2024-04-20 02:50 (토)
[PASCON 2021] 이재광 KISA 팀장 “사이버 위협, 새로운 맞대응 전략 필요한 시점”
상태바
[PASCON 2021] 이재광 KISA 팀장 “사이버 위협, 새로운 맞대응 전략 필요한 시점”
  • 길민권 기자
  • 승인 2021.11.18 15:23
이 기사를 공유합니다
“위협 차단에서 위험 관리로의 전환이 필요”
PASCON 2021에서 이재광 KISA 팀장이 '위협 차단에서 위험 관리로 전환’을 주제로 키노트 강연을 진행하고 있다.
PASCON 2021에서 이재광 KISA 팀장이 '위협 차단에서 위험 관리로 전환’을 주제로 키노트 강연을 진행하고 있다.

하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2021이 지난 11일 위드코로나 상황에서 안전하게 성황리에 개최됐다.

이 자리에서 한국인터넷진흥원(KISA) 침해사고분석단 이재광 팀장은 ‘위협 차단에서 위험 관리로 전환’을 주제로 키노트 강연을 진행해 큰 관심을 끌었다.

이재광 팀장은 “사고분석팀에서는 IoC(Indicator of Compromise) 즉 이미 발생된 피해에 집중했던 것에 비해, 분석단에 오면서 IoA(Indicator of Attack), 활동중인 공격을 분석하는데 집중하고 있다”며 “IoC는 드러난 공격 현상이며 IoA는 공격 현상은 드러나지 않았지만 그 전에 백그라운드에서 공격자 활동을 들여다 보는 것이 차이다. IoA 분석에서 나온 결과인 T.T.P 정보들을 보고서로 발표했으니 관심을 갖고 봐주길 바란다”고 전했다. (KISA TTP 보고서: 클릭)

이 팀장은 현장에서 IoA 분석에 2년간 매달리며 찾아낸 위협들중 홍콩 대역의 IP 하나를 공개했다. 제로데이 공격에 의한 사고사례들을 분석하면서 과거로 거슬러 올라가 찾아낸 위협 정보다.

해당 IP를 프로파일링 하다보니, 공격에 사용된 C2서버를 찾게 되고 이 공격자가 지난 2020년 12월 통일부를 사칭한 스피어피싱 공격자였으며, 2021년 2월에 국내 해킹경유지를 조사하면서 다시 해당 IP와 연결된 것을 찾을 수 있었다. 이외에도 기업 DB해킹사고를 조사하는 과정에서도 해당 IP가 악성코드 유포지로 악용된 서버와 연결돼 있다는 것을 알게 됐다.

이 공격자 IP를 추적하다보니, 사고 시점에서부터 거슬러 올라가 1년 전부터 공격자는 활발히 다양한 곳에서 공격을 진행하고 있었고 공격을 인지한 시점에서도 패치하는 과정에서 시간이 걸리면서 다른 기업이 또 피해를 당하는 사례가 꼬리에 꼬리를 물고 반복되고 있다고 전했다.

이 팀장은 “공격자가 활용하는 13개 C2를 조사하는 과정에서 드러난 하나의 IP를 대응하는데도 1년이 걸렸고 여러 기업들이 피해를 당했다. 분석에 많은 시간과 인력이 필요하기 때문에 여전히 분석하지 못하고 찾아내지 못한 위협들은 과거부터 지금 현재까지 우리 내부에서 유유히 공격 작업을 진행하고 있다고 보면된다”며 “이제 새로운 맞대응 방법이 필요할 때다. 공격을 완전히 막겠다는 생각은 버려야 한다. 우리 안에 위협이 무조건 있다고 전제해야 한다. 다만 그 위협이 발현되지 않도록 효과적으로 억제하는 활동을 끊임없이 해야 한다. 사이버 위험 관리가 필요한 상황이다”라고 강조했다.

‘사이버 위험 관리’를 정의하면, 사이버상에서 각종 위협으로 인해 발생할 수 있는 기업의 잠재적 손실을 최소화하는 효율적인 방법을 찾고 실제로 구현하는 것이다.

보안팀은 조직의 보안을 위해 손실을 최소화하는 방향으로 하고 있는지, 효율적인 방법을 찾는 것을 지속적으로 하고 있는지, 도입한 보안솔루션들이 이런 철학을 가지고 운영되고 있는지 고민하고 전략을 수정할 때다.

이 팀장은 “사이버 공격은 하루 아침에 이루어지지 않는다. 공격자들은 오랜 기간 정보를 수집하고 테스트를 한 후 확신이 섰을 때 공격을 시작한다”며 “조직의 보안팀은 내부에 이런 공격들이 존재하고 있다고 전제하고 공격이 발현되기 전에 억제할 수 있는 전략을 짜야 한다. 이런 관점에서 우리의 네트워크와 보안체계를 바라 봐야 한다. 중앙관리서버, 관리자PC, 관리자 계정, 패치서버 등에 대한 보안 그리고 각종 이벤트에 대한 가시성 확보 등등 위협을 셧다운 시키려고 하기 보다(현실적으로 불가능)는 리스크 매니지먼트 관점에서 손실을 최소화하는 효율적인 방법을 찾는 것에서부터 보안이 시작돼야 하지 않을까”라고 전했다.

KrCERT는 공격자 프로파일링을 통해 공격자들의 거점을 네트워크로 연결시켜 나가는 작업을 하고 있다. 최 상단에 위치한 공격자 인프라를 찾기 위해서다. 공격자도 자신들의 인프라를 묶어서 관리하고 있다. 이런 공격자 인프라를 찾아 공격을 억제하는데 KrCERT도 집중하고 있다고 한다.

이 팀장은 “사이버 위협 분석 도중에 공격에 악용되고 있는 것으로 파악된 국내 기업에 완곡한 표현으로 해킹이 상당히 의심되며 조사가 필요하다는 메일을 보내도 답이 없는 곳이 많다. 기업들의 리스크 매니지먼트에 대한 보다 철저한 의식 개선이 필요하다. 분석이 늦어지면피해는 계속 반복되고 늘어난다. 적극적인 동참이 필요하다”고 지적했다.

제로데이, 워터링홀, 다크웹, 스피어피싱 등 이런 공격은 우리가 맞대응하기는 버거운 지점이다. 공격자들은 늘 우위에 있다. 공격을 완화할 수 있는 리스크 매니지먼트 전략이 필요하다.

PASCON 2021 발표자료는 아래 링크에서 다운로드 가능하다.(프로그램란 참조)

-발표자료 다운로드: 클릭

[FICCA2021] 아시아 금융&산업 사이버보안 컨퍼런스 2021에 보안담당자 여러분을 초대합니다.

-주최: RALFKAIROS(랄프캐로스)

-공동주최: 데일리시큐

-날짜: 2021년 11월 26일(금) 온라인(무료참관)

-참석대상: 국내 및 해외 공공, 기업, 금융기관 CISO, 정보보안실무자

-강사: 국내·외 최고 사이버보안전문가 초청강연(통역지원)

-무료참관등록: 클릭

▶지금 사전등록하세요!

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트