Home > 전체기사
국내 침해대응 최일선에서 말하는 2016년 사이버보안
  |  입력 : 2015-12-27 23:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2016년, 정보공유와 협업 바탕으로 국내 및 국외 인텔리전스 확대
[송년 인터뷰] 한국인터넷진흥원 사이버침해대응본부(KISC) 전길수 본부장


[보안뉴스 김경애] 국가 사이버안전 위기관리체계에서 민간영역의 최일선에 서 있는 한국인터넷진흥원(KISA) 사이버침해대응본부(KISC). KISC는 24시간 365일 종합상황실을 상시 운영하면서 침해사고에 대비한 모니터링 업무를 수행하고, 전국 280만개 사이트의 악성코드 삽입 여부와 함께 12개 ISP(Internet Service Provider)의 인터넷 연동구간에 대한 디도스 공격 여부를 탐지한다.


또한, 사이버 위협정보 분석 및 공유 업무와 신규 취약점 신고포상제인 버그바운티도 운영한다. 침해대응 업무로는 감염PC 사이버 치료체계 구축을 위한 전용백신 보급과 악성앱 치료 서비스가 있다. 뿐만 아니라 파밍 사이트 접속 차단과 스미싱 대응 시스템 등 사이버사기 대응과 디도스 공격 피해를 최소화할 수 있는 사이버대피소를 운영하고 있다. 이 외에 침해사고의 국제적 대응을 위한 국제 거버넌스 업무도 담당하고 있다.

이에 본지는 KISA내 KISC의 수장을 맡고 있는 전길수 본부장과의 인터뷰를 통해 연말연시에 주로 발생하는 보안위협과 2016년 중점 추진계획에 대해 들어봤다.

Q. 우선 2015년 성과에 대해 말씀해 주신다면?
다행히도 올해는 3.20사이버테러와 카드사 사태, 한수원 사건과 같은 대형사고는 발생하지 않았다. 아무래도 그간 발생한 보안사고를 통해 보안인식과 탐지체계, 그리고 사전 대비가 이전보다 한층 향상됐기 때문이 아닌기 싶다. 하지만 드러나지 않았거나 이슈화되지 않았을 뿐 피해를 입은 곳은 상당수에 이른다. 그만큼 공격기법이 다양해지고 있기 때문이다. 게다가 다양한 IoT 기기의 보안위협, 스마트폰 공격의 지능화 등으로 인해 대응도 어려워지고 있다. 이러한 IoT, 스마트 기기에 대해 어떤 식으로 보안을 가져가야 할지 연구해야 한다. 무엇보다 기존 대응체계와는 달라져야 한다는 게 기본이다.

Q. 2015년을 되돌아 봤을 때 기억에 남는 보안이슈와 2016년 우려되는 보안위협은?
랜섬웨어는 앞으로도 계속 진화할 것으로 보인다. 아직까지는 랜섬웨어에 대한 명쾌한 해답을 내놓기가 쉽지 않은 상황이다. 공유기를 이용한 디도스 공격도 DNS 공격기법으로 변화하고 있는 추세다. 특히, 웹호스팅의 경우 1~2만개 사이트를 관리하고 있어 이를 노린 공격은 사회적 혼란까지 유발시킬 수 있어 우려된다. 게다가 몇몇 대형 호스팅 업체를 제외환 나머지 업체는 영세하기 때문에 보안에 취약한 곳이 많다. 아울러 스마트폰이 대중화되면서 모바일 취약점도 계속 발견돼 이를 노린 악성코드 공격이 기승을 부릴 것으로 전망된다.

▲한국인터넷진흥원 사이버침해대응본부(KISC) 전길수 본부장

Q. 연말연시를 노린 사이버공격과 이와 관련해 주의해야 할 사항은?
최근 국내에서 네트워크 서버 자체가 랜섬웨어에 통째로 감염된 사건이 발생해 충격을 준 바 있다. 이렇듯 랜섬웨어를 비롯해 모바일을 타깃으로 한 공격도 계속 탐지되고 있어 금융거래와 각종 이벤트가 많은 연말연시에는 더욱 주의해야 한다.

특히, 연말연시에는 택배나 공공기관, 금융기관을 사칭한 스미싱과 보이스피싱, 파밍에 각벼별히 신경써야 한다. 스미싱의 경우 이전보다는 줄었지만, 예년보다 감소한 것일뿐 여전히 많을 뿐더러 사용자들을 속이기 위해 나날이 진화하고 있다.

출처가 불분명한 이메일의 경우에도 사용자가 열어볼 수밖에 없게끔 중요 업무 파일로 위장해서 악성코드를 유포하는 경우가 많다. 공격자 입장에서는 메일을 통한 감염이 손쉬운 방법이라 메일을 통한 악성코드 감염 케이스가 더욱 늘어나고 있다. 이에 이메일 연하장 등이 많이 오는 연말연시에는 평소보다 첨부파일 클릭에 조심해야 한다.

Q. 보다 효과적인 사이버 침해대응을 위해 개선되어야 할 사항이 있다면?
첫 번째는 보안전문인력의 부족이다. 전문성을 갖춘 보안인력이 더욱 많이 양성되어야 한다고 본다. 또한, 악성코드가 유포됐을 때 이를 강제화할 수 있는 근거와 법적 제한 조치가 없어 이를 제재하기 어렵다는 점이다. 이를테면 누군가 악성코드를 유포했다고 가정해 보자. 그 사람에게 인터넷 이용을 허용하는게 맞는지, 그리고 악성코드에 감염된 사이트의 경우 치료될 때까지 일시적으로 차단하는 건 어떤지 등등 또 다른 피해를 예방하기 위해서는 근본적인 측면에서 고민할 필요가 있다고 본다.

