[아이뉴스24 박진영 기자] 코로나19 지속으로 재택근무 등 비대면 업무가 확산되고, 기업들의 디지털 전환이 가속화되면서 관련 사이버 보안 사고가 늘고 있는 가운데 정부가 국내 기업의 사이버 보안 대응 방안을 내놓았다.
이와 함께 '아무도 신뢰하지 않는다'는 사이버 보안 모델인 '제로트러스트(Zero Trust)' 원칙을 강조했다. 제로트러스트는 인증절차와 신원확인 등을 철저히 검증해 네트워크 접속 환경에 따른 정보 접근 범위도 최소화하는 원칙이다.
7일 과학기술정보통신부(장관 임혜숙)는 한국인터넷진흥원(원장 이원태)과 날이 갈수록 지능화되고 있는 사이버 위협에 선제적으로 대응할 수 있도록 최근 사이버위협 동향을 분석, 관련 국내 기업의 대응방안을 발표했다.
과기정통부는 최근 가상자산, 다크웹 등 추적이 어렵고 익명성을 가진 인터넷 환경이 확산되면서 기업 정보를 유출한 후 금전을 요구하는 방식 등의 해킹이 증가하고 관련 해커들도 전문화·조직화돼 가고 있다고 설명했다.
실제로 최근 기업들이 잇따라 사이버 공격에 노출되면서 철저한 보안의 중요성이 높아졌다. 지난 3월 국내 대표 기업 삼성전자의 소스코드가 유출됐고, 이어 LG전자 임직원 계정정보도 유출되면서 기업들의 보안 취약성이 부각됐다. 지난 1월에는 현대삼호중공업이 랜섬웨어에 공격당했으며, 국내 디파이 서비스 가상자산이 유출된 사례도 있었다.
김정삼 과기정통부 정보보호네트워크정책관은 "최근 외부에 알려진 해킹 피햬 사례 외에도 과기정통부나 KISA에 신고 접수되는 사례가 늘고 있다"면서, "이에 따라 정부는 유출된 경로는 물론, 유출된 자료의 취약점도 분석하고 있고, 현재까지 별다른 취약점이 발견되지는 않았다. (해킹 피해를 입은) 관련 기업과 지속적으로 협업해 나갈 것"이라고 밝혔다.
앞서, 과기정통부는 지난 3월 21일 민간분야 국가 사이버위기 경보를 '관심'에서 '주의'로 상향하고, 주요 기업·기관 대상 사이버위협 모니터링 강화와 24시간 비상 대응체계 구축 조치를 취한 바 있다.
◆ 최근 외부 사이버공격 3단계로 분석…이중인증 필수·AI기반 시스템 도입
과기정통부가 최근 발생했던 여러 국내‧외 침해사고에 대한 분석을 종합한 결과, 외부로부터 사이버 공격 단계를 ▲최초 침투 단계 ▲내부망 침투 단계 ▲데이터 유출 단계 등 3단계로 나누었다. 이어 기업들이 '제로트러스트' 관점에서 단계별 조치를 강화해야 한다고 강조했다.
최초 침투 단계에서 해커는 공격대상 기업의 사용자 계정 등을 다크웹 등에서 구입하거나 업무 관련으로 위장한 악성 메일을 보내 계정을 수집했다. 일회용 비밀번호 등 추가 계정 인증 요구도 우회하는 형태를 보였다.
이에 대응해 기업들은 보안성이 높은 생체인증 등 이중 인증을 필수적으로 도입해야 한다. 이메일 인증 등 해킹 위험도가 높은 방식을 사용하기 보다는 생체인증, 모바일 앱 등 소유기반 인증을 사용해 외부 침투 가능성을 낮춰야 한다는 설명이다.
또 재택근무 시 원격근무 시스템에 접속할 때, 접속 IP나 단말을 제한 없이 허용하기보다는 사전 승인됐거나 지정된 단말·IP만 접속을 허용하는 접근 보안정책을 적용해야 한다고 강조했다.
주요 시스템에 접근 권한이 큰 관리자 계정은 인공지능(AI) 빅데이터 기술을 활용해 별도 선별하고, 활동 이력 추적, 이상 징후 모니터링 등의 정책을 적용하는 것도 필요하다.
해커들이 내부 시스템에 침투한 후, 다수 계정‧단말을 관리하는 중앙서버나 기업 내 프로그램 관리 서버 등에 접속해 악성코드를 배포하는 방식으로 접근하기도 했다.
과기정통부는 중요서버 접속용 관리자 접속인증도 생체인증 등 이중 적용이 필수라고 강조했다. 또 기업내부 다수의 단말과 연결된 중앙관리서버와 패치관리서버 등 중요 서버에 대한 접근 권한은 특정 관리자 단말기에서만 접속을 허용해야 한다.
