최근 사이버 위협 동향 및 대응 방안

과기정통부 정보보호네트워크정책관 김정삼 국장입니다.

먼저, 오늘 이 자리는 최근에 잘 아시겠습니다만, 계속적인 침해사고가 많이 늘어나고 있고 일부는 언론에 보도돼서 알려진 사고도 있고, 또 일부는 개별적으로 저희 과기정통부나 인터넷진흥원에 신고가 된 다양한 사례들을 단계별로 취합해서 전체적인 유형을 분석했고요.

그에 대한 어떤 대응 방안, 향후에 각 개별 기업들이 보안사고를 방지하거나 사고를 최소화하기 위해서 필요한 어떤 여러 가지 대응 방안을 다시 한번 알려드리고 관심과 주의를 환기시키는 차원에서 마련했습니다.

제목에서 볼 수 있듯이 사이버 위협으로부터 안전한 영역 시스템과 사용자는 없다. 이런 측면에서 사이버 보안을 방지하기 위해서는 끊임없는 관심과 주의 그리고 지속적인 투자가 수반돼야 할 수 있다는 측면에서 말씀드리겠습니다.

먼저, 최근의 사이버 위협 동향부터 말씀드리겠습니다.

비대면 업무가 지속되면서 그리고 디지털 전환이 가속화되면서 침해사고는 계속 늘어나고 있습니다. 특히 가상자산, 다크웹 등 익명성을 가진 인터넷 환경이 확산되면서 해킹이 굉장히 늘어나고 있고, 해커들도 전문화·조직화되어 가고 있는 추세입니다.

사례들을 보면 대기업, 중소기업 가릴 것 없이 사고들이 일어나고 있습니다.

최근 주요 침해사고 사례를 세 단계로 설명드리겠습니다. 최초 침투 단계, 내부망 침투 단계, 데이터 유출 단계 세 가지로 설명드리겠습니다.

먼저, 최초 침투 단계에서는 사용자 계정 등을 다크웹 등을 통해서 구입하거나 또는 악성 메일을 통해서 계정을 수집하는 방식을 활용한다든지 또는 일회용 비밀번호 등의 추가 계정 인증도 우회한 사례를 많이 보이고 있습니다.

두 번째, 내부망 침투 단계입니다. 일단 다수 계정 단말을 관리하는 중앙서버나 또는 기업 내 프로그램 관리 서버에 접속해서 추가 정보 습득을 위한 악성코드 배포하는 방식 등을 통해서 접근하기도 합니다.

그리고 세 번째, 내부 유출 단계에서는 제품이나 영업 관련 정보 또는 내부 직원 정보 등이 저장된 수집소에 들어가서 파일을 확보하여 외부 반출을 하기도 하였습니다.

다음으로, 단계별 대응방안을 말씀드리겠습니다.

비대면 상황이 지속되는 상황에서 최근의 이런 침해사고는 대부분 업무 효율을 최우선시하다 보니까 기본적인 보안수칙이나 또는 필수적인 보안정책을 간과함으로써 발생한 사례들이 많았습니다.

이런 관점에서 보면 개별 기업들은 이런 제로 트러스트(Zero Trust) 관점에서의 단계별 조치를 강화할 필요가 있다고 말씀드릴 수 있겠습니다.

그럼 최초 침투 단계에서 대응방안입니다.

내부시스템 접속을 위해서는 이중인증을 반드시 사용하도록 해야 되고, 특히 이메일 인증과 같이 해킹 위험도가 높은 방식은 자제하고 가급적 소유 기반 인증, 생체인증이라든지 모바일 등을 통해서 외부 침투 가능성을 최소화시켜야 합니다.

그리고 재택근무 등에 사용되는 원격시스템에 접속할 때는 접속 IP나 단말을 제한 없이 허용하기보다는 사전에 승인되거나 지정된 단말과 IP만을 접속을 허용하는 등 접근 보안정책을 적용할 필요가 있겠습니다.

또한 AI, 빅데이터 기술을 활용하여 주요 시스템 등의 접근권한이 큰 관리자 계정의 경우에는 별도로 활동 이력을 추적 또는 이상 징후를 모니터링하는 등의 정책도 필요합니다.

