Home > 전체기사
금전노린 다양한 해커 공격, 늘어나는 보안 영역
  |  입력 : 2008-10-30 21:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

최근 보안 문제를 중심으로 살펴본 ‘7대 중심 보안이슈’

 

해커들의 금전을 노린 다양한 공격이 늘어나면서 보안의 범위가 점차 늘어나고 있다. 이에 따라 보안의 중심이 네트워크나 시스템에서 정보나 사용자 등의 새로운 부분까지 전이되고 있다는 주장이 나와 설득력을 얻고 있다.


신수정 인포섹 전무는 정보보호 전문가 양성 비영리 단체 (ISC)² 주최로 삼성동 코엑스에서  열린 ‘(ISC)² SecureAsia @ Seoul Conference' 행사에서 ’7대 중심 보안이슈‘를 발표해 큰 호응을 얻었다.

 

 

과거의 보안 공격은 해커들이 자신의 실력을 과시하기 위해 공격했었지만, 지금은 해커들이 금전적인 이익을 취하기 위한 악의적인 목적으로 공격을 시도하고 있다. 즉 DDoS 공격을 통해 금전 협박을 하거나 개인정보를 파는 등의 방법을 통해 금전적인 이익을 취하고 있는 것. 이는 보안 공격의 패턴과 기법을 바꾸는 계기가 되고 있다.


과거는 웹사이트에 대한 공격이 초점이었다. 하지만 현재 공격 대상은 단지 웹사이트 뿐 아니라 회사의 애플리케이션이나 고객정보 등 다양한 공격대상을 노리고 있다. 즉 IT인프라에 대한 공격보다는 애플리케이션을 공격하거나 사용자를 공격하는 등 사회 공학적 다양한 기법을 활용해 해커 자신의 목적을 이루려고 하고 있다.


■ 다양한 사이버 공격 증가...새로운 보안전략 필요

돈을 목적으로 공격하는 해커들은 시스템을 직접 공격하기 보다는 취약점을 찾아 공격한다. 따라서 공격대상과 공격방식을 다양하게 바꿔 치명적인 공격을 시도하고 있다. 특히 시스템 애플리케이션 공격과 더불어 무선네트워크를 이용한 공격도 늘어나고 있다.


외주업체나 협력업체 등 기업이 신뢰하는 업체를 통한 공격도 늘고 있다. 더불어 사용자들에게 직접적으로 악성코드 심어 DDoS 공격을 하거나 키보드 정보를 수집해 시스템을 공격하는 등 외부공격이 증가하고 내부 직원들에 의한 공격까지 온오프상의 공격이 다양하게 이뤄지고 있다. 공격자에 의한 환경도 변했지만, 기업이나 사용자에 의한 보안도 변하고 있다.


신 전무는 “사이버 공격이 금전을 노린 악의적인 형태로 변하면서 해커들은 목적을 이루기 위해 공격의 패턴을 다양하게 전개하고 있는 상황으로 한국은 현재 이에 대한 문제에 직면해 있다”면서 “이에 따라 정부와 기업, 사용자들의 보안 의식도 바뀌고 있다”고 설명한다.


과거 보안은 각 기업들의 자율적인 정보보호였다. 하지만 지금은 정부차원의 강력한 법제화를 통해 정보보호가 이뤄지고 있다. 게다가 정부의 보안에 대한 의식도 강화되고 있다. 내년도 정부의 예산은 대부분 줄었지만  정보보호 예산만 늘어났다는 것도 이를 증명한다.


소송이 일반화 되지 않았기 때문에 내 정보가 유출되더라도 법적대응 하지 않았다. 하지만  이제는 시민단체의 단체 소송 등 자칫하면 회사에 큰 영향을 줄 수 있을 정도로 사용자의 보안에 대한 태도도 변했다.


이렇게 정보보호가 기업에 영향을 주는 만큼 기업들의 보안의식도 변했다. 예전 정보보호는 CIO만의 영역이었지만 현재는 CEO들이 직접 관심을 가지기 상황이 되고 있다. 한 예로, 과거의 정보보호 세미나에 참여하는 대상은 대부분 CIO뿐이었지만 최근에는 CEO의 참여가 크게 늘고 있다. 이런 상황은 정보보호의 전략변화의 필요성을 역설하기도 하다.