또한 동일한 사용자 PC에서 최초 사용자 접속 계정과 서버 접속 계정이 다른 경우, 권한에 맞지 않은 비정상 접근 시도를 판별할 수 있도록 AI, 빅데이터 기반의 시스템을 구축할 필요가 있다. 여러 시스템 계정정보 탈취를 위해 주로 사용되는 계정 수집 악성코드의 실행여부도 세심하게 체크해야 한다.
마지막으로 내부망 침투 이후에는 제품·영업 관련 정보, 내부 직원 정보 등이 저장된 데이터 수집소에 접근한 뒤, 관련 파일을 확보해 외부에 반출하기도 했다.
이에 대응해 저장된 자료의 유형, 중요도와 사용자별 데이터 접근·반출 범위 등에 대한 권한을 차등 관리하는 한편, AI 기반 상시모니터링 시스템을 통해 사전 승인 없는 내부 서버 접속 이력을 철저히 관리해야 한다고 제안했다.
김정삼 정책관은 "최근 비대면 확산과 빠른 디지털 전환의 허점을 노리고 사이버 위협 수법도 빠르게 고도화‧지능화됨에 따라 기업은 관리자 차원에서 상시 체크 등 세심한 보안 활동이 필요한 시점"이라고 강조했다.
◆랩서스, 3단계 사이버공격 행태 보여…업계도 '제로 트러스트' 강조
특히, 최근 엔비디아, 마이크로소프트, 삼성, LG 등 글로벌 빅테크 기업을 연달아 해킹한 것으로 알려진 신흥해커 조직의 랩서스가 정부가 분석한 3단계 사이버공격의 행태를 보였다.
랩서스는 공격 대상 기업의 임직원 정보를 다크웹에서 구매하거나 다양한 루트로 계정 유출 기능 악성코드를 확산시킨 후, 임직원 계정 정보를 습득하는 방식을 취한 것으로 분석됐다. 이렇게 수집한 임직원 계정정보를 통해 랩서스는 공격 대상의 사용자 PC에 손쉽게 접근했으며 이후 내부 정보를 탈취한 것으로 보인다.
김병무 SK쉴더스 클라우드사업본부장은 "랩서스 해킹 조직과 같이 한 기업을 집중적으로 타깃한 공격은 사실상 막아 내기가 어렵다"면서, "해커의 공격이 상시적으로 이뤄지고 있다는 가정하에 제로 트러스트 기반을 전제로 각 단계별 적절한 보안 솔루션을 도입하고 강력한 통제정책과 주기적인 모니터링이 필수적으로 이뤄져야 한다"고 강조했다.
◆ 정부, 'C-TAS 2.0·취약점 정보포털·모의훈련' 활용 권고
과기정통부는 기업들이 정부가 지원하는 정보보안 서비스에 적극적인 참여를 통해 보안역량을 강화해야 한다고 강조했다.
우선, 기업들은 다양한 사이버 공격에 빠르게 대응할 필요가 있다. 이에 사이버 위협정보를 실시간 공유받을 수 있는 '위협정보공유시스템(C-TAS 2.0)'에 가입해 빠르게 위협정보를 확인, 사전에 조치할 수 있다. C-TAS는 정부가 지원하는 사이버위협정보 수집·분석·공유 플랫폼으로,기존 1.0은 300개 기업에 제한적으로 공유했으나, 2.0은 전면개방 형태로 운영되면서 가입자 수가 급증하고 있다고 KISA측은 설명했다.
또 '취약점 정보포털'을 통해 SW 보안 취약점 정보를 수시로 확인하고 시스템을 보완하는 것이 중요하다. KISA 관계자는 "최근 취약점 로그4j 등이 발견되면서 정부도 이에 대한 위기 대응의 필요성을 중요하게 인식하고 있다"면서, "올해 3월 오픈한 취약점 정보포털을 통해 관련 내용을 사전에 숙지해 예방할 수 있을 것"라고 밝혔다.
또한 직원들과 기업 시스템 관리상의 위기대응 능력을 높이기 위해 실제 사이버 공격과 동일하게 해킹메일, 디도스(DDoS), 모의침투 훈련을 실시하는 '사이버 위기대응 모의훈련'에도 적극 참여하여야 한다고 강조했다.
이밖에 정부는 기업의 주요서버와 국민의 인터넷PC의 보안 취약점을 점검‧조치해 주는 '내서버·PC 돌보미'와 기업의 비대면 서비스 개발 단계부터 보안 취약점이 없도록 보안 내재화를 지원해주는 사업도 추진하고 있다.
/박진영 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기