한국이 세계 최고 지능형지속위협(APT) 공격에 노출됐다. 록키 랜섬웨어 탐지율도 최고 수준이다.
파이어아이코리아(대표 전수홍)는 14일 코엑스인터컨티넨탈 호텔에서 `사이버디펜스라이브 2016`을 열고 국내 사이버 공격 현황을 발표했다. 그레디 서머스 파이어아이 최고기술책임자(CTO)는 지난해 하반기 동안 국내 기관 중 38%가 APT 공격 표적이었다고 밝혔다. 세계 평균 15%의 두 배에 달한다. 파이어아이는 13개 APT 그룹이 한국을 집중 타깃해 활동 중이라고 분석했다. 이 외에 아직 분류되지 않은 20여개 조직이 있다.
한국을 노린 공격그룹은 첨단산업 지식재산권을 탈취하거나 정치 목적을 가졌다. 주로 첨단기술 산업과 조선업계를 노렸다. 서머스 CTO는 “공격자는 한국 선진 기술을 확보해 중국 첨단 산업과 통신업 등에 공급을 시도한다”며 “남북한 긴장 상황에서 북한으로 추정되는 APT 그룹이 비즈니스를 방해하는 공격을 감행한다”고 설명했다.
그는 “과거 중국에 기반을 둔 조직은 해킹이 발각당하는 것을 두려워하지 않았다”며 “최근에는 PC가 아닌 네트워크 장비에 백도어를 심는 등 은닉형 고난위 공격을 하고 있다”고 말했다.
한국은 3월 초 나타난 록키 랜섬웨어 탐지율도 세계 3위에 드는 불명예를 안았다. 미국 1위, 일본 2위, 한국이 3위를 기록했다. 발달된 인터넷 인프라 대비 낮은 보안 솔루션 보급률과 인식 탓이다. 공격자는 수익률이 높은 시장으로 한국을 지목했다.
전수홍 파이어아이코리아 대표는 “3월 한 달간 국내 고객에서 10만건 이상 록키 랜섬웨어가 탐지됐다”며 “이메일 탐지 건수에 한정된 수치로 웹을 통한 유포까지 더 하면 엄청난 피해가 예상된다”고 설명했다.
파이어아이는 로펌을 노린 사이버 공격을 경고했다. 서머스 CTO는 “로펌은 주요 기업 인수합병(M&A) 정보를 비롯해 법적 이슈, 지식재산권을 다량으로 보유했지만 보안은 취약하다”며 “가치가 높은 정보를 얻으려는 공격자의 타깃”이라고 강조했다. 그는 “기업 내 서비스에 접근할 때 이중 인증을 이용하고 가시성을 확보하라”고 조언했다.
협력사 보안도 강조했다. 서머스 CTO는 “협력사(외주 서비스 제공자)를 경유한 공격이 지속된다”며 “기업 보안을 잘해도 허술한 협력사가 약한 고리”라고 강조했다. 그는 “협력사가 보안 체계를 이해하고 있는지 확인하라”며 “기업 네트워크 접속도 조직 내 직원과 동일하게 엄격한 정책을 적용해야 한다”고 덧붙였다.
서머스 CTO는 “협력사가 기업 네트워크에 연동해 서비스를 제공할 때 하드웨어 기반 토큰이나 휴대폰 문자메시지로 전달되는 다중 인증을 사용하라”며 “권한이 있는 계정을 지속 모니터링해야 한다”고 말했다. 그는 “기업이 협력사와 계약을 할 때 총소유비용(TCO)를 평가하는데 이제는 보안 수준을 봐야 한다”며 “협력사가 자체 인프라를 어떻게 방어하고 있는지도 꼼꼼히 따져야 한다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com