[디지털투데이 백연식 기자] 과학기술정보통신부가 한국인터넷진흥원(KISA)과 함께 날이 갈수록 지능화되고 조직화되는 사이버 위협에 체계적이고 선제적으로 대응할 수 있도록 최근 사이버위협 동향을 분석, 관련 국내 기업의 대응방안을 발표했다. 앞서 과기정통부는 지난 3월 민간분야 국가 사이버위기 경보를 ‘관심’에서 ‘주의’로 상향하고, 주요 기업·기관 대상 사이버위협 모니터링 강화와 24시간 비상 대응체계 구축 조치를 취한 바 있다.

외부로부터의 사이버 공격 단계는 ▲최초 침투 단계, ▲내부망 침투 단계 및 ▲데이터 유출 단계 등 3단계로 나눌 수 있기 때문에 단계별로 대응한다는 것이 정책의 핵심이다. 정부는 개별 기업이 이러한 비대면 업무가 지속 유지‧확대되는 것에 대비해 제로트러스트(Zero Trust, 아무것도 신뢰하지 않는다는 것을 전제로 한 사이버 보안 모델) 관점에서 단계별 조치를 강화할 필요가 있다고 설명했다. 

정부는 7일 최근 사이버위협 동향을 분석, 관련 국내 기업의 대응방안을 발표했다. 지난 6일 정부서울청사에서 열린 사전 브리핑에서 김정삼 과기정통부 정보보호네트워크정책관(국장)은 “계속적인 침해사고가 많이 늘어나고 있고, 개별적으로 과기정통부나 인터넷진흥원에 신고가 된 다양한 사례들을 단계별로 취합해서 전체적인 유형을 분석했다”며 “향후에 각 개별 기업들이 보안사고를 방지하거나 사고를 최소화하기 위해서 필요한 어떤 여러 가지 대응 방안을 알리고 관심과 주의를 환기시키는 차원에서 마련했다”고 말했다. 

최근의 사이버 위협 동향을 살펴보면 비대면 업무가 지속되면서 그리고 디지털 전환이 가속화되면서 침해사고는 계속 늘어나고 있다. 특히 가상자산, 다크웹 등 익명성을 가진 인터넷 환경이 확산되면서 해킹이 굉장히 늘어나고 있고, 해커들도 전문화·조직화되어 가고 있는 추세다. 대기업, 중소기업 가릴 것 없이 사고들이 일어나고 있는 것이다.  

앞서 설명한 대로 ▲최초 침투 단계에서는 사용자 계정 등을 다크웹 등을 통해서 구입하거나 악성 메일을 통해서 계정을 수집하는 방식을 활용한다든지 또는 일회용 비밀번호 등의 추가 계정 인증도 우회한 사례를 많이 보이고 있다. 

▲내부망 침투 단계의 경우 일단 다수 계정 단말을 관리하는 중앙서버나 또는 기업 내 프로그램 관리 서버에 접속해서 추가 정보 습득을 위한 악성코드 배포하는 방식 등을 통해서 접근하기도 한다. ▲내부 유출 단계에서는 제품이나 영업 관련 정보 또는 내부 직원 정보 등이 저장된 수집소에 들어가서 파일을 확보해 외부 반출을 하기도 했다.  

이에 정부는 단계별로 대응방안을 마련했다. 비대면 상황이 지속되는 상황에서 최근의 이런 침해사고는 대부분 업무 효율을 최우선시하다 보니까 기본적인 보안수칙이나 또는 필수적인 보안정책을 간과함으로써 발생한 사례들이 많았기 때문이다. 제로 트러스트(Zero Trust) 관점에서의 단계별 조치를 강화할 필요가 있다고 정부 측은 강조했다. 

▲최초 침투 단계에서 대응방안의 경우 내부시스템 접속을 위해서는 이중인증을 반드시 사용하도록 해야 되고, 특히 이메일 인증과 같이 해킹 위험도가 높은 방식은 자제하고 가급적 소유 기반 인증, 생체인증이라든지 모바일 등을 통해서 외부 침투 가능성을 최소화하기로 했다. 그리고 재택근무 등에 사용되는 원격시스템에 접속할 때는 접속 IP나 단말을 제한 없이 허용하기보다는 사전에 승인되거나 지정된 단말과 IP만을 접속을 허용하는 등 접근 보안정책을 적용한다. 또한 AI, 빅데이터 기술을 활용해 주요 시스템 등의 접근권한이 큰 관리자 계정의 경우에는 별도로 활동 이력을 추적 또는 이상 징후를 모니터링하는 등의 정책도 필요하다.  

▲내부망 침투 단계에서의 대응방안은 기업 내부 다수의 단말이나 서버에 연결된 중앙관리 서버나 패치관리 서버 등에 대한 접근권한은 특정 관리자 접속 단말에서만 허용하거나 또는 내부 관리, 내부시스템에 대한 관리자 접속 인증도 생체인증 등 이중인증을 추가 적용할 필요가 있다고 결론 냈다. 

아울러, 동일한 사용자 단말기에서 최초 접속한 계정과 서버 접속 계정이 다른 경우 등 권한에 맞지 않는 비정상 접근 시도를 판별하는 시스템을 구축하는 등 모니터링을 강화한다. 
또한, 시스템 계정 정보 탈취를 위해 주로 사용되는 계정 수집 악성코드 미미카츠(Mimikatz)와 같은 실행 여부에 대한 점검, 그다음 무단 로그 삭제 등과 같은 비정상 행위를 AI나 빅데이터 기술을 활용해 면밀히 모니터링한다.  

▲데이터 유출 단계에 대한 대응방안의 경우 기업의 주요 자료가 저장돼 있는 시스템에 대해서는 저장된 자료의 유형이나 중요도에 따라서 사용자별로 데이터 접근 및 반출 범위에 대한 권한을 차등 관리한다. 또한, 대량 반복적으로 데이터 외부 반출을 시도하는 사용자에 대한 존재 여부도 집중 점검해 필요 시 차단하고, 사전 승인 없이 자료에 접근하려는 침투 여부나 접속 이력 등에 대한 모니터링을 강화한다. 

최근 대표적인 사업으로 사이버 위협정보를 실시간 공유받을 수 있는 ‘C-TAS 2.0’이 현재 1000여 개 기업들이 가입하는 등 최근에 가입이 빠르게 늘고 있다. 가입해서 위협정보를 빠르게 확인하고 사전에 조치한다거나 또는 지난달에 개통한 ‘취약점 정보 포털’을 통해서 보안 취약점 정보를 수시로 확인하고 시스템을 보완하는 것도 필요하다고 정부 측은 강조했다.  

김 국장은 “모의훈련도 굉장히 중요하다. 직원들과 기업의 시스템 관리상의 위기대응력을 높이기 위해서는 해킹메일, DDoS(디도스), 모의침투훈련 등을 실시하는 ‘사이버 위기대응 모의훈련’ 등에도 적극 참여하도록 권고하고 있다”며 “주요 서버나 국민들이 사용하는 PC에 대한 보안 취약점을 점검·조치해 주는 ‘내서버·내PC 돌보미’라든지 또는 비대면 서비스 개발 단계에서부터 보안 취약점이 없도록 보안 내재화를 지원해 주는 사업에도 적극적인 활용이 필요하다”고 말했다.