[김수연기자] 정신을 놓은 상태에서는 그 어떤 뛰어난 방패로도 창을 막을 수 없다.
보안과 악성코드의 대결에서도 마찬가지다. 조직원들의 보안의식이 잠자고 있으면 첨단 기술을 적용한 보안 솔루션도 악성코드 앞에 무력해지고 만다.악성코드를 조직에 침투시키기 위해 내부 취약점을 노리는 해커들에게 보안의식이 낮은 내부 직원의 PC는 좋은 먹잇감이 된다.
보안 전문가들은 보안 솔루션만 구축하는 것으로는 악성코드를 막을 수 없으며, 반드시 조직의 보안의식을 높이려는 노력이 동반돼야 한다고 조언하고 있다.
◆ APT 공격 시대, '사람'을 타고 들어오는 악성코드
조직원들의 보안의식은 특히 지능적 지속위협(APT) 공격이 지속적으로 발생하고 있는 현 상황에서 더욱 중요해지고 있다.
ATP 공격은 공격자들이 표적으로 삼은 조직 네트워크망에 침투한 후 오랜 기간 탐지를 회피하며 정보를 수집해 빼돌리는 지능적 표적공격. 해커는 침투, 탐색, 수집, 유출 등 단계적으로 공격을 진행하면서 제로데이 취약점, 루트킷 기법, SQL 인젝션, 악성코드, 피싱, 스팸 등 다양한 공격기법들을 종합적으로 사용한다.
주목할 점은, 첫 단계인 침투 단계에서 공격자가 노리는 것이 내부 시스템에 접근할 수 있는 임직원, 협력업체 직원 등 '사람'이라는 점이다.공격자들은 보안이 취약한 직원들의 PC를 악성코드로 감염시켜 네트워크 내부로 침투할 수 있는 통로를 만든다.
특히 공격자들은 표적으로 삼은 사람들이 악성 링크나 악성코드가 포함된 첨부파일을 클릭하도록 유도하기 위해 블로그나 소셜네트워크서비스(SNS) 등을 통해 표적의 생년월일, 인간관계, 관심 분야 등의 정보를 수집, 이를 이용한 피싱 메일을 보내는 등 사회공학적 기법을 동원한다.
결국, 아무리 좋은 시스템과 보안 솔루션을 구축한 조직이라고 해도 조직 시스템에 접근하는 사람들의 보안의식이 허술하면 언제라도 보안 사고가 발생할 수 있는 것이다.
국내 대표적인 APT 공격 피해사례로 언급되는 농협 전산망 해킹사고와 SK커뮤니케이션즈(대표 이주식, 이하 SK컴즈) 회원정보 유출사고, 넥슨(대표 서민) 게임 이용자 정보 유출사고의 보안 홀 역시 '사람'으로부터 비롯된 것이었다.
지난해 4월 발생한 농협 전산망 해킹사고는 협력업체 직원 노트북이 악성코드에 감염되면서 전산망을 해커에게 장악당한 것으로, 당시 해커는 노트북에 원격 접속이 가능한 백도어 프로그램과 키보드 입력 정보를 저장하는 키로깅 프로그램 등을 추가로 설치하고 농협 전산서버의 IP 주소와 비밀번호를 획득해 전산망을 공격했다.
지난해 7월 발생한 SK컴즈 3천500만 회원정보 유출사고는 내부 직원이 기업용 라이선스를 가진 정품 소프트웨어를 사용하지 않은 것이 화근이 됐다.
해커는 먼저 이스트소프트의 알집 업데이트 서버를 해킹한 후, SK컴즈 사용자 PC만을 대상으로 악성코드를 감염시켰다. 또한 감염 PC에 접속해 SK컴즈 회원정보가 저장된 DB서버망에 접근할 수 있는 DB 관리자 계정정보 등을 수집했다.
넉 달 후 터진 넥슨의 1천320만 명 이용자 정보 유출 사고 역시, 기업 DB 서버를 바로 공격하지 않고 내부자 PC를 해킹해 악성코드를 침투시키는 APT 공격에 의한 것으로 보안 전문가들은 보고 있다.
◆ 보안의식을 조직 문화 속에 자리잡기 위한 노력 지속해야
구성원 누구나 악성코드의 표적, 해커의 공격 거점이 될 수 있는 상황에서 무엇보다 시급한 것은 보안을 생활화하는 문화를 조직에 안착시키는 것이다.
이를 위해 보안에 대한 투자를 결정할 권한을 가진 CEO의 의지, 조직원 전체를 대상으로 하는 정기 보안 교육, 조직 보안의 파수꾼 역할을 할 보안 전담조직이 필요하다고 전문가들은 강조하고 있다.
안랩(대표 김홍선) 이호웅 시큐리티대응센터장은 "악성코드를 막으려면 무엇보다 보안이 중요하다는 인식을 조직의 문화 속에 자리잡게 해야한다"며 "특히 한 조직의 보안 정책과 정책 실행력을 좌우할 수 있는 권한을 가진 CEO가 주도적으로 나서 조직원의 보안의식을 제고하기 위한 방향성과 실행방안을 제시해야 한다"고 조언했다.
이스트소프트(대표 김장중) 김윤근 알약대응팀장 역시 "조직원의 보안의식을 높이기 위해서는 누구보다 경영진이 보안의 중요성을 깨달아야 한다"며 "보안 체계를 정비하거나 조직 구성원 개개인의 보안의식을 제고하는 데에 지속적인 투자가 이뤄질 수 있다"고 말했다.
특히 조직의 보안의식을 개선하기 위해서는 전직원에게 정기적인 보안교육이 제공돼야 한다는 조언이다.
