해킹에 대비한 기업의 자세는... “해킹 중간 과정 개입하는 노력 중요”

최근 금전 취득을 목적으로 기업에 악성코드, 랜섬웨어 등을 활용한 해킹 공격이 빈번해지고 있는 가운데 이같은 사이버 위협을 차단하는 데만 집중하기보다 중간단계에서 위협을 관리해야 한다고 한국인터넷진흥원(KISA)는 당부했다.

이재광 KISA 사고분석팀장은 29일 “현재 기업은 해킹에 대해 최초단계와 최종단계의 모니터링만 집중하고 있다”며 “방어자가 해킹과정 중간에 개입하는 노력이 필요하다”고 강조했다.

그는 기업 서버 운영자가 해커의 행동을 포착할 수 있는 안목을 길러야 한다고 강조했다. 기업 서버 운영자만이 정상적인 이벤트와 해커의 접근 이벤트를 구분할 수 있기 때문이다.

이 팀장은 “해커는 해킹 과정에서 여러 군데 거점을 만들어 놓는데, 이 해킹 중간 단계별 위협을 식별하는 체계가 부족하다”며 “평시에도, 내부에서 발생하는 이벤트를 수집해 정상과 비정상을 분리하는 안목을 키우는 훈련이 필요하다.

관련기사

• SK인포섹, 중소기업 정보보호 위해 전국 순회
• KISA, 영세·중소기업 GDPR 대응 컨설팅 지원... 26일까지 접수

이어 “악성코드가 감염된 시스템이 확인될 경우 단순히 포맷 등 조치하는 것 말고도 식별과 추적, 사후 모니터링 등의 과정을 반복적으로 거쳐야 한다”고 덧붙였다.

그는 이날 기업에 주요 위협이 되는 악성 이메일과 공급망 위협, 망분리에 대해 설명했다.

글로벌 보안회사 파이어아이 조사에 따르면 사이버공격의 91%는 이메일로부터 시작되며, 이 중 악성코드 등을 담은 첨부파일이 활용되고 있다. 첨부파일을 누르면 악성코드가 설치된다. 해커는 감염 PC를 활용해 기업 내 AD(ACTIVE DIRECTORY)와 같은 중앙관리서버에 침투한다. KISA는 AD의 보안이 뚫리면 사실상 해커가 모든 PC를 마음대로 제어할 수 있다고 주의를 당부했다.

다수의 고객사 정보를 보유한 공급망 회사에 대한 해킹 시도도 늘어나고 있다. 해커는 공급망 회사의 소스코드를 탈취해 이 회사의 제품을 이용하는 기업을 공격한다.

업무망과 인터넷망을 분리해도 해킹 공격에 안심할 수 없다. 폐쇄망에 있는 서버도 일을 위해 자꾸 접근하게 되는데 이때 사고가 발생할 수 있다.

이 팀장은 “망분리의 가장 큰 문제는 관리의 문제”라며 “관리 직원들은 비상시를 위해 길을 만들어 놓지만 해커는 그 길을 다 찾는다”고 말했다.

그는 “위조지폐감별사는 여러 기법을 가지고 있지만 비정상적인 것을 가리는 가장 좋은 방법은 스스로 반복해서 진폐를 만져 감을 익히는 것”이라며 “보안도 이런 개념이다. 기업 내부에서 어떤 행위가 일어나는지 평상시에 지켜보는 것이 중요하다”고 강조했다.

 

이재광 KISA 사고분석팀장[사진=KISA]