최근 사이버 공격은 국경을 넘어 모든 산업 분야에서 이뤄지고 있다. 특히 금전적 목적 공격이 늘면서, 해커 사이의 정보 공유와 국제 협력도 증가하고 있다. 올해 초 한국을 집중 공격한 중국계 해커 조직 샤오치잉은 중국어를 기반으로 활동하지만, 실제 구성원은 전 세계 해커로 이뤄져 있다. 정해진 목표를 달성하면 구성원으로 초대하면서 세력을 넓히기도 했다.
14일 보안 업계에 따르면 이러한 공격에 대응하기 위해서 기업 간 정보 공유 확대가 필수적이다. 동일한 유형의 공격이 재발하거나 피해가 확산되는 것을 예방하기 위해 민관이 함께 움직여야 한다.
박용규 한국인터넷진흥원(KISA) 침해사고대응단장은 지난 12일 열린 제22회 CISO 정보보안 콘퍼런스에서 "보안 위협 대응전략에서 중요한 것은 끊임없는 모니터링"이라며 "세계적으로 어떤 취약점이 나오는지 파악하고, 해킹포럼이나 텔레그램 등에 기업 주요 정보가 유출됐는지도 살펴봐야 한다"고 밝혔다.
그러면서 "직접 접근할 수 없는 정보에 대해서도 인적 네트워크를 활용하는 대응이 필요하다. 이런 정보공유 체계가 잘 갖춰져야 공격을 빠르게 파악하고, 조직에 적합한 보안정책을 문제없이 적용할 수 있다"고 덧붙였다.
KISA에 따르면 최근 해커는 금전적 이득을 목적으로 사이버 공격을 확대하고 있다. 과거에는 무작위로 여러 대상에 공격을 시도하고, 성공 시 협상을 진행하는 방식을 사용했다. 하지만 이러한 방식은 실제 해커가 수익을 거두기까지 오랜 기간이 걸린다.
이에 최근에는 대기업이나 기반시설을 노리거나, 방어가 취약한 대기업 협력업체를 공격해 공급망을 마비시키는 방식이 쓰인다. 특히 범죄의 수익화라는 목적달성을 위해 악성코드 개발, 공격 실행, 협상 등 조직을 분업화하는 추세다. 자신들이 개발한 공격 인프라와 취약점 등을 타 해커가 이용할 수 있도록 임대하는 등 협업 형태도 나타나고 있다.
14일 보안 업계에 따르면 이러한 공격에 대응하기 위해서 기업 간 정보 공유 확대가 필수적이다. 동일한 유형의 공격이 재발하거나 피해가 확산되는 것을 예방하기 위해 민관이 함께 움직여야 한다.
박용규 한국인터넷진흥원(KISA) 침해사고대응단장은 지난 12일 열린 제22회 CISO 정보보안 콘퍼런스에서 "보안 위협 대응전략에서 중요한 것은 끊임없는 모니터링"이라며 "세계적으로 어떤 취약점이 나오는지 파악하고, 해킹포럼이나 텔레그램 등에 기업 주요 정보가 유출됐는지도 살펴봐야 한다"고 밝혔다.
그러면서 "직접 접근할 수 없는 정보에 대해서도 인적 네트워크를 활용하는 대응이 필요하다. 이런 정보공유 체계가 잘 갖춰져야 공격을 빠르게 파악하고, 조직에 적합한 보안정책을 문제없이 적용할 수 있다"고 덧붙였다.
이에 최근에는 대기업이나 기반시설을 노리거나, 방어가 취약한 대기업 협력업체를 공격해 공급망을 마비시키는 방식이 쓰인다. 특히 범죄의 수익화라는 목적달성을 위해 악성코드 개발, 공격 실행, 협상 등 조직을 분업화하는 추세다. 자신들이 개발한 공격 인프라와 취약점 등을 타 해커가 이용할 수 있도록 임대하는 등 협업 형태도 나타나고 있다.
