10월 29일 전국 공공기관과 기업 개인정보보호 및 정보보안 실무자 1천여 명이 참석한 PASCON 2019가 양재동 더케이호텔서울 가야금홀에서 개최됐다.

이 자리에서 키노트 발표를 진행한 한국인터넷진흥원(KISA) 사고분석팀 이재광 팀장은 ‘2019 주요 침해사고 사례와 전망’을 주제로 강연을 진행했다.

이재광 팀장은 “올해 특정 기업에서 악성코드 탐지 이슈와 관련 추가 분석 요청이 들어왔고 일부 단말기는 대응을 완료했지만 최초 침투 경위 및 피해범위 파악이 어렵다는 신고 내용이 들어온 바 있다”며 해당 공격에 대해 분석한 내용을 공유했다.

그가 제시한 화두는 “현재의 공격 트렌드에서 방어자가 개입하는 것이 왜 어려운가?”였다.

그러면서 타깃 공격 과정에서 방어자에게 몇 번의 방어 타이밍이 찾아온다고 전하며, 웹필터링 로그와 C2 통신량, EDR 로그, 감염PC 이벤트 로그, 감염PC 백신탐지 로그 등에 주목했다.

그리고 외부망과 내부망 접점 구간 가시성이 충분히 확보되었는지 또 접점 건너편에 이상징후 기준은 마련됐는지를 강조했다.

이재광 팀장은 “방어자가 개입하기 위해서는 시점, 지점, 방법이 중요하다. 이 모든 것이 가능하기 위해서는 의사결정이 가능한 구조로 보안이 운영되어야 한다. 침해사고는 최초침투, 거점확보, 피해확산, 목적달성 단계로 구분되지만 우리의 보안체계는 구분된 단계에 맞게 운영되지 않는다”고 지적했다.

또 그는 “보안장비 기능 중심으로 구축된 현 보안 체계가 침해사고 증상을 잘 기록해 주지만 방어자들이 명확히 개입할 수 있도록 연결되어 있는 것은 아니다. 그리고 공격에 개입하기 위한 방어자의 변화 속도가 느리다”라며 “방어자들에게 신뢰받는 공간일수록 공격자들에게는 유용하며 공격자들은 항상 신뢰받는 공간에서 더 활발히 움직인다. 어디를 지킬지가 아니라 어디를 예의주시하고 있을지를 결정할 수 있는 것, 이것이 지금의 공격 트렌드에서 방어자에게 요구되는 중요 역량이다”라고 강조했다.

이 팀장은 말미에 내년에도 신뢰된 구간에서의 사이버 공격과 방어가 전개될 것이라고 밝혔다. 신뢰하는 구간에 대한 가시성 확보가 얼마나 잘 돼 있는지 체크해야 할 중요한 부분이다.

★정보보안 대표 미디어 데일리시큐!★