
전수홍 파이어아이코리아 지사장 [파이어아이]
아주경제 이정하 기자 = "최근 개인정보 유출사고 등에서 보듯 금전취득을 노린 사이버공격이 증가하는 추세입니다. 랜섬웨어 로키(Locky)가 다시 기승을 부리는 것도 이같은 이유에서죠. 이에 대비한 사전 대응이 필요한 상황입니다."
전수홍 파이어아이코리아 지사장은 8일 서울 대치동 파이어아이코리아 본사에서 진행된 기자간담회에서 이같이 말했다. 그는 "과거 사이버공격은 금전적인 목적과 함께 북한의 정치적 목적도 있었으나 최근에는 이 둘이 모두 돈을 노린 범죄로 발전한 상태"라고 지적했다.
보고서에 따르면 아태지역의 APT(지능형 지속 위협) 노출률은 33%로, 글로벌 평균(20%)을 훨씬 웃돌았다. 또 이들 지역에서 발생한 사이버공격의 경우 침해 사실을 인지하는데 520일이 걸려 글로벌 전체 평균인 146일에 비해 3배 이상 길었다. 이는 EMEA (유럽 및 중동, 아프리카)의 평균인 469일과 비교해서도 적지 않은 기간이다.
아태지역의 평균 520일은 공격자가 시스템에 침입 한 후 초기 목적을 달성하기 충분한 시간으로, 맨디언트의 경우 목표 시스템에 최초 접근한 후 평균 3일 내에 도메인 관리자 인증정보에 접근할 수 있었다. 도메인 관리자 인증정보가 유출되면 공격자가 원하는 정보를 포착, 접근, 유출하게 되는 것은 시간문제에 불과하다.
아울러 보고서에서는 아태지역에서 발생한 대부분의 침해사고는 대중에게 알려지지 않았다는 점을 꼽고 있었다. 미국의 경우 사이버 공격을 받았을 때 이를 56일 내에 자발적으로 신고하도록 의무화하고 있지만 우리나라의 경우 그러한 장치가 없다.
아태지역의 조직들은 기본적인 침해사고 대응 프로세스 및 계획, 위협 정보, 기술, 전문성이 부족해 공격으로부터 네트워크를 효과적으로 방어하지 못하는 경우가 많았고, 사이버공격 이후에도 부분 시스템 조사와 개선만을 진행, 재공격 당하는 경우도 적지 않았다.
파이어아이코리아의 윤삼수 전무는 이러한 사이버공격을 완전 차단하기 위해서는 전수 조사 형태가 이뤄져야 한다고 조언했다. 사전에 사이버위협에 대응한 컨설팅 등을 받아보고 실제 상황에서 차단 프로그램 등의 원활하게 가동되는지도 확인할 필요가 있다고 설명했다.
침해사고가 발생했을 경우에는 성급한 복구보다는 문제점을 확인하는 것을 먼저 할 필요가 있다고 제언했다. 침해사고 규모를 완전히 파악하기도 전에 복구책을 도입하면 안전감만을 줄 뿐 공격자들에게 공격을 지속 가능하게 할 여지를 남기게 된다.
전 대표는 마지막으로 파이어아이가 하반기부터는 국내 시장에서도 본격적으로 맨디언트 서비스를 시작한다고 알렸다. 침해 조사 경험이 풍부한 국내 보안 인력을 맨디언트 사업부에 충원하며 한국어 지원을 비롯한 국내 서비스가 더욱 원활해 질 것이라고 밝혔다.
그는 "파이어아이 한국법인 설립 당시보다 가격적 측면에 대한 거부감이 많이 줄어든 상태다. 파이어아이 장비가 국내산보다 최소 2배 이상 비싸다는 진입장벽이 그간 있었으나 최근 이러한 문제에서 좀 더 자유로워지면서 국내에서의 사업도 더 활발해 질 것"이라고 말했다.