두 번째, 내부망 침투 단계에서의 대응방안입니다.

기업 내부 다수의 단말이나 서버에 연결된... 단말에 연결된 중앙관리 서버나 패치관리 서버 등에 대한 접근권한은 특정 관리자 접속 단말에서만 허용하거나 또는 내부 관리, 내부시스템에 대한 관리자 접속 인증도 생체인증 등 이중인증을 추가 적용할 필요가 있겠습니다.

아울러, 동일한 사용자 단말기에서 최초 접속한 계정과 서버 접속 계정이 다른 경우 등 권한에 맞지 않는 비정상 접근 시도를 판별하는 시스템을 구축하는 등 모니터링을 강화할 필요가 있겠습니다.

또한, 시스템 계정 정보 탈취를 위해 주로 사용되는 계정 수집 악성코드 미미카츠(Mimikatz)와 같은 실행 여부에 대한 점검, 그다음 무단 로그 삭제 등과 같은 비정상 행위를 AI나 빅데이터 기술을 활용하여 면밀히 모니터링할 필요가 있겠습니다.

세 번째로, 데이터 유출 단계에 대한 대응방안입니다.

기업의 주요 자료가 저장돼 있는 시스템에 대해서는 저장된 자료의 유형이나 중요도에 따라서 사용자별로 데이터 접근 및 반출 범위에 대한 권한을 차등 관리할 필요가 있습니다.

또한, 대량 반복적으로 데이터 외부 반출을 시도하는 사용자에 대한 존재 여부도 집중 점검하여 필요 시 차단하고, 사전 승인 없이 자료에 접근하려는 프로세스 여부나 접속 이력 등에 대한 모니터링을 강화할 필요가 있겠습니다.

마지막으로, 기업의 보안 역량 강화를 위해서 우리 과기정통부와 우리 인터넷진흥원이 다양한 사업들을 전개하고 있습니다. 우리 기업들이 조금 더 관심을 갖고 이런 다양한 프로그램에 참여해서 기업들의 보안 역량을 강화할 것을 저희들이 권고드리는 상황입니다.

대표적인 사업으로 사이버 위협정보를 실시간 공유받을 수 있는 ‘C-TAS 2.0’이 현재 1,000여 개 기업들이 지금 가입하고 최근에 빠르게 가입이 늘고 있습니다. 이러한... 가입해서 위협정보를 빠르게 확인하고 사전에 조치한다거나 또는 지난달에 개통한 ‘취약점 정보 포털’을 통해서 보안 취약점 정보를 수시로 확인하고 시스템을 보완하는 것도 필요하다고 하겠습니다.

또, 모의훈련도 굉장히 중요합니다. 직원들과 기업의 시스템 관리상의 위기대응력을 높이기 위해서는 해킹메일, DDoS, 모의침투훈련 등을 실시하는 ‘사이버 위기대응 모의훈련’ 등에도 적극 참여하도록 저희들이 권고드리고 있습니다.

아울러, 주요 서버나 국민들이 사용하는 PC에 대한 보안 취약점을 점검·조치해 주는 ‘내서버·내PC 돌보미’라든지, 또는 비대면 서비스 개발 단계에서부터 보안 취약점이 없도록 보안 내재화를 지원해 주는 사업에도 적극적인 활용이 필요하겠습니다.

아울러, 저희 정부는 이러한 지금까지의 취했던 조치 이외에도 다양한 추가적인 프로그램과 정책들을 개발해서 앞으로 이런 급증하는 사이버 위협 사고와 침해사고에 대해서 조금 더 대응 능력을 높이는 데 최선을 다하도록 하겠습니다.

이상 브리핑을 마치도록 하겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 최근에 발생한 삼성전자, LG전자 해킹 피해에 대한 조사로 이해를 했는데요. 과기정통부 차원에서도 현장조사를 하신 것으로 들었고, 각 기업에서 유출된 데이터는 어느 정도 수준인지 혹시 확인하셨는지, 그리고 이 사고들에 대해서 과기정통부 차원에서 할 수 있는 후속 조치는 어떤 것들이 있는지 여쭙고 싶습니다.

