실시간 뉴스



"망 분리 업체도 당했다" 원격 조정 악성코드 공격 주의


"망분리 환경 관리소홀 탓"…이재광 KISA 사이버침해대응본부 팀장

[아이뉴스24 최은정 기자] 망 분리 환경에서도 해커 공격에서 결코 자유롭지 않다는 지적이 나왔다.

관리 소홀을 틈 탄 해커의 원격 조정 악성코드 공격으로 국내 중견 IT기업이 피햬를 입는 등 주의가 요구됐다.

30일 이재광 한국인터넷진흥원(KISA) 사이버침해대응본부 사고분석팀장은 "더이상 망분리 환경은 (보안)성역이 아니다"라며 지난해부터 조사해왔던 사례를 들어 설명했다.

이재광 팀장은 "올 상반기 망분리를 도입한 국내 중견 IT서비스 업체에 해커가 원격 조정 악성코드를 유포해 피해를 입힌 사례가 있었다"며 "이는 기업이 임의로 보안정책을 변경한 틈을 타 해커가 공격을 감행한 것으로 명백한 관리 문제"라고 설명했다.

현재 어느 정도 규모를 가진 국내 기업은 망분리 환경에서 업무를 진행한다. 기업 업무망(내부망· 인트라넷)과 인터넷망을 분리해 주로 인터넷을 통해 들어오는 외부 침입을 어느 정도 막을 수 있는 것.

실제로 정부는 지난 2013년 3.20 사이버테러 이후 정보통신망 이용촉진 및 정보보호 등에 관한 법률(망법) 개정을 통해 일정 규모 이상 기업의 이 같은 망분리를 의무화했다.

 [이미지=아이뉴스24 DB]
[이미지=아이뉴스24 DB]

하지만 기업이 물리적으로 망을 분리한다 해도 외부 업체와의 협업, 타사 웹메일·메신저 사용 등 다양한 경로로 악성코드 침투가 가능하다는 게 전문가들 지적이다.

가령 ▲스피어피싱으로 내부 직원 PC를 장악해 내부망에 침투 ▲네트워크 뒷단으로 침투 ▲협력사를 통해 침투 하는 등 사례가 있을 수 있다.

KISA에 접수된 이번 사건의 경우 이미 감염된 인터넷 PC를 통해 내부망에 침입했던 사례다.

통상 인터넷망 PC와 내부망 PC 간 데이터를 이동하려면 망연계 장비가 필수. 이 장비는 악성코드 등 외부 침투가 힘든 특수 제작된 솔루션이다. 그러나 기업이 작업 효율성을 이유로 특정 내부 서버를 열어 놓았던 것. 이를테면 인터넷망 PC에서 업무망으로 데이터가 쉽게 이동하도록 하나의 '지름길'을 만든 것이다.

이 팀장은 "각 PC 두 대 사이에 파일을 주고 받는 경우가 많으면 기업이 임의로 보안정책을 변경해 업무 편의를 높인다"며 "이 때문에 내·외부 망 간 접점이 생성된다"고 설명했다.

이번 사건은 이러한 내·외부 접점을 이용해 공격자가 침투한 사례로 기업의 관리 소홀이 문제로 지적되는 경우다.

 [제공=KISA]
[제공=KISA]

이 팀장은 "해커는 이미 인터넷 망 PC를 원격 조정 악성코드에 감염시킨 뒤 해당 PC에서 어떤 접점으로 데이터가 이동했는지 파악했다"며 "PC에 남아있는 이동 기록을 보고 해커가 내부망에 똑같은 방식으로 악성코드를 흘려보낸 것"이라고 말했다.

이어 "평상시에 업무망과 인터넷망 사이에 망연계 장비가 위치해 있고, 이 장비를 거쳐 데이터·파일이 이동한다"며 "이런 기본 정책에서 벗어나 (기업이 자체적으로) 망연계 장비 내 또 다른 이동 경로 '접점'을 만들었던 것"이라고 설명했다.

긴급시에만 사용이 권고되는 '접점' 기능을 평상시에도 이용해 해커가 내부망으로 침입하는 경로를 만들어 준 것이나 다름없다는 얘기다. 다만 기업이 접점 기능을 이용하는 것은 불법은 아니다. 보안 솔루션을 사용해 안전하게 관리하면 큰 문제는 없다는 설명이다.

이 팀장은 "망분리 위협은 앞으로 기업에게 더 큰 위험으로 다가올 수 있다"며 철저한 관리와 주의를 촉구했다.

한 보안 업계 관계자는 "대부분 사이버 위협은 인터넷을 통해 이뤄진다"며 "이때문에 군시설·공공기관 등 정부 시설은 인터넷을 아예 쓰지 못하게 해, 이를 통해 악성코드·보안위협이 침투할 수 있는 경로를 아예 차단한다"고 설명했다.

최은정 기자 [email protected]




주요뉴스



alert

댓글 쓰기 제목 "망 분리 업체도 당했다" 원격 조정 악성코드 공격 주의

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중

뉴스톡톡 인기 댓글을 확인해보세요.



포토뉴스