2024-03-28 20:25 (목)
"망분리 맹신은 금물...공급망 위협은 계속...파동형 보안수준 제거해야"
상태바
"망분리 맹신은 금물...공급망 위협은 계속...파동형 보안수준 제거해야"
  • 길민권 기자
  • 승인 2018.10.27 17:39
이 기사를 공유합니다

이동근 KISA 단장 "엔드포인트 보안 강화하고 사이버위협 인텔리전스 적극 활용할 것" 당부

▲ 이동근 KISA 단장, 데일리시큐 주최 PASCON 2018 키노트 발표. '2018년 국내 사이버 침해사고 분석 및 2019년 사이버 위협 전망'주제로 1천여 명의 보안실무자 참석한 가운데 이동근 단장이 키노트 발표를 진행하고 있다.
▲ 이동근 KISA 단장, 데일리시큐 주최 PASCON 2018 키노트 발표. '2018년 국내 사이버 침해사고 분석 및 2019년 사이버 위협 전망' 주제로 1천여 명의 보안실무자가 참석한 가운데 이동근 단장이 키노트 발표를 진행하고 있다.
"멀리서 보면 고요해 보이는 바다지만 가까이서 보면 파도는 끊임없이 일고 있다. 2018년 한국의 사이버위협도 마찬가지다. 올해는 과거 처럼 대형침해사고들은 없었지만 지속적으로 사고들이 발생했고 평화분위기는 조성됐지만 사이버 상에서는 완전한 평화상태는 아니다." -이동근 한국인터넷진흥원 단장, PASCON 2018에서-

10월 25일 데일리시큐 주최 하반기 최대 개인정보보호&정보보안 컨퍼런스 PASCON 2018이 1천 여 명의 보안실무자들이 참석한 가운데 성황리에 개최됐다. 이 자리에서 이동근 KISA 침해사고분석단 단장은 '2018년 국내 사이버 침해사고 분석 및 2019년 사이버 위협 전망'을 주제로 키노트 발표를 진행했다.

▲ 이동근 단장 발표 현장. PASCON 2018
▲ 이동근 단장 발표 현장. PASCON 2018
이 단장은 2018년 사이버위협을 정리하며 CPU 스펙트라•멜트다운 취약점은 상당한 충격을 주었으며 ICT의 근간을 흔들었을 정도이며 유사한 취약점이 계속 나오면서 위협은 계속될 것이라고 전했다. 또 북한과 평화분위기는 조성됐지만 사이버 공간은 여전히 불안하며 랜섬웨어 공격은 현재 진행형이라고 정리했다.

침해사고 원인에 대해서 그는 "망분리 도입이 정보유출과 침해사고를 막는데 도움은 되지만 방심은 금물이다. 침해사고 현장을 가보면 망분리 하고 있지만 폐쇄망에서 사고가 발행한 것을 확인할 수 있다. 망분리를 했지만 잘 관리가 안되고 있기 때문"이라며 "망과 망 사이 주요 접점이 해킹 당해 사고를 당하고 있다. 망 관리 체계만 믿고 외부와 통신하는 채널 관리를 느슨하게 하면 이런 사고를 당할 수 있다. 지난해부터 올해까지 유사한 사고가 계속 발생하고 있다. 특히 해커들이 터미널 서버를 타깃으로 공격하고 있어 폐쇄망이 외부와 연결이 안될거라고 생각하는 것은 금물이다"라고 강조했다.

▲ 이동근 단장 발표자료.
▲ 이동근 단장 발표자료.
망 관리 부분에 체크포인트는 다음과 같다.

-게이트웨이 구간 무결성

-외부 접점 접근제어 정책, 계정관리 정책

-원격연결에 대한 다중인증 적용

-폐쇄망 인터넷 접점(Proxy 등) 관리

이어 내부확산의 위험성을 방치하고 있다고 지적했다. 이 단장은 "공격자들이 악성코드의 내부 확산을 위해 주로 PMS(패치 관리시스템)과 액티브 디렉토리(AD), 파일공유 시스템을 장악해 활용하고 있다"며 "업무 편의상 많은 조직들이 사용하고 있는 시스템을 장악해 악성코드 내부 확산에 활용하고 있는 사고 사례가 지속적으로 발생하고 있다"고 설명했다.

이 부분에 대한 체크포인트로는 △접근제어 정책 및 접근이력 관리 △원격 명령어 수행 이력관리 △파일 배포 이력 △네트워크 공유 정책 및 계정 관리라고 조언했다.

▲ 발표자료는 데일리시큐 자료실에서 다운로드 가능.
▲ 발표자료는 데일리시큐 자료실에서 다운로드 가능.
공급망에 대한 위협 이슈도 강조했다. 소프트웨어 개발환경에서 해킹해 악성코드를 설치하고 해당 제품을 사용하는 모든 사용자를 제어하는 방식이다. 주로 개발자 PC를 해킹해 제품 개발단계에서 해킹 프로그램을 심어둔다. 또 소프트웨어 유지보수 환경에서 해킹도 활용되고 있다. 유지 보수 업체를 먼저 해킹하고 최종 타깃을 공격하는 것이다.

이 단장은 "기업 내 개발환경에서 무결성이 보장되는지, 우리 조직에 소프트웨어 제품을 납품하고 있는 기업의 개발환경은 안전한지 체크해야 한다. 유지보수시에도 원격에서 작업이 이루어질 때 리크스가 발생하고 있다. 원격 접속시 해당 단말에 대한 철저한 보안 체크가 이루어져야 한다. 즉 제품 개발과 도입 전과정에서 보안이 이루어져야 한다. 우리 회사의 공급망 체계가 안전한지 체크해야 하는 상황이다"라고 강조했다.

마지막으로 2019년 사이버위협 전망에 대해 "공급망 공격은 지속적으로 계속될 전망이다. 5G 상용화도 다가올 위협이다. 각종 4차산업군들이 5G와 연동되기 때문이다. 해커들이 그냥 넘어가진 않는다. 또 파일리스 공격도 급증할 것으로 예상된다"고 밝혔다.

이동근 단장은 조직의 보안담당자들에게 "인증이나 감사 등 특정 시점에만 보안지수가 높고 다시 보안공백이 발생하는 조직이 많다. 일시적이 아닌 상시적 보안수준 유지체계가 갖춰져야 한다. 파동형 보안수준을 제거하는 것이 관건이다. 그리고 계약 사항에 보안성 강화 내용을 포함하고 계약 이후, 납품, 운영 등 전체 프로세스에서 보안수준 관리를 필수적으로 해야 한다. 한편 위협의 잠재적 피해를 최소화하기 위해 엔드포인트 보안을 강화해야 한다. EDR 시장이 내년에 주목받을 전망이다"라며 "또 단순 모니터링 대응에서 벗어나 사이버위협 인텔리전스를 활용해 종합적인 대응이 이루어질 수 있도록 대비해야 한다. 그리고 사고대응 체계를 구축해 사고발생시 일사분란한 신속대응이 이루어질 수 있도록 대응절차를 매뉴얼화하고 정기적인 훈련이 필요하다"고 당부했다.

이동근 한국인터넷진흥원 단장의 PASCON 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★