<답변> 질문 감사드립니다. 일단 신고는 3월 7일과 22일 각각 신고가 됐었고요. 그리고 개별 특정 기업의 사고를 아주 구체적으로 말씀드린다기보다는 저희들이 모든 사고가 접수가 되면, 기본적으로 신고가 접수되면 필요시에 경찰력도 같이해서 경찰은 수사에 착수하고 저희들은 유출된 경로 분석이라든지 이런 것들을 관련 전문가 네트워크를 활용해서 분석을 한다고 말씀드릴 수 있고요.

또, 유출된 자료에 대해서도 취약점이 있는지 계속 분석을 하고, 현재까지는 특별히 취약점이 발견된 사례는 없습니다만, 앞으로 지속적으로 발견될 위험성이 있기 때문에 그 부분에 대해서는 계속 그런 시스템을 갖고 계속 점검을 하고 관련 기업들하고 같이 협업을 한다고 그렇게 말씀드릴 수 있겠습니다.

<질문> 아까 질문과 이어져서 삼성과 LG를 해킹한 그룹이 ‘랩서스’라는 해킹집단으로 알려졌는데, 또 우리 기업들이 신고도 했기 때문에 조사도 어느 정도 이루어졌다고 보이는데요. 어떻게, 랩서스는 어떤 조직인지 좀 파악이 정부 차원에서 되고 계신 부분이 있는지, 그리고 앞으로 이런 해킹조직에 대해서 어떻게 대응할 계획도 가지고 계신지 궁금합니다.

<답변> 일단 관련된 해커그룹에 대해서는 저희들이 국제적인 네트워크나 수사당국에서도 관련된 정보 등을 수집하고 관련된 수사들이 있을 것이고요. 저희들은 오늘 일단 설명드린 취지는 이런 사고 유형들이 앞으로 반복되지 않는 게 굉장히 중요하기 때문에 그런 측면에서 계속 집중적인 분석을 하고 있다고 말씀드릴 수 있겠습니다.

<질문> 이것 뒤쪽에 붙임 쪽에 보면 여러 가지 해킹피해 예방... 막기 위한 솔루션들 제시가 되어 있는데요. 두 가지 여쭤보겠습니다. 지금 내PC 돌보미 같은 경우에 보면 인터넷 익스플로러 위주로 점검하는 것으로 되어있더라고요. 그래서 ***

<답변> 지금 두 가지 질문에 대해서는 제가 설명드리는 것보다는 우리 직접 실무를 담당하는 인터넷진흥원의 임진수 단장께서 답변하는 게 또 좀 더 구체적인 설명이 될 것 같습니다. 양해해 주십시오.

<답변> (임진수 한국인터넷진흥원 침해사고분석단장) 말씀 주신 사항은 크게 두 가지, 그러니까 내PC 돌보미와 내서버 돌보미가 있는데요. 내PC 돌보미 같은 경우에 말씀하신 것처럼 저희가 가장 많이 사용자가 있는 윈도우 계열 위주로 저희가 도구를 개발했다고 보시면 될 것 같고요. 이에 대해서는 이미 말씀 주신 사항들 반영해서 저희가 오픈해서 하고 있다고 말씀드리고요.

내서버 돌보미 같은 경우에는 시작한 지가 얼마 안 돼서 저희가 일단 시작하는 단계라고 생각해 주시면 좋을 것 같고요.

전체적으로 말씀 주신 사항들 같이 포함해서 저희가 검토해서 반영할 수 있도록 하겠습니다. 감사합니다.

<질문> *** 계속 사이버공격 같은 게 심화되고 고도화되니까 혹시 이 시스템 앞으로 개선될 방향성이나 운영이 좀 바뀐다든지 그런 내용들이 있으면 소개시켜 주시면 감사하겠습니다.

<답변> 일단 지금 질문 주신 부분, 기존의 C-TAS 1.0의 경우는 기업 수가 제가 300개 정도 기업들에 아주 제한적으로 공유했던 부분인데, 이것을 전면적으로 개방해서 일반 기업들도 누구나 공유받을 수 있도록 이미 조치를 했고요. 앞으로 필요한 부분이 추가적으로 더 설명할 게 있을까요?

