민간 사이버 위협 대응을 전담하는 과학기술정보통신부가 기업 대응 체계를 고도화한다. 기업 침해 사고 유형을 분석, 대응 가이드라인을 수립하고 기업 침해 정보 공유 체계를 강화했다.
삼성전자·LG전자 등 대기업 해킹 사고가 연이어 터지며 불안감이 확산하는 가운데 기업 대응력을 결집하려는 조치다.
전문가는 특정 부처 차원을 넘어 인수위원회, 차기정부가 사이버 보안을 정책 우선순위에 두고 국가적 대응 체계를 강화해야 한다고 주문했다.
◇사이버 공격 3단계로 진행
1월 국내 모 중공업이 랜섬웨어에 감염됐고 3월엔 삼성전자·LG전자가 국제 해커조직에 일부 정보를 탈취당했다.
코로나19 지속으로 재택근무 등 비대면 업무가 증가되고 기업 디지털 전환이 가속화되며 반작용으로 사이버 공격이 급증했다.
가상자산, 다크웹 등 추적이 어렵고 익명성을 가진 인터넷 환경의 확산도 사이버 공격에 유리한 조건으로 작용한다.
기업 정보를 유출한 이후 금전을 요구하는 방식 등의 해킹이 증가하고 해커도 전문화·조직화되는 추세다.
과기정통부는 이같은 상황에 맞춰 대응 체계를 고도화했다. 공격 유형 분석을 통해 대응 방안을 수립하고 피해가 발생 이후 확산을 막기 위한 정보 공유 체계를 가동한다.
과기정통부가 국내·외 침해 사고를 분석한 결과, 사이버 공격은 △최초 침투 △내부망 침투 △데이터 유출 단계로 구분됐다.
'최초 침투단계'에서 해커는 공격대상 기업 사용자 계정 등을 다크웹 등에서 구입하거나 업무 관련으로 위장한 악성 메일을 보내 계정을 수집했다. 일회용 비밀번호 등 추가 계정 인증 요구도 우회했다.
'내부망 침투단계'에서는 내부 시스템에 침투한 이후 다수 계정·단말을 관리하는 중앙서버 또는 기업 내 프로그램 관리 서버에 접속해 추가 정보 습득을 위한 악성코드를 배포했다.
내부자료 유출단계에선 내부망 침투 이후 제품 및 영업 관련 정보 또는 내부 직원 정보가 저장된 데이터 수집소에 접근한 뒤 관련 파일을 확보해 외부 반출했다.
침해사고는 업무 효율을 우선시하면서 기본 보안수칙이나 필수 보안정책을 간과해 발생한 경우가 많았다. 개별 기업은 이러한 비대면 업무가 지속 유지·확대되는 것에 대비해 제로트러스트 관점에서 단계별 조치를 강화할 필요가 있는 것으로 확인됐다.
◇이중 보안 등 보안 가이드라인 준수해야
과기정통부는 대응 방안으로 △보안성이 높은 생체인증 등 이중 인증 필수 도입 △원격근무시스템 접속 단말/IP 사전 승인 정책 도입 △AI, 빅데이터 기반 직원 계정 활동 이력 추적 및 이상 징후 모니터링 시스템 도입을 제시했다.
내부 시스템 접속을 위해 이중 인증을 반드시 사용하고 이메일 인증 등 해킹 위험도가 높은 방식을 버리고 생체인증, 모바일 앱 등 소유기반 인증을 사용해 외부 침투 가능성을 낮출 것을 주문했다.
재택근무 등에 사용되는 원격근무 시스템 등에 접속할 때는 접속 IP나 단말을 제한없이 허용하지 말고 사전 승인·지정된 단말 또는 IP 등만 접속을 허용하는 접근 보안정책을 적용해야 안전하다는 설명이다.
또한 AI, 빅데이터 기술을 활용해 주요 시스템 등에 접근 권한이 큰 관리자 계정 등은 별도 선별해 활동 이력 추적, 이상 징후 모니터링 등 정책을 적용할 것을 권고했다.
