[서울=뉴스핌] 김지완 기자 = 국내 사이버 보안이 예방과 사후조치에만 집중, 중간단계 방어망 구축이 시급하다는 주장이 나왔다.

한국인터넷진흥원(KISA)은 지난 26일 '최근 침해사고 동향, 우리에게 필요한 변화' 주제로 기자간담회를 열고 이같이 주장했다.

인터넷진흥원은 올 상반기 주요 해킹 사고와 관련해 △데이터베이스 삭제로 인한 홈페이지 업무 정지 △백업데이터 암호화로 복구 불가 △서버 정보 탈취 및 금전요구 협박 등에서 피해 사례가 파악됐다고 밝혔다.

◆ 기존 보안망 헛점 투성이...'망'분리도 안전하지 않아

인터넷진흥원은 기존 보안 체계에 많은 취약점이 있다고 지적했다. 

이재광 인터넷진흥원 침해사고분석팀장은 "망분리만 하면 해킹위험을 차단할 수 있다고 하지만, 완벽하게 차단할 수 없다"면서 "폐쇄망에 있는 서버도, 업무과정에서 수정이 이뤄질 수밖에 없다. 수정을 위해 만들어놓은 '비상로'를 해커가 다 찾는다"고 망분리 보안정책의 취약점을 지적했다.

이어 "임의 보안정책 변경에 의한 내·외부 망간 접점이 생성되는 문제도 있다"고 덧붙였다.

이재광 한국인터넷진흥원 침해사고분석팀장이 26일 서울 서초구 강남대로 기자간담회에서 '최근 침해사고 동향, 우리에게 필요한 변화'를 주제로 발표하고 있다.[사진=한국인터넷진흥원]

유지보수를 위한 공급망도 해커들의 주요 침투 경로로 파악됐다.

그는 "해커들은 공급망 해킹을 통해 유지·보수 고객정보, 호스팅정보(계정)를 파악한다"며 "또 프로그램 소스 코드를 탈취해 취약점을 찾는다. 이는 해당 프로그램을 사용하는 기업 공격에 이용한다"고 설명했다.

보안에 완벽한 프로그램으로 알려진 '엑셀' 등을 이용해서도 공격이 이뤄진다고 부연했다.

이 팀장은 "최근에는 MS오피스 프로그램(엑셀)을 이용한 공격이 많다"며 "프로그램 자체는 문제 없지만 매크로 기능 실행을 유도한다. 매크로 실행을 누르는 순간 악성코드가 설치된다"고 분석했다.

이어 "첨부파일을 열어 감염이 되면 해커는 해당 PC에는 관심없고, 기업에서 사용하는 AD( Active Directory·기업에서 사용하는 수백대의 PC를 AD에 연결)와 같은 중앙관리서버에 관심을 가진다"면서 "AD를 장악하면 연결된 PC 전체를 마음대로 조종할 수 있다. 해커가 AD를 장악했다는 건 기업의 심장을 가지고 나간 것과 같다"고 심각성을 강조했다.

◆ "중간단계 보안체계 구축 필요...국내기업 중간단계별 식별 능력 부족"

기존 보안 정책의 취약점을 극복하기 위해선 중간단계 보안망 구축이 필요하다는 주장이다.

이재광 팀장은 "현재 국내 기업들의 보안 조치는 최초 단계와 최종 단계 모니터링에만 집중돼 있다"며 "하지만 해킹엔 여러 과정이 필요하다. 그럼에도 기업들은 해커의 해킹 중간 단계별 위협을 식별하는 체계가 부족하다"고 지적했다.

이어 "방어자인 기업들이 해킹과정 중간에 개입하는 노력이 필요하다"고 강조했다.

이는 해커들이 단번에 기업 전산망에 침투할 수 없기 때문이다.

그는 "해킹 공격이 진행되는 동안 많은 이벤트가 발생한다"면서 "해커도 학습하는 시간이 필요하기 때문"이라며 중간단계 방어체계 실효성을 부연했다. 

중간단계 방어체계 구축을 위해선 평상시 발생하는 이벤트를 정확히 파악해야 된다.

이재광 팀장은 "보안책임자는 평상시 내부에서 발생하는 이벤트를 수집해 정상과 비정상을 분리하는 안목을 키우는 훈련이 필요하다"며 "어떤 게 정상인지 아닌지는 기업 서버를 담당하는 운영자만이 알 수 있다. 해커의 행위는 확실히 정상적인 이벤트와 차이가 있다"고 목소리를 높였다.

swiss2pac@newspim.com