Q. 최근 12월에도 북한 추정의 공격이 포착되고 있다는데?
북한 추정의 공격시도는 지속적으로 탐지되고 있다. 아무래도 민간 영역보다는 공공기관이나 군 분야를 타깃으로 한 시도가 많은 것으로 분석된다. 민간영역에서 탐지되는 부분의 경우 기존 북한 추정 공격과의 연관성 및 유사성을 찾는데 중점을 두고 있다.

Q. 일각에서는 유사성만으로 북한의 사이버공격이라고 규정짓는 것에 무리가 있다고 보는 의견도 있다. 이에 대해서는 어떻게 생각하는지?
어떤 보안사고도 100% 누구 소행이라고 확신할 순 없다. 하지만 흔적을 지우고 나갔어도 프로파일링을 통해 북한이라고 추정할 수 있는 정보와 흔적을 알아낼 수 있으며, 북한 IP, 기존 사건의 유사성 등 다각도로 종합 분석해 나온 결과를 바탕으로 하고 있다. 이 부분에 있어서는 국가안보 차원에서 국정원, 미래부, 국방부 등 유관기관과 긴밀히 협력하게 된다. 다만 민감한 사항이 많다 보니 실제 발견한 내용을 구체적으로 발표하는 데 있어 무리가 따르기도 한다. 이로 인해 간혹 오해를 사는 경우가 있는 것 같다.

Q. 보안사고가 발생한 기업들의 공통적인 문제점과 요구되는 자세는?
공격자 입장에서는 똑같은 효과가 있을 때 보안이 높은 담보다는 낮은 담을 넘기 마련이다.기본적으로 보안조치를 잘 해놓고, 공격자들이 최대한 공격하기 어렵고 귀찮게 만들어 놓는 것이 중요하다. 하지만 피해기관을 조사해보면 관리자 패스워드 인증, 보안패치, 권한관리, 관리자 페이지 보안 등 기본적인 보안관리가 미흡한 곳이 대부분이다. 특히, 웹사이트를 개편하거나 게시판이 추가 및 수정될 때는 취약점 점검을 받지 않는 경우가 상당수에 이른다. 이 과정에서 상당히 많은 취약점이 나오기 때문에 이를 간과해선 안 된다.

3.20사이버테러 때도 여러 곳의 공격시도가 있었지만, 보안조치가 잘 되어 있던 곳은 시도에 그쳤고 공격에 성공하지 못했다. 제로데이 취약점을 이용한 공격을 제외하면 어도비나 한글, 윈도우 등 주요 프로그램을 최신 버전으로 업데이트만 하더라도 피해를 최소화할 수 있다. 이와 함께 취약점을 점검할 수 있는 보안조직을 갖추는 일과 예산 투입, 그리고 관리적인 측면에서 보안조직에 대한 권한 부여, 임직원 보안인식 개선 등이 필요하다.

Q. 현재 KISC 수장으로서 가장 큰 애로사항은?
아무래도 KISA의 지방이전에 따른 KISC 잔류 인원 문제가 가장 큰 애로사항이다. 현재 89명은 인터넷침해대응인력으로 업무기능을 인정받아 서울에 남아있게 됐지만 앞으로 필요한 인원에 대해서는 지역발전위원회에서 재검토에 들어간 상황이다. 갈수록 지능화되는 보안위협에 보안사고는 늘어날 전망이며, 이를 위한 인원 충원은 계속 필요한 상황이다. 게다가 보안사고가 발생하면 현장 출동을 해야 하는데, 기업 대부분이 수도권에 몰려 있어 인원 수를 제한할 경우 효율성이 떨어질 수 있다. 이 때문에 잔류인원을 제한하기 보다는 업무 기능적인 측면을 고려하는 시각이 필요하다.

Q. 2016년 주요 계획과 이슈에 대해 설명한다면?
그간 KISA와 KISC를 외부에 많이 알리고 정보를 공유하는데 미흡했던 게 사실이다. 전문성을 갖추고 있어도 민감한 사항이 많아 제대로 공유하거나 발표하지 못했다. 이에 앞으로는 이전보다 더 많은 정보를 알리고 공유하는 개방적인 KISC가 될 수 있도록 노력할 계획이다.

또한, 2016년에는 기존에 5년 이상 노후된 대응 시스템은 교체하는 한편, 유무선 탐지체계, DNS 이상 유무 탐지체계, IoT 탐지체계 구축에 중점을 둘 방침이다.

이와 함께 내년에는 정보공유와 협업 강화에 매진할 예정이다. 정부 3.0 정책에 따라 앞으로는 추진하고 있는 사이버위협 공유체계인 C-TAS(Cyber Threats Analysis System)와 국내 보안업체와 함께 사이버위협 정보를 공유하는 인텔리전스를 더욱 확대해 나갈 방침이다. 그동안은 수동적인 공유였다면 앞으로는 서로의 니즈를 파악하고 맞춰줄 수 있는 합의점을 찾음으로써 능동적인 공유가 될 수 있도록 할 계획이다. 결국 사이버위협의 효과적인 대응을 위해서는 협업이 무엇보다 중요하기 때문이다.

특히, 그간 업무협약(MOU)을 맺은 글로벌 보안기업과도 협업할 수 있는 해외판 인텔리전스를 추진할 예정이며, 국내와 국외 인텔리전스 전체를 아우를 수 있는 협의체도 생각하고 있다. 갈수록 지능화되는 사이버공격에 맞서 양질의 데이터를 서로 공유한다면 사이버위협 대응이 좀더 원활할 수 있을 것으로 기대된다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)