내부망 침투단계에서 대응 방안으로는 △중요서버 접속용 관리자 단말 지정 및 생체인증 등 이중인증 적용 △최초 접속 계정과 다른 계정으로 서버 접속 등 비정상 이용 모니터링 강화 △내부망 공격에 주로 사용되는 악성코드 실행, 로그삭제 행위 등 점검 강화를 제시했다.
기업내부 다수 단말과 연결된 중앙관리서버와 패치관리서버 등 중요 서버에 대한 접근 권한은 특정 관리자 단말기만 허용하고 내부 시스템 관리자 접속인증은 생체인증 등 이중인증을 추가 적용해야 안전하다는 설명이다.
동일한 사용자 PC에서 최초 사용자 접속 계정과 서버 접속 계정이 다른 경우 등 권한에 맞지 않은 비정상 접근 시도를 판별하는 시스템을 AI, 빅데이터 기반으로 구축, 모니터링을 강화할 것을 권고했다.
내부망 침투단계에서는 여러 시스템 계정정보 탈취를 위해 주로 사용되는 계정 수집 악성코드(미미카츠 등) 실행여부를 점검토록 했다. 무단 로그 삭제 등과 같은 시스템 내 비정상 행위를 점검할 수 있는 시스템 구축도 필수로 지목했다.
데이터 유출단계에서는 △사용자별·데이터별·이용행태별 접근권한, 반출정책, 이용정책 등 차등 관리 △대용량, 반복적 반출 계정에 대한 모니터링 및 차단 △사전 승인 없이 데이터서버에 접근하려는 이상행위 등 접속 이력 관리를 위한 AI 기반 상시 모니터링 시스템 도입 등이 필수 조치로 제안됐다.
기업 주요 자료가 저장된 소스코드 저장소, 스토리지 등에 저장된 자료 유형, 중요도에 따라 사용자별 데이터 접근 및 반출 범위 등에 대한 권한을 차등 부여 관리해야 한다. 대량·반복적으로 데이터 외부 반출을 시도하는 사용자는 집중 점검하고 차단해야 한다. AI 기반 상시모니터링 시스템 도입 등을 통해 사전 승인 없이 자료에 접근하려는 행위 등 내부 서버 접속 이력 또한 주요 관리 대상으로 지목했다.
과기정통부는 위협정보 공유 체계도 강화한다. 기업이 사이버 공격에 빠르게 대응할 수 있도록 사이버 위협정보를 실시간 공유받을 수 있는 'C-TAS 2.0'에 가입해 빠르게 위협정보를 확인, 사전에 조치하고, '취약점 정보포털'을 통해 SW 등 보안 취약점 정보를 수시로 확인, 시스템을 보완할 수 있도록 했다.
직원과 기업 시스템 관리상의 위기대응 능력을 높이기 위해 실제 사이버 공격과 동일하게 해킹메일, DDoS, 모의침투 훈련등을 실시하는 '사이버 위기대응 모의훈련' 도 확대 시행할 예정이다.
기업 주요서버와 국민 인터넷PC 보안 취약점을 점검·조치하는 '내서버·PC 돌보미'와 기업 비대면 서비스 개발 단계부터 보안 취약점이 없도록 보안 내재화를 지원하는 사업도 활용해 줄 것을 당부했다.
김정삼 과기정통부 정보보호네트워크정책관은 “사이버 위협 수법이 고도화·지능화됨에 따라 기본적 보안관리 미흡으로 침해사고가 발생하지 않도록 기업은 관리자 차원에서 상시 체크 등 세심한 보안 활동이 필요한 시점”이라며 “C-TAS 2.0 가입, 내서버 돌보미, 사이버위기대응 모의 훈련 등 다양한 정보보안 서비스를 적극 활용해 기업 정보자산을 보호해야 한다”고 당부했다.
최호기자 snoop@etnews.com