잉카인터넷(대표 주영흠) ISARC 대응팀 문종현 팀장은 "보안의식을 높이기 위해서는 기업 내에 전사적으로 보안을 관리하는 전담조직을 설치해야 한다"며 "이러한 전담조직을 통해 최신 보안 이슈와 트렌드를 파악하고, 이를 조직 구성원들과 공유해 나가야 한다"고 조언했다.
이와 관련해 인포섹(대표 신수정) 관계자는 "직원 PC를 통해 침투하는 악성코드로 기업이 입게 되는 피해가 얼마나 심각한지를 보안 전담조직이 임직원들에게 지속적으로 알려야 하고 개인의 보안의식을 업그레이드하는 것만으로도 보안 위협을 크게 낮출 수 있다는 것을 직원들이 깨달아야 한다"고 주장했다.
개인 소유의 모바일 기기를 업무에 사용하도록 허용하는 BYOD(Bring Your Own Device) 환경 확산과 함께 직원 개개인의 보안 의식의 중요성이 더욱 커질 것이라는 견해도 있다.
포티넷코리아(대표 최원식) 관계자는 "기업은 BYOD 환경에서 직원 정보와 기업의 중요 정보를 보호하기 위한 보안 전략을 마련할 수 있어야 하며, 사내 임직원을 대상으로 한 교육을 통해 구성원들이 BYOD 적용에 따라 변화된 환경에 맞는 수준의 보안의식을 가질 수 있도록 해야한다"고 전했다.
사이버 공격이 입체적으로 전개되는 상황에서 CEO는 물론, 구성원 개개인의 의식 변화 없이는 악성코드를 막아낼 수 없다는 게 전문가들의 공통적인 지적이다.
◆ 악성코드에 당한 기업들, 보안의식 제고 활동 강화
실제로 이미 악성코드에 호되게 당한 기업들은 똑같은 피해를 입지 않기 위한 방편으로 조직 구성원의 보안의식 제고 활동을 강화해 나가고 있다. APT 공격으로 홍역을 치른 농협, SK컴즈, 넥슨 등이 그렇다.
농협의 경우, 보안 사고 이후 IT 담당 직원 대상 교육의 횟수를 배로 늘렸다. APT 사고 발생 이전에는 상반기와 하반기에 각각 한차례씩 외부 전문가를 초빙해 진행해 오던 IT 담당자 보안교육을 사고 이후부터 분기별로 실시하고 있다.
이와 함께 농협은 내부 온라인 교육 시스템을 활용해 전직원을 대상으로 하는 보안교육을 반기에 1회씩 진행하고 있다. 특별한 보안 이슈가 발생했을 때에는 지역 단위로 정기 교육 이외에 특별 교육을 실시하고 있다.
농협 IT본부분사 IT전략기획팀 김건호 차장은 "조직의 보안의식을 향상시키는 효과적인 방법은 주기적인 교육"이라며 "현재 농협은 주기적인 교육을 통해 IT관리자와 전직원에게 개인정보 취급요령, 개인정보 관리방안, 해킹 피해 예방 교육, 보안 시스템 활용 교육 등을 실시하고 있다"고 밝혔다.
SK컴즈는 지난해 개인정보 유출사고가 발생한 이후, 직원들 보안 수칙 위반 여부를 점검하는 '클린데스크'를 더욱 엄격히 시행하고 있다. 보안 수칙을 어기고 있는 것으로 판명된 직원들은 별도의 보안 교육을 받도록 하고 있다.
'클린데스크'는 SK컴즈가 지난 2008년부터 매일 9시 이후에 시행해 온 내부 보안 프로그램으로, 이를 통해 직원들이 이동식 저장매체, 노트북 등을 방치하고 퇴근하진 않았는지 등을 점검한다.
또한 SK컴즈는 정보보호 환경에 변화가 있을 때나, 내부적 이슈로 새로운 보안 정책을 수립해야 할 때, 전문적인 검토를 받을 수 있도록 지난해 8월부터 보안강화 특별자문위원회(위원장 염흥열)를 구성해 운영하고 있다.
이와 함께 내부 직원이 반드시 준수해야할 보안 수칙을 담은 '10대 구성원 보안 수칙'을 제정해 시행중이며, CEO, 임원, 전사 팀장, 본부장을 대상으로 하는 전문가 초빙 보안교육과 전직원을 대상으로 하는 온라인 보안교육을 각각 연 1회 실시하고 있다.
지난 2월에는 정보보호 컴플라이언스 변화에 따른 대응 방안을 논의하기 위해 CEO와 전사 임원, 직책자를 대상으로 하는 보안 워크숍을 진행하기도 했다.
넥슨은 올해 7월 직원들이 지켜야할 보안 수칙을 담은 '보안 10계명'을 작성해 넥슨과 관계사에 공지했다. 이 '보안 10계명'은 월 2회, 메일을 통해 전사에 지속적으로 공지되고 있다.
또한 넥슨은 넥슨과 국내 관계사의 개인정보 취급자를 대상으로 연 2회 보안교육을 실시하고 있으며, 넥슨 각 팀내 보안 담당자를 대상으로 하는 교육을 연 1회 진행하고 있다.
이밖에 월 2회 보안교육이 포함된 신규입사자 교육 프로그램을 진행하고 있으며, 직책 발령자 대상 보안교육을 한 달에 한 번씩 실시하고 있다.
넥슨 관계자는 "넥슨은 화장실, 엘리베이터, 사무실 등 직원들의 시선이 머무는 곳에 보안 수칙을 부착해 직원들이 보안의식을 높일 수 있도록 하고 사내 인트라넷으로 모든 직원들이 보안 관련 이슈를 인지할 수 있도록 하며 보안 캠페인도 진행하고 있다"고 설명했다.
김수연기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기