 위해 내부 시스템 접속을 위해서는 이중 인증을 반드시 사용하도록 하며, 특히 그 중에서도 이메일 인증 등 해킹 위험도가 높은 방식을 사용하기 보다는 가급적 소유기반 인증을 사용해 외부 침투 가능성을 낮춰야 한다.
또한 재택근무 등에 사용되는 원격근무 시스템 등에 접속할 때는 접속 IP나 단말을 제한 없이 허용하기 보다는 사전 승인·지정된 단말 또는 IP 등만 접속을 허용하는 접근 보안정책을 적용해야 안전하다.
아울러 AI와 빅데이터 기술을 활용해 주요 시스템 등에의 접근 권한이 큰 관리자 계정 등은 별도 선별해 활동 이력 추적, 이상 징후 모니터링 등의 정책을 적용하는 것도 필요하다.
내부망 침투단계 대응으로 기업 내부 다수의 단말과 연결된 중앙관리서버와 패치관리서버 등 중요 서버에 대한 접근 권한은 특정 관리자 단말기에서만 접속을 허용하고, 내부 시스템에 대한 관리자 접속인증도 생체인증 등 이중인증을 추가 적용해야 한다.
동일한 사용자 단말기에서 최초 사용자 접속 계정과 서버 접속 계정이 다른 경우 등 권한에 맞지 않은 비정상 접근 시도를 판별하는 시스템을 구축(AI, 빅데이터 기반)해 접속을 차단하는 등 모니터링도 강화해야한다.
이어 여러 시스템 계정정보 탈취를 위해 주로 사용하는 계정 수집 악성코드 실행여부 점검과 함께 무단 로그 삭제 등과 같은 시스템 내의 비정상 행위를 점검할 수 있도록 관련 시스템을 적용해 면밀하게 체크해야 한다.
데이터 유출단계 대응은 기업의 주요 자료가 저장되어 있는 시스템에 대해 저장된 자료의 유형, 중요도와 사용자별 데이터 접근 및 반출 범위 등에 대한 권한을 차등부여 관리해야 한다.
또 대량·반복적으로 데이터 외부 반출을 시도하는 사용자 존재 여부 등을 집중 점검해 필요 땐 차단해야 하며 AI 기반 상시모니터링 시스템 도입 등을 통해 사전 승인 없이 자료에 접근하려는 행위 등 내부 서버 접속 이력을 철저히 관리해야 한다.
![▲ 사이버 보안취약점 정보포털. [출처=과학기술정보통신부]](https://cdn.newshl.net/news/photo/202204/67159_58961_2445.jpg)
과기정통부는 최근 빠른 디지털 전환에 따라 사이버 공격이 빠르게 진화하고 있는만큼 기업 차원의 세심한 보안 관리가 매우 필요한 시점으로, 정보보안 서비스에의 가입·참여를 통해 기업의 보안역량을 강화해야 한다고 밝혔다.
우선 다양한 사이버 공격에 빠르게 대응할 수 있도록 사이버 위협정보를 실시간 공유받을 수 있는 ‘C-TAS 2.0’에 가입해 빠르게 위협정보를 확인하고 사전에 조치하며, ‘취약점 정보포털’을 통해 SW 등 보안 취약점 정보를 수시로 확인, 시스템을 보완하는 것이 중요하다.
또한 직원들과 기업 시스템 관리상의 위기대응 능력을 높이기 위해 실제 사이버 공격과 동일하게 해킹메일, DDoS, 모의침투 훈련 등을 실시하는 ‘사이버 위기대응 모의훈련’ 등에도 적극 참여해야 한다.
이 밖에도 기업의 주요서버와 국민의 인터넷PC의 보안 취약점을 점검·조치해 주는 ‘내서버·PC 돌보미’와 기업의 비대면 서비스 개발 단계부터 보안 취약점이 없도록 보안 내재화를 지원해주는 사업에도 적극적인 활용이 필요하다.
김정삼 과기정통부 정보보호네트워크정책관은 “사이버 위협 수법도 빠르게 고도화·지능화함에 따라 기본적인 보안관리 미흡으로 침해사고가 발생하지 않도록 기업은 관리자 차원에서 상시 체크 등 세심한 보안 활동이 필요한 시점”이라고 밝혔다.
그러면서 “C-TAS 2.0 가입, 내서버 돌보미, 사이버위기대응 모의 훈련 등 다양한 정보보안 서비스를 적극 활용해 날로 지능화 고도화하는 사이버위협으로부터 기업의 소중한 정보자산을 보호해 달라”고 당부했다.
한편 과기정통부는 지난 3월 21일 민간분야 국가 사이버위기 경보를 ‘관심’에서 ‘주의’로 상향하고, 주요 기업·기관 대상 사이버위협 모니터링 강화와 24시간 비상 대응체계 구축 조치를 취했다.