"금융권 노린 공격, 인증정보 관리부터 시작해야"

인터넷입력 :2016/06/16 18:05

손경호 기자

지난 3월 불거졌던 방글라데시 은행 해킹 사건은 자칫 잘못하다가는 은행마저도 하루아침에 1천억원을 도난당할 수 있다는 사실을 보여줬다.

사이버범죄자들이 개인 계좌를 노리던 것에서 벗어나 크게 한탕할 수 있는 은행 내부 시스템을 주목하기 시작했다. 더 오랫동안 주도면밀한 준비과정을 거쳐 행인들의 지갑 대신 은행 금고를 털어내려는 사이버공격을 벌이고 있는 것이다.

파이어아이에서 침해사고대응업무를 맡고 있는 맨디언트 컨설팅 조직은 지난해 400여개 이상 금융기관들에 대한 조사를 수행한 결과, 피해사례에서 공통적인 대응책을 추려냈다.

15일 경찰청이 개최한 '2016 국제 사이버범죄 대응 심포지엄(ISCR)' 참석 차 방한한 파이어아이 아태지역 담당 브라이스 볼랜드 최고기술책임자(CTO)는 이러한 대응책 중 인증정보 관리의 중요성을 강조했다.

파이어아이 아태 담당 브라이스 볼랜드 CTO.

공격자들이 악성코드를 대량으로 뿌리거나 목표로 한 시스템에 침투해 추가적인 작업을 수행하기 위해 가장 먼저 확보하려고 하는 것은 대상 시스템에 대한 관리자 계정이다. 관리자 계정이 유출된 경우 해당 시스템은 이미 공격자들에게 장악당해 어떤 용도로 악용될 지 알 수 없다.

문제는 일반 웹사이트나 웹서비스들에 비해 상대적으로 안전하다고 알려진 금융권 조차도 제대로 인증정보가 관리되지 않는 경우가 많다는 점이다.

볼랜드 CTO는 "다중인증도메인을 활용해 중요시스템과 일반시스템을 분리하고, 특히 관리자 계정에 대한 모니터링이 중요하다"고 강조했다. 하나의 인증 도메인이 해킹을 통해 침투당하더라도 다른 영역이 영향을 받지 않도록 관리해야한다는 설명이다.

또한 각종 관리자 권한을 가진 계정의 수를 최소한으로 줄이고, 권한도 축소해야하며 원격에서 내부 시스템에 대한 접속이 이뤄질 경우 반드시 다중인증방식(멀티팩터인증)을 적용할 것을 권고했다. ID, 비밀번호 외에 스마트카드와 같은 물리적인 보안장치를 함께 사용해 보안성을 높여야한다는 것이다.

이와 함께 볼랜드 CTO는 "모든 민감한 네트워크에 대해서는 반드시 내부망과 외부망을 분리할 필요가 있다"며 "대부분 이러한 방법을 시행한다고는 하지만 적절히 시행되지 못하는 경우가 많고, 모니터링이 제대로 이뤄지지 않고 있는게 현실"이라고 지적했다. 그는 특히 "(금융권 보안담당자들이) 네트워크 액세스 컨트롤 리스트(ACL)이 변경되지 않을 것이라고 믿어서는 안 된다"고 밝혔다. 지능형 공격자들이 이러한 부분까지 조작하면서 공격을 시도할 수 있기 때문이다.

관련기사

그는 증거수집의 중요성도 강조했다. "해킹으로 인한 침해사건이 발생하느냐 마느냐보다도 침해를 당하는 시점이 중요하다"는 주장이다. 이전까지 정보를 수집해 충분히 공격에 대응할 수 있는 정도 보안수준을 갖춘 상태에서 해킹을 당하는 것과 그렇지 않은 상황에서 무방비로 당하는 것 사이에는 큰 차이가 있다는 뜻이다. 무방비로 공격에 노출됐을 경우 증거가 부족한 탓에 이후에도 유사한 공격에 노출될 가능성이 크다.

이어서 볼랜드 CTO는 "이제는 각종 보안툴에서 발생하는 경보에 대응하는 것이 아니라 알려지지 않은 위협에 대해서도 적극적으로 대응할 수 있어야 한다"고 설명했다. 과거 대부분 은행들이 보안관제센터(SOC)를 운영해 왔지만 각종 보안장비에서 오는 알람을 확인하고 컴플라이언스를 지키는 수준에 그쳤다면 앞으로는 사이버디펜스센터(CDC)를 세워 지능형 위협까지 탐지하고, 적극적으로 대응하면서 상황을 통제할 수 있어야한다는 조언이다.