■ 보안의 변화...7대 중심 보안이슈

신 전무는 상황이 이렇게 변한 만큼 보안에 대한 관점도 바꿔야한다고 역설한다. 특히 기존에 시스템보안이나 네트워크 보안에만 중점을 뒀던 것을 넘어서 7개의 중심적인 보안 이슈에 대응해야한다고 주장했다.

 

1. 정보 중심 보안(Information Centric)

그동안 많은 기업들이 네트워크나 시스템 보안에 관심을 가지면서도 그 인프라들이 보호하는 정보에 대해서는 관심을 갖지는 않았다. 하지만 최근 대규모의 사용자정보 유출사건을 통해 기업들도 자신들이 수집한 정보에 대한 관심이 늘고 있다.


하지만 기업들은 이런 정보가 어떤 시스템에 어떻게 분산돼 있는지 파악도 안 되고 있는 상황. 하지만 이를 관리할 수 있다면 효율적인 보안이 가능하다. 시스템적인 보안에 대한 투자가 많았지만 이제는 정보를 관리하는 쪽으로 옮겨가고 있다. 특히 사용자정보에 대한 분석이 이슈화 되고 있다. 이런 정보가 예상할 수 없는 곳곳에 숨겨져 있다는 것은 기업이 정보유출에 대한 리스크를 짊어지고 있다고 볼 수 있다.


한 예로 최근 어떤 기업의 보안 컨설팅 중, 이 기업은 자사의 고객정보를 내부 시스템에 안전하게 보관하고 있다고 말했지만 찾아보니 외주업체나 기업 내 다른 PC에도 산재해 있었다. 이는 정보유출에 대한 리스크가 크다고 볼 수 있다.


2. 사람 중심 보안 (People Centric)

어떤 사람이 어떤 정보를 쓰는지를 파악하는 게 중요하다. 중요한 정보에 대한 접근권한을 가지고 있는 것을 파악. 크리티컬한 정보를 다루는 사람을 줄이고, 그 권한을 줄이는 방법. 그리고 그 사람들에 대한 훈련, 그리고 접근권한에 대한 교육이 필요하다. 핵심정보를 1천만 이상 관리하는 사람을 찾아보니 100명중 5명이 나왔다. 그중 세명은 외부직원이었다. 이런 교육이 안돼 제어가 안되고 있었다.


3. 프라이버시(Privacy)

프라이버시에 대한 부분도 보안의 중심으로 이동하고 있다. 이는 정보의 오남용을 다루기 때문에 보안과 다른 부분으로 보는 경향이 있다.


한 인터넷기업이 사용자들에게 정보수집에 대한 자사의 서비스에 한해 이용 하겠다고 동의를 받고 사용자 정보들을 암호화 했다면, 이 회사가 불법적인 행동으로 수사를 받더라도 사용자 정보에 대한 보안장치를 푼다면 이는 사용자들의 프라이버시를 침해하게 된다.


이처럼 프라이버시도 보안문제를 야기할 수 있다. 따라서 사용자의 정보를 수집과 저장, 폐기 과정까지 보안정책에 포함해야한다. 이를 위해서는 프로세스를 분석하고 이에 연관된 사람 그리고 연관 시스템에 대한 분석으로 기업의 보안과 프라이버시를 안전하게 할 수 있다. 어떤 기업은 보안 팀에서 프라이버시를 다루기도 하지만 어떤 기업은 프라이버시는 고객대응 팀이나 영업 팀 등에서 다루는 경우도 많아 이를 정책적인 측면에서 통합보안으로 다뤄야한다.


4. 가상조직 보안(Virtual Organization)

은행이 자신이 가진 시스템 보안만으로는 보안이 완벽할 수 없는 시대가 됐다. 은행의 보안 시스템과 더불어 고객이 가진 PC보안도 책임져야하기 때문. 이동통신사도 마찬가지다. 예를 들면 휴대폰 대리점 협력사에서 정보가 유출되면 이 피해는 이동통신사에서 책임져야한다.  따라서 현재 이동통신사들은 스스로 자본을 투자해 보안정책을 내리고 감사를 하고 있다. 이처럼 가상조직보안에 대한 부분까지 신경 쓰지 않으면 기업 보안에 문제가 발생할 수 있다. 따라서 가상조직보안에 대한 보안 시스템을 갖추고 내외부적으로는 서드파티나 아웃소싱 등 협력업체들에 대해서는 개인정보나 고객정보 관리에 대한 인증을 받아야 고객정보를 취급할 수 있도록 해야 한다. 더불어 사용자를 교육하는 제도도 필요해지고 있다.