<답변> (임진수 한국인터넷진흥원 침해사고분석단장) 일단은 취약점 포털 같은 경우에는 올해 3월에 처음 오픈을 했습니다. 그래서 저희가 아시다시피 취약점이라고 하는 게 Log4j도 나왔고 해서 취약점의 중대성에 대해서 인식을 하고 있고요.

이 부분에 대해서 저희가 취약점이라는 부분들이 사전에 제거될 수 있도록 예방 차원에서 취약점 정부포털이라는 것을 종합포털 형태로 저희가 만들었습니다. 이를 통해서 취약점 정보가 국민과 기업에게 빠르게 종합정보로 제공이 되고요. 본인들이 원하는 정보를 검색해서 사용할 수 있도록 그렇게 포털 형태로 구성하였습니다.

이외에도 포털, 계속적으로 포털에 대한 피드백을 받아서 개선할 생각에 있고요. C-TAS 같은 경우에는 말씀 주신 것처럼 이미 시작한 지가 2014년도 이후로 계속 발전해 나가고 있는데, 올해 같은 경우에는 말씀 주신 것처럼 저희가 전면개방 형태로, 기존에는 기브 앤 테이크 형태로 구성을 했는데 전면개방 형태로 해서 가입자 수가 굉장히 폭발적으로 늘고 있고요.

이를 통해서 저희가 갖고 있는 정보, 위협정보들을 공유해서 사전에 방어할 수 있는 정보로 활용할 수 있도록 그렇게 노력하고 있습니다.

<질문> (사회자) IT조선 기자님 질문입니다. C-TAS 관련해서 정보 보안 기업들은 이미 알고 있는 정보기 때문에 별다른 도움이 안 된다는 의견이 많습니다. 해외 보안업체 정보를 돈 주고 구입해서 공유하는 방안도 검토를 해보고 있는지 궁금합니다.

그리고 인수위에서 사이버 보안 관련 정책제안을 누가 하고 계신지 궁금하고요. 혹시 과기부도 어떤 목소리를 내고 있는지 궁금합니다. 세 가지 질문입니다.

<답변> 해외 정보와 관련해서는 이미 해외 주요 인텔리전스 기업들을 통해서 충분히 공유할 수 있는, 받을 수 있는 것들은 충분히 저희들이 공유받는다고 말씀드릴 수 있고요.

그다음, 인수위는 결국 지금 당선인께서 제시한 여러 가지 공약들이 국정과제에 반영하는 그런 일들을 지금 하고 있는데, 저희들이 그동안 했던 일들 그리고 앞으로 해야 될 것들이 충분히 잘 반영될 수 있도록 가서 계속 인수위하고 같이 노력을 하고 있다고 말씀드릴 수 있겠습니다.

<질문> 두 가지 질문드리려고 하는데요. 최초 침투 단계 대응에서 다중인증을 필수적으로 적용해야 한다고 하셨는데, 이게 작년에는 실제 클라우드 이용 기업들이 이런 기본적인 설정 미흡으로 사고가 난 경우가 꽤 있는 것으로 알고 있거든요.

그러면 이것을 가이드라인 형태라든지 해서 적용을 할 수 있도록, 유도할 수 있도록 하는 것인지 아니면 그냥 권고, 정부... 과기부 입장에서 그냥 이런 조치를 해야 한다고 권고하는 수준인 것인지 궁금하고요.

그리고 지금 C-TAS나 이런 것으로 정보 공유를 잘 하고 계시지만 사실 민간이나 공공 그리고 군 이런 식으로 지금 컨트롤타워가 분산돼 있다는 지적이 항상 많이 있었고, 지금 당선인분도 이 체계를 통합해야 한다고 말씀을, 후보 시절부터 말씀을 해오셨는데 혹시 이것에 관련해서는 얘기가 나오고 있는 게 있는지 궁금합니다.

<답변> 일단 아까 말씀드린 이중인증이라든지 이런 부분에 대해서는 저희들이 기본적으로 개별 기업의 정책을 의무화하거나 이렇게 한다기보다는 충분히 권고하는 것이고요.