이러한 조직 검거를 위해 글로벌 보안 기관이 협력을 펼치고 있다. 하지만 해커들이 정보를 공유하는 주요 활동 무대가 다크웹 등 표면에 드러나지 않은 사이버 공간인 경우가 많아 범죄 차단에 어려움을 겪는 실정이다.
디지털 전환 기조에서 도입된 클라우드 역시 기업의 새로운 고민이다. 보안 담당자 입장에선 IT 인프라인 클라우드가 내부에서 어떤 물리적·논리적 구조로 연결돼 있는지 파악하기 어렵다. 실제 활용하는 영역은 클라우드 서비스의 '표면'에 해당해, 실제 어떤 위협이 있을지 피부로 느끼기 어렵다.
기업 운영 관점에서 클라우드 도입 효과가 크기 때문에 이러한 동향은 이어질 전망이다. 이에 따라 어떤 대응책을 갖추고 보안 체계를 적용해야 할지 고민도 필요하다.
KISA는 민관이 함께 사이버 보안 전반에 걸쳐 협력할 수 있도록 사이버 위협정보 분석·공유 시스템(C-TAS)을 운영 중이다. 공유형 C-TAS에선 악성코드 유포지 실시간 정보 등을 참여 기업에 제공하고 있으며, 개방형 C-TAS에선 보안 관련 뉴스나 신규 위협 정보 등을 소개하고 있다.
박 단장은 "보안 사고는 언제든 발생할 수 있다. 문제는 여기에 대응할 수 있느냐다. 망 분리 등 기존 경계보안 방식에선 신뢰하는 공간(내부망)에 적이 들어온 상황에서 이상행위를 찾아내기 어렵다"고 설명했다.
그러면서 "정보통신망법 개정으로 KISA 기업 침해사고를 직접 조사할 수 있는 근거가 마련됐다. 우리 조사는 행정 처분 목적이 아니라 공격 방법론을 파악해 피해확산을 막고, 남아있는 공격 경로를 차단해 재발을 막는 것이 목적"이라며 "사고 발생 시 기업 보안 담당자의 적극적인 도움이 필요하다. 함께 대응해야 한다"고 덧붙였다.
디지털 전환 기조에서 도입된 클라우드 역시 기업의 새로운 고민이다. 보안 담당자 입장에선 IT 인프라인 클라우드가 내부에서 어떤 물리적·논리적 구조로 연결돼 있는지 파악하기 어렵다. 실제 활용하는 영역은 클라우드 서비스의 '표면'에 해당해, 실제 어떤 위협이 있을지 피부로 느끼기 어렵다.
기업 운영 관점에서 클라우드 도입 효과가 크기 때문에 이러한 동향은 이어질 전망이다. 이에 따라 어떤 대응책을 갖추고 보안 체계를 적용해야 할지 고민도 필요하다.
KISA는 민관이 함께 사이버 보안 전반에 걸쳐 협력할 수 있도록 사이버 위협정보 분석·공유 시스템(C-TAS)을 운영 중이다. 공유형 C-TAS에선 악성코드 유포지 실시간 정보 등을 참여 기업에 제공하고 있으며, 개방형 C-TAS에선 보안 관련 뉴스나 신규 위협 정보 등을 소개하고 있다.
박 단장은 "보안 사고는 언제든 발생할 수 있다. 문제는 여기에 대응할 수 있느냐다. 망 분리 등 기존 경계보안 방식에선 신뢰하는 공간(내부망)에 적이 들어온 상황에서 이상행위를 찾아내기 어렵다"고 설명했다.
그러면서 "정보통신망법 개정으로 KISA 기업 침해사고를 직접 조사할 수 있는 근거가 마련됐다. 우리 조사는 행정 처분 목적이 아니라 공격 방법론을 파악해 피해확산을 막고, 남아있는 공격 경로를 차단해 재발을 막는 것이 목적"이라며 "사고 발생 시 기업 보안 담당자의 적극적인 도움이 필요하다. 함께 대응해야 한다"고 덧붙였다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지