최근 코로나 19 이후 일상화된 재택 근무 등 업무 환경의 변화로인해 기업에 대한 사이버 위협은 나날히 증가하고 있다. 위협은 지능화되고 조직화되고 있으며, 회사의 기밀 정보를 국내 또는 해외 유출하고 이를 통해 이직을 하거나 높은 값에 판매하는 경우가 증가하고 있다. 최근 발생하는 보안사고의 경우 내부 직원 공격, 외부 해커 공격, 업무상 배임 세 가지의 특징으로 구분된다.
최근 보안사고 특징
Ⅰ. 내부 직원 공격
사내 직원의 기밀자료 대량 접근 → 이상행위 모니터링 필요
재택 근무 등 원격접속 악용
최직전후, 경쟁사로 자료 유출
Ⅱ. 외부 해커 공격
사내 직원의 계정정보 탈취
직원 계정으로 기밀자료 대량 접근
→ 이상행위 모니터링 필요
유출 데이터로 협상요구
Ⅲ. 업무상 배임
사내 직원 보안 수칙 미준수
기밀 자료 P2P, Cloud 공유
기밀자료 개인 Email 보관
사이버 공격 단계
Ⅰ. (최초 침투 단계) 해커는 공격대상 기업의 사용자 계정 등을 다크웹 등에서 구입하거나 업무 관련으로 위장한 악성 메일을 보내 계정을 수집하는 등 다양한 방식을 활용하였으며, 일회용 비밀번호 등의 추가 계정 인증 요구도 우회하는 형태를 보였다.
Ⅱ. (내부망 침투 단계) 내부 시스템에 침투한 이후, 다수 계정‧단말을 관리하는 중앙서버 또는 기업 내 프로그램 관리 서버 등에 접속하여 추가 정보 습득을 위한 악성코드를 배포하는 방식 등으로 접근하기도 하였다.
Ⅲ. (내부자료 유출 단계) 내부망 침투 이후에는 제품 및 영업 관련 정보 또는 내부 직원 정보 등이 저장된 데이터 수집소에 접근한 뒤 관련 파일을 확보하여 외부 반출하기도 하였다.
단계별 대응 방안
Ⅰ. 최초 침투단계
보안성이 높은 생체인증 등 이중 인증 필수 도입
원격근무시스템 접속 단말/아이피(IP) 사전 승인 정책 도입
인공지능, 빅데이터 기반 직원 계정 활동 이력 추적 및 이상 징후 모니터링 시스템 도입
Ⅱ. 내부망 침투단계
중요서버 접속용 관리자 단말 지정 및 생체인증 등 이중인증 적용
최초 접속 계정과 다른 계정으로 서버 접속 등 비정상 이용 모니터링 강화
내부망 공격에 주로 사용되는 악성코드 실행, 로그삭제 행위 등 점검 강화
Ⅲ. 데이터 유출단계
사용자별‧데이터별‧이용행태별 접근권한, 반출정책, 이용정책 등 차등 관리
대용량, 반복적 반출 계정에 대한 모니터링 및 차단
사전 승인 없이 데이터‧서버에 접근하려는 이상행위 등 접속 이력 관리를 위한 인공지능 기반 상시 모니터링 시스템 도입
최근 코로나 19 이후 비대면 재택 근무 환경이 일상화되면서 기업에 대한 사이버 위협은 그 방법과 숫자가 지속적으로 증가하고 있다. 이에 대응하기 위해서는 기업의 적극적인 노력과 투자가 필수적이다. 고도화된 사이버 범죄는 기술적인 해킹을 넘어서 조직 내 임직원의 부주의를 악용해 기업의 기밀 자료를 탈취하는 수준까지 이르렀다.
특히 랜섬웨어 공격과 같은 경우, 기업의 중요한 데이터와 시스템을 마비시켜 금전을 요구하는 협박으로 이어지며, 피해 금액이 기하급수적으로 증가하고 있다. 더불어, 해커들은 다크웹에서 기업의 계정 정보를 구입하거나 직원들을 대상으로 한 스피어 피싱(Spear Phishing) 공격을 통해 초기 침투에 성공하고, 이를 통해 점점 더 치밀하고 은밀하게 내부 시스템에 접근하고 있다.
기업은 이러한 위협에 대응하기 위해 기존의 보안 시스템을 강화하는 것뿐만 아니라, 인공지능(AI)과 빅데이터를 활용한 이상징후 모니터링을 통해 잠재적인 위험을 사전에 탐지하고 차단하는 전략을 필수적으로 도입해야 한다. 예를 들어, 사용자의 비정상적인 데이터 접근이나 반출 행위를 실시간으로 감지하여 즉각적인 대응을 할 수 있도록 하는 AI 기반 보안 시스템이 그 어느 때보다 절실히 요구되고 있다.
미래의 비즈니스 환경에서 생존하기 위해서는 단순한 방어 체계를 넘어 적극적인 보안 전략과 지속적인 시스템 모니터링이 필수적이다.
출처: 최근 사이버위협 동향 및 대응방안, 과학기술정보통신부
Comments