점점 고도화되는 사이버 위협 상황 속에서, 이를 방어하기 위한 보안 패러다임의 전환이 요구되고 있다.

한국인터넷진흥원(KISA) 이재광 침해사고분석팀장은 지난 26일 KISA 정보보호 스터디를 통해 ‘최초’ ‘최종’ 공격 모니터링에 치중하는 보안 체계를 단계별 대응 체계로 전환해야 한다고 제안했다.

이재광 침해사고분석팀장은 “해커는 해킹 과정에서 여러군데 거점을 만들어 놓는다”며, “악성코드가 감염된 시스템이 확인될 경우 단순히 포맷 등 조치하는 것 말고도 식별과 추적, 사후 모니터링 등의 과정을 반복적으로 거쳐야 한다”고 말했다.

더 이상 해킹이 일시적인 이벤트로 끝나지 않는다는 것.

이재광 침해사고분석팀장은 상반기 주요 위협으로 등장한 3가지 사이버 공격 양상을 예시로 들며, “악성 이메일, 공급망 위협, 망분리 공격 등이 최근 기업에 상당한 위협이 되고 있다”며 설명했다.

악성코드가 첨부된 피싱 메일은 여전히 좋은 공격 수단으로 해커에게 사용되고 있다. 게다가 최근에는 사용자가 다운로드하지 않고 링크만 클릭해도 악성코드에 감염되게끔 해 공격은 더욱 고도화되고 있다.

이재광 침해사고분석팀장은 “해킹 메일은 여전히 좋은 공격 수단으로, 기업이 방어하기에는 여전히 한계가 있다”며, “해커는 탈취한 계정을 통해 피해자 메일에 접속한 후 피해자와 평소에 주고받았던 메일주소를 추가로 수집하고, 그 사람들에게 다시 메일을 보낸다”며 공격자를 구분하기 쉽지 않다고 설명했다.

게다가 침투 후 공격 범위가 단순히 하나의 PC에서 끝나는 게 아니라, 관리자(AD) PC로까지 파고 들기 때문에 피해는 더욱 커진다.

이재광 침해사고분석팀장은 “AD를 장악하면 연결된 PC서버를 마음대로 다 할 수 있다”며, “AD가 장악되면 기업의 사용자 PC 한대 한대 마다 키로거 같은 악성코드를 설치하여 기업 내부를 모니터링할 수 있다”고 설명했다.

사이버 위협, 일시적 차단 넘어 지속적 관리 필요해

더불어 공급망 공격과 망분리 시스템의 위험성도 설명했다. 특히 IT 서비스를 운영하는 솔루션 개발 기업 등이 공격 타깃이 된다. 

이재광 침해사고분석팀장은 “영세한 IT 공급망 기업을 노리는 이유는 유지 보수하는 (대기업의) 고객 및 호스팅 계정 정보를 보기 위한 것”이라며, “(이를 통해) 제품의 취약점을 찾고, 제품을 사용하는 기업 공격에 이용하기 위해 소스 코드를 탈취한다"고 설명했다.

안심하다고 여겨지는 망분리도 해킹 공격에서 완전히 벗어날 수 없다고 지적됐다. 그는 “폐쇄망에 있는 서버라도 (업데이드 등) 작업을 하기 위해 자꾸 만져야 한다”며, “완벽하게 유지될 수 없다”고 말했다.

결국 궁극적인 해결책은 사이버 공격에 대한 지속적인 추적과 관리. 

이재광 침해사고분석팀장은 “현재 기업은 해커의 해킹 중간 단계별 위협을 식별하는 체계가 부족하다”며, “악성코드가 감염된 시스템이 확인될 경우에도 단순히 포맷 등 조치하는 것 말고도 식별과 추적, 사후 모니터링 등의 과정을 반복적으로 거쳐야 한다”고 말했다. 

이어 “평상시에도 내부에서 발생하는 이벤트를 수집해 정상과 비정상을 분리하는 안목을 키우는 훈련이 필요하다”고 덧붙였다.