과기부 "이중인증 강화, 접근권 차등부여 등으로 해킹 예방해야"
사이버위협정보 공유채널 가입, 취약점 정보 포털 사용 등도 제안
(서울=연합뉴스) 정윤주 기자 = 최근 외국 해킹 그룹 랩서스(LAPSUS$)의 삼성전자[005930], LG전자[066570] 등 대기업에 대한 해킹, 다크웹 등을 활용한 해킹 등이 늘어나는 가운데 정부가 이들 사례의 유형을 분석하고 단계별 대응방안을 제안했다.
과학기술정보통신부(과기정통부)는 최근 발생한 국내외 침해 사고를 분석한 결과 외부로부터의 사이버 공격은 최초 침투 단계, 내부망 침투 단계, 데이터 유출 단계 등 3단계 중 하나에서 일어났다고 7일 분석했다.
'최초 침투 단계'는 해커가 다크웹에서 직원 계정을 구입하거나 업무 관련으로 위장한 악성메일을 통해 직원 계정을 수집하고, 일회용 비밀번호 등 추가 계정 인증을 우회하는 방식이다.
기업 내부 시스템에 침투해 중앙서버나 프로그램 관리 서버에 접속하고 이후 악성코드를 배포하는 방식은 '내부망 침투 단계'로 파악된다.
내부망 침투 이후 제품 및 영업 관련 정보나 내부 직원 등이 저장된 데이터 수집소에 접근해 이런 정보를 외부 반출하는 경우 '내부 자료 유출 단계'로 분석된다.
과기정통부는 이 같은 침해사고가 업무 효율을 우선시하면서 기본 보안 수칙을 간과해 발생한 것이라고 지적했다.
과기정통부는 최초 침투 단계의 보안을 강화하기 위해서는 이중 인증을 반드시 사용해야 하고, 이메일 인증보다 생체인증 또는 모바일 앱 등을 활용한 소유 기반 인증을 사용하는 게 좋다고 권유했다.
원격근무 시스템에 접속할 때는 사전 승인된 단말 또는 IP의 접속만 허용하고, 관리자 계정을 별도 선별해 활동 이력을 추적하는 정책도 필요하다고 봤다.
내부망 침투 단계의 보안을 강화하려면 특정 관리자 단말기에서만 중앙관리서버 또는 패치관리서버 등에 대한 접속을 허용하고, 내부 시스템에 대한 관리자 접속 인증에도 생체 인증 등 이중 인증을 적용하는 게 좋다고 설명했다.
동일한 PC에서 최초 사용자 접속 계정과 서버 접속 계정이 다른 경우 권한에 맞지 않는 비정상 접근 시도를 판별하는 시스템을 구축해 접속을 차단하는 등 모니터링을 강화해야 한다고도 덧붙였다.
데이터 유출 단계에서의 해킹을 막으려면 주요 자료가 저장된 시스템에 대한 접근 권한을 차등해 부여해야 하고, 대량·반복적으로 데이터 외부 반출을 시도하는 사용자를 차단해야 한다고 설명했다.
이밖에 과기정통부는 사이버위협정보 공유채널(C-TAS 2.0) 가입과 취약점 정보 포털 사용, 사이버 위기대응 모의훈련 참여 등도 제안했다.
김정삼 과기정통부 정보보호네트워크정책관은 전날 열린 기자간담회에서 해커그룹 랩서스의 삼성전자와 LG전자에 대한 해킹 관련 질문에 대해 "삼성전자와 LG전자 해킹 신고는 3월 7일과 3월 22일 각각 신고가 접수됐다"고 설명했다.
그는 "특정 기업의 사고를 구체적으로 말하기는 어렵고, 과기정통부는 신고가 접수되면 전문가 네트워크를 활용해 유출 경로, 유출 자료 등을 분석한다. 현재까지는 취약점이 발견되지 않았지만, 지속 점검이 필요하다"고 답했다.
jungle@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>