10월 25일 데일리시큐 주최 하반기 최대 개인정보보호&정보보안 컨퍼런스 PASCON 2018이 1천 여 명의 보안실무자들이 참석한 가운데 성황리에 개최됐다. 이 자리에서 이동근 KISA 침해사고분석단 단장은 '2018년 국내 사이버 침해사고 분석 및 2019년 사이버 위협 전망'을 주제로 키노트 발표를 진행했다.
침해사고 원인에 대해서 그는 "망분리 도입이 정보유출과 침해사고를 막는데 도움은 되지만 방심은 금물이다. 침해사고 현장을 가보면 망분리 하고 있지만 폐쇄망에서 사고가 발행한 것을 확인할 수 있다. 망분리를 했지만 잘 관리가 안되고 있기 때문"이라며 "망과 망 사이 주요 접점이 해킹 당해 사고를 당하고 있다. 망 관리 체계만 믿고 외부와 통신하는 채널 관리를 느슨하게 하면 이런 사고를 당할 수 있다. 지난해부터 올해까지 유사한 사고가 계속 발생하고 있다. 특히 해커들이 터미널 서버를 타깃으로 공격하고 있어 폐쇄망이 외부와 연결이 안될거라고 생각하는 것은 금물이다"라고 강조했다.
-게이트웨이 구간 무결성
-외부 접점 접근제어 정책, 계정관리 정책
-원격연결에 대한 다중인증 적용
-폐쇄망 인터넷 접점(Proxy 등) 관리
이어 내부확산의 위험성을 방치하고 있다고 지적했다. 이 단장은 "공격자들이 악성코드의 내부 확산을 위해 주로 PMS(패치 관리시스템)과 액티브 디렉토리(AD), 파일공유 시스템을 장악해 활용하고 있다"며 "업무 편의상 많은 조직들이 사용하고 있는 시스템을 장악해 악성코드 내부 확산에 활용하고 있는 사고 사례가 지속적으로 발생하고 있다"고 설명했다.
이 부분에 대한 체크포인트로는 △접근제어 정책 및 접근이력 관리 △원격 명령어 수행 이력관리 △파일 배포 이력 △네트워크 공유 정책 및 계정 관리라고 조언했다.
이 단장은 "기업 내 개발환경에서 무결성이 보장되는지, 우리 조직에 소프트웨어 제품을 납품하고 있는 기업의 개발환경은 안전한지 체크해야 한다. 유지보수시에도 원격에서 작업이 이루어질 때 리크스가 발생하고 있다. 원격 접속시 해당 단말에 대한 철저한 보안 체크가 이루어져야 한다. 즉 제품 개발과 도입 전과정에서 보안이 이루어져야 한다. 우리 회사의 공급망 체계가 안전한지 체크해야 하는 상황이다"라고 강조했다.
마지막으로 2019년 사이버위협 전망에 대해 "공급망 공격은 지속적으로 계속될 전망이다. 5G 상용화도 다가올 위협이다. 각종 4차산업군들이 5G와 연동되기 때문이다. 해커들이 그냥 넘어가진 않는다. 또 파일리스 공격도 급증할 것으로 예상된다"고 밝혔다.
이동근 단장은 조직의 보안담당자들에게 "인증이나 감사 등 특정 시점에만 보안지수가 높고 다시 보안공백이 발생하는 조직이 많다. 일시적이 아닌 상시적 보안수준 유지체계가 갖춰져야 한다. 파동형 보안수준을 제거하는 것이 관건이다. 그리고 계약 사항에 보안성 강화 내용을 포함하고 계약 이후, 납품, 운영 등 전체 프로세스에서 보안수준 관리를 필수적으로 해야 한다. 한편 위협의 잠재적 피해를 최소화하기 위해 엔드포인트 보안을 강화해야 한다. EDR 시장이 내년에 주목받을 전망이다"라며 "또 단순 모니터링 대응에서 벗어나 사이버위협 인텔리전스를 활용해 종합적인 대응이 이루어질 수 있도록 대비해야 한다. 그리고 사고대응 체계를 구축해 사고발생시 일사분란한 신속대응이 이루어질 수 있도록 대응절차를 매뉴얼화하고 정기적인 훈련이 필요하다"고 당부했다.
이동근 한국인터넷진흥원 단장의 PASCON 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★