과기정통부 "해커, 3단계로 공격...제로트러스트 기반 대응해야"

과학기술정보통신부와 한국인터넷진흥원(KISA)이 최근 주요 침해사고 유형을 분석한 결과, 사이버공격이 최초 침투->내부망 침투->내부자료 유출 3단계로 이뤄지고 있음을 확인했다. 이에 기업들은 '제로트러스트' 관점에서 단계별 보안 조치를 강화할 필요가 있다고 권고했다.

김정삼 과기정통부 정보보호네트워크정책관(국장)은 지난 6일 정부서울청사에서 브리핑을 열고 이 같은 내용의 '사이버위협 동향을 분석 및 국내 기업의 대응방안'을 발표했다.

"최근 침해사고가 계속적으로 늘어나고 있어, 그동안 취합한 사고 유형을 정리해 개별 기업들이 사고를 최소화하기 위한 대응방안을 알리고 관심을 환기하는 차원에서 이번 발표를 준비했다"고 김정삼 국장은 설명이다.

최근 가상자산, 다크웹 등 추적이 어렵고 익명성을 가진 인터넷 환경이 확산되면서 기업의 정보를 유출한 후 금전을 요구하는 방식 등의 해킹이 증가하고 관련 해커들도 전문화·조직화되어 가는 추세다.

지난 2~3월에만 ▲디파이 서비스 클레이스왑의 가상자산 유출 사고 ▲삼성전자 소스코드 유출 사고 ▲LG전자 임직원 계정정보 유출 사고 등이 연달아 발생했다.

과기정통부는 이런 상황을 반영해 지난달 21일 민간분야 국가 사이버위기 경보를 '관심'에서 '주의'로 상향하고, 주요 기업·기관 대상 사이버위협 모니터링 강화와 24시간 비상 대응체계 구축 조치를 취한 바 있다.

과기정통부와 KISA는 최근에 접수된 침해사고에 대한 분석을 종합한 결과 외부 공격자에 의한 사이버침해 사고는 ▲최초 침투 단계 ▲내부망 침투 단계 ▲데이터 유출 단계 등 3단계로 나눠지는 것을 확인했다.

최초 침투 단계에서 해커는 공격대상 기업의 사용자 계정 등을 다크웹 등에서 구입하거나 업무 관련으로 위장한 악성 메일을 보내 계정을 수집하는 등 다양한 방식을 활용하였으며, 일회용 비밀번호 등의 추가 계정 인증 요구도 우회하는 형태를 보였다.

내부 시스템에 침투한 이후, 다수 계정‧단말을 관리하는 중앙서버 또는 기업 내 프로그램 관리 서버 등에 접속하여 추가 정보 습득을 위한 악성코드를 배포하는 방식 등으로 접근하기도 했다.

내부망 침투 이후에는 제품 및 영업 관련 정보 또는 내부 직원 정보 등이 저장된 데이터 수집소에 접근한 뒤 관련 파일을 확보하여 외부 반출하기도 했다.

김 국장은 "최근 비대면 상황에서의 침해사고는 업무 효율을 우선시하면서 기본 보안수칙이나 필수적인 보안정책이 간과돼 발생한 것이었다"며 "개별 기업은 이러한 비대면 업무가 지속 유지‧확대되는 것에 대비하여 제로트러스트 관점에서 단계별 조치를 강화할 필요가 있다"고 당부했다.

단계별로 필요한 보안 조치로는 내부 시스템 침투에 대비해 ▲이중 인증 사용(생체인증, 모바일 앱 등 소유 기반 인증 권장) ▲사전 승인‧지정된 단말 또는 IP만 접속 허용 ▲접근 권한이 큰 관리자 계정은 별도 활동 이력 추적 및 이상 징후 모니터링 등의 정책을 적용할 것을 제안했다.

내부망 침투에 대응하기 위해서는 ▲중요 서버에 대한 접근 권한은 특정 관리자 단말기에서만 접속하도록 제한 ▲내부 시스템에 대한 관리자 접속인증도 생체인증 등 이중인증 추가 적용 ▲권한에 맞지 않은 비정상 접근 시도를 판별하는 시스템 구축 ▲여러 시스템 계정정보 탈취를 위해 주로 사용되는 계정 수집 악성코드(미미카츠 등) 실행여부 점검 ▲무단 로그 삭제 등과 같은 시스템 내의 비정상 행위를 점검할 수 있는 시스템 적용 등이 필요하다고 했다.