[보안칼럼]신종 보안위협 대응, 세 가지 방안

2021년 미국 대형 송유관 업체 A사가 랜섬웨어에 감염돼 동부 지역 에너지 공급체계의 45%가 마비, 국가적 피해가 발생했다. 지난해에는 유명 해커 조직이 글로벌 정보기술(IT) 기업 B사의 정보를 유출, 세상을 시끄럽게 했다. 이들 2개 사례의 해킹사고는 해커가 임직원의 업무환경에서 해킹을 시도했다는 공통점이 있다. 이는 언제 어디서나 원격으로 데스크톱 가상화(VDI), 가상사설망(VPN)을 통해 업무환경 접근이 가능해지면서 늘어난 공격방식이다.

세계적으로 금융, 서비스, 제조 등 다양한 산업영역에서 수억 단위의 개인정보 유출 사고가 발생하고 있다. 기업의 인프라 환경이 클라우드로 이동하면서, 클라우드 관리자의 권한을 탈취해 정보를 유출하는 방식이 늘고 있는 것이다.

업무환경과 인프라 환경이 변화함에 따라 보안 공격이 급증했다. 기존 사용자 인증과 네트워크 경계 중심의 보안위협 탐지 체계로는 효과적 대응이 어렵기 때문에 새로운 방식의 접근이 필요하다.

첫째 원격근무 등 변화하는 업무환경에서 강화된 엔드포인트 보안체계를 마련하기 위해선 사용자 인증 과정에서부터 위협을 탐지하고 대응하는 것이 필수다. 업무환경 접속 과정에서 단문메시지서비스(SMS), 이메일 등 사용자 인증을 해야 하는데 해커는 이메일 계정까지 훔치는 등 다양한 방법으로 사내 시스템에 접속한다. 해커가 임직원과 동일한 업무환경에 들어가면 정보 유출, 랜섬웨어 감염 공산이 크게 높아진다. 따라서 사용자 인증을 시도할 때 전후 사정 파악이 중요하다. 예를 들어 오후 6시까지 국내에서 업무를 수행한 임직원이 이튿날 밤 1시에 미국에서 시스템에 접속했다면 해킹을 의심해볼 수 있다.

사용자 인증 과정 이후에도 △클라우드 업무환경에 해킹도구 설치 △공격대상을 찾기 위한 스캐닝 활동 △평소 통신한적 없는 사내 시스템에서 네트워크 트래픽이 발생하는 등의 이상징후는 해킹 시도일 확률이 매우 높다.

임직원 대상 보안 인식 개선 활동도 필요하다. 보안사고 예방 차원에서 지속적인 교육을 제공해야 한다. 기업은 해킹메일 모의훈련 등을 통해 임직원 스스로가 외부 위협을 인지하고, 보호할 능력을 길러 줄 수 있다.

둘째 클라우드 인프라 이해를 바탕으로 클라우드 접근 권한 및 계정 정보에 대한 이상징후 탐지·대응 체계를 마련해야 한다. 클라우드에서는 서버·미들웨어 인프라를 추가하고, 관련 설정 변경을 클릭 몇 번으로 쉽게 할 수 있다. IT 관리자 입장에서는 상당한 이점이지만 관리자가 실수하거나 고의로 인프라 접근 권한을 변경한다면 보안사고로 연결될 확률이 커진다. 인프라 설정 변경 이전의 사전 승인과 같은 관리체계 강화만으로는 문제가 해결되지 않는다.

셋째 이상징후 탐지 보안 솔루션 도입과 이를 제대로 활용해서 탐지된 이상징후 유형별로 신속·정확하게 대응할 수 있는 전문가 및 프로세스를 확보해야 한다. 최근 PC, 스마트폰 등 다양한 업무 디바이스에서 발생하는 이상징후를 모니터링해서 사고를 방지하기 위해 개발한 '엔드포인트 탐지·대응(EDR) 솔루션' '클라우드 이상탐지 솔루션' 등이 출시되고 있다. 이상징후 탐지 솔루션은 오류가 아닌데 오류라고 잘못된 판정을 하는 오탐, 오류를 탐지하지 못하는 미탐이 발생할 수밖에 없다. 이 때문에 보안 전문가가 기업 업무의 특성과 솔루션에 대한 깊은 이해를 바탕으로 새로운 탐지 규칙을 발전시켜 나가야 한다. 이 과정에서 이상징후 탐지의 정확도를 높이고 오탐·미탐을 줄여 보안 솔루션 운영상 불필요한 노력을 줄일 수 있다.

'기업의 전체적 보안 수준은 가장 약한 지점이 결정한다'고 한다. 사용자 인증, 클라우드 환경에서의 보안을 강조했지만 기업마다 가장 약한 지점은 다를 것이다. 또 가장 약한 지점을 노리는 새로운 형태의 공격방식도 계속 등장할 것이다. 우리의 가장 약한 지점은 어디인지, 이를 어떻게 개선해야 소중한 기업 자산을 보호하고 비즈니스 영속성을 유지할 수 있는지 등 안정적인 보안 환경 구성을 위한 끊임없는 고민이 필요하다.

엄정용 LG CNS 보안/솔루션사업부 담당 jeong@lgcns.com