최근의 사례들이 비대면 원격 재택근무를 통해서 그쪽에서 취약점들이 과거에, 코로나 이전에 없던 새로운 유형들이 지금 굉장히 위협도가 높아진 것이기 때문에 그것을 다시 한번 주의를 시키고, 저희들이 여러 가지 다양한 지원 사업들, 점검이라든지 이런 것을 통해서 개선할 수 있도록 유도한다는 측면에서 말씀드릴 수 있겠고요.

아까 두 번째 질문의 경우에는 어쨌든 지금 인수위에서 지금 충분히 검토해서 다음 정부에 주요한 국정과제로 설정될 것이기 때문에 그것에 대해서는 저희들이 자세하게 말씀드리는 것은 적절하지 않다고 생각됩니다.

<질문> 다른 것 한번 여쭤볼게요. 지금 취약점, 포털 같은 경우에 주요 기능 중에 버그 바운티(Bug Bounty)가 들어간 것으로 알고 있습니다. 그런데 이것 현재, 이것 포털 개시한지 얼마 안 됐긴 한데 이용실적이 알고 싶고요.

두 번째는 혹시 정부에서 예상하고 있는 것보다 조금 이용실적이 저조하다고 할 경우에 예를 들어서 버그 바운티 포상금에 대해서 절반 이렇게 매칭 후 지원한다든가 그런 방안도 혹시 검토하고 계실지, 그렇게 두 가지 여쭤보고 싶습니다.

<답변> (임진수 한국인터넷진흥원 침해사고분석단장) 포털 이전에, 말씀 주신 포털 이전에도 버그 바운티를 계속 진행 중에 있었고요. 저희가 버그 바운티뿐만 아니라 공동운영사라고 해서 굵직굵직한 대기업들, 거기도 책임성이 있기 때문에 이런 버그 바운티나 공동운영사에 참여할 수 있도록 저희가 유도를 하고 있고, 이미 참여하신 기업들도 상당수가 있고요.

실적 같은 부분에서는 저희가 취약점 신고포상제를 통해서 신고도 받고 '핵 더 챌린지'라고 하는 대회를 통해서도 신고를 받고 있습니다. 이런 것을 통해서 더, 신고포상제를 통해서 취약점들이 더 많이 발굴될 수 있도록 그렇게 노력하고 있고요.

특히, 올해 같은 경우에는 플랫폼을 만들었습니다. 그래서 플랫폼을 통해서 ‘핵 더 챌린지’ 같은 대회가 상시적으로 일어날 수 있도록 그렇게 환경을 마련했고요. 이를 통해서 취약점이 더 많이 발굴될 것이라고 기대하고 있습니다.

<질문> ***

<답변> (임진수 한국인터넷진흥원 침해사고분석단장) 포상금을 한정 없이 늘릴 수는 없는 것이기 때문에 일단은 저희가 예산 반영을 해서 계속 늘려나가고 있긴 하지만, 일단 제 생각에는 공동운영사라든가, 책임성이 있는 기업들 입장에서 같이 공동운영사 참여해서 버그 바운티에 들어가는 포상금 이런 것들이 같이 지급될 수 있도록 노력하겠습니다.

<답변> 일단 정부의 포상이나 재정 부분은 물론 마음 같아서는 많이 하면 좋겠지만, 그리고 또 민간의 책임 부분도 있기 때문에 그런 것들은 아마 사업성과나 효과들을 봐가면서 저희들이 노력할 수 있는 부분이 있다면 추가적인 노력을 하겠습니다.

<답변> (사회자) 더 이상 질문이 없으신 것 같습니다. 혹시나 더 추가 질의가 있으시면 과기정통부 사이버침해대응과로 연락 주시면 성심성의껏 답변드리겠습니다. 아울러, 오늘 브리핑의 보도시점은 내일 4월 7일 목요일 12시 이후입니다.

그럼 이것으로써 브리핑을 모두 마치도록 하겠습니다. 감사합니다.

<답변> 수고하셨습니다.

<끝>