5. 위험 중심 보안 (Risk Centered)

그동안 기업들은 리스크에 대한 문제에 민감하지 않았다. 과거의 공격은 인프라에 대한 공격이었기 때문. 따라서 방화벽 IPS 등등 시스템적 보안만 필요했다. 하지만 외부 뿐아니라 내부의 문제가 늘어나자 자체적으로 리스크에 대한 분석 평가가 필요해졌다. 현재 기업에 어떤 위험이 있는 이를 제대로 파악하고 준비하는 것이 필요하다. 하지만 현재 이런 리스크에 대한 준비가 제대로 정착한 기업들이 없다. 이는 한국의 보안컨설턴트의 문제일 수도 있다. 좀더 심플하고 적용하기 쉬운 방법을 적용해 리스크에 차등대응하도록 전략화할 필요가 있다.


6. 거버넌스 중심 보안 (Governance Centered)

정보유출 사고 가 늘면서 정보보호에 대한 거버넌스가 늘고 있다. CEO가 자신의 아젠다로 생각한다면 정보보호의 지속성이 높아질 수 있다. 이는 프로세스로 정착될 필요가 있다. 우리나라도 시스템을 운영하는 과정에서 보안 프로세스가 이뤄지고 있다. 시스템을 개발하는 데 대한 보안도 금융 텔레콤을 기반으로 하고 있다. 아직까지 모든 공공기관과 기업으로 확산되지 않고 있다. 이는 새로운 전략변화에 따라 바뀔 부분.

 

7. 컴플라이언스(Compliance) 이슈

많은 사용자들이 소송을 하게 되고 법적인 문제가 제기되자 컴플라이언스 대응에 대한 프로세스 정착의 필요성이 높아지고 있다. 관련된 법률이나 문제를 이해하고 이에 대한 기업문제를 파악해 계획을 세우는 작업이 필요하다. 이어 실행과정으로써 법률이나 정책에 대한 부분을 제대로 알고 이를 실행해야한다. 이런 문제는 경영층도 잘 알지 못하는 경우가 많다. 하지만 향후 기업의 문제로 인한 소송에 대비해 정보를 저장하거나 백업을 통해 포랜식에 신경을 써야한다.


또한 앞으로 위변조에 대한 컴플라이언스 제도가 늘어날 계획이기 때문에 포랜식 프로세서가 필요하다. 이전에는 포랜식 프로세스가 없었기 때문에 사고가 나면 은폐하는데 급급했다. 하지만 금년부터 정보보호 법률이 바뀌게 되기 때문에, 기업은 이런 문제를 사용자와 정부에게 의무적으로 공표해야한다.


이는 과거처럼 숨길 수 없게 되는 것을 의미하고, 이런 문제를 공개하게 되면 증거를 필요로 한다. 우리나라는 IT시큐리티 인프라가 세계 최고수준이지만 포랜식에 대한 부분은 관심 밖으로 환영받지 못했다. 하지만 이제는 이런 포랜식의 수요가 점차 늘어나고 있다.


외국의 기업들은 컴플라이언스 인증을 통해 기업을 신뢰할 수 있다는 믿음을 사용자와 주주들에게 보이려고 하고 있다. 국내에서도 이런 부분에 대한 전략이 필요하다.


신 전무는 “2008년을 시작으로 정보보안 부분이 비즈니스 이슈로 등장하고 있지만 그전까지는 정보보안 부분은 큰 IT이슈였다고는 볼 수 없었다. 하지만 이제는 많은 기업들이 정보보안 부분을 심각하게 느끼기 시작했고 비즈니스 차원에서 바라보게 됐다”면서 “따라서 정보보호 부분에서 정보와 사람에 대한 분석이 필요해지고 있다. 이는 정보보로의 영역이 점차 커지고 있음을 의미하고 그만큼 커버해야할 부분이 늘어났다는 것을 의미한다”고 강조했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향