“은행에 관한 IT 접근 권한이 지하 거래 시장에서 단돈 500달러에 거래되는 것도 목격했습니다. 흔하고 사소한 악성코드 감염을 간과하고 넘어가다가 감염 채널과 정보 등이 지능형 공격자에게 넘어가면 대형 침해사고로 이어질 수 있습니다.”
브라이스 볼랜드 파이어아이 아태지역 CTO는 봇넷 감염과 랜섬웨어 등 `일상적`으로 발생하는 사이버 공격과 고도화된 `지능형` 공격을 구분하지 않고 모두 주의 깊게 탐지해야 한다고 강조했다. 유출되더라도 중요치 않게 여겨지는 사소한 정보와 연결이 살아있는 악성코드 명령제어 서버가 지능형 공격이 이뤄지는 단초가 되기 때문이다.
파이어아이는 16일 최근 사이버 공격 주요 표적으로 부상한 금융서비스 산업이 각종 지능형 공격으로부터 대항하는 방안을 제시했다. 올해 초 사이버 공격으로 8100만달러를 탈취 당한 방글라데시 중앙은행 사건 사고 조사에 참여하며 얻은 정보와 지난해 400여건에 달하는 금융권 침해사고 조사에서 얻은 정보 등을 종합해 얻은 교훈이다.
볼랜드 CTO는 “조사를 진행 중인 방글라데시 중앙은행 사건과 북한 배후설 관련 내용은 구체적으로 밝힐 수 없다”면서도 “해당 케이스를 포함해 다양한 금융권 사건에서 발견한 공통 특징을 바탕으로 분석한 것”이라고 말했다.
첫 번째로 제시한 항목은 `적절한 인증정보 관리`다. 관리 계정 활동을 철저하게 모니터링하고 중요 시스템에는 별도 비밀번호를 가진 다중 인증 도메인 사용을 권장했다. 파이어아이가 대응한 거의 모든 침해사고에서 인증정보가 탈취되고 악용됐다.
제대로 된 `망분리` 구축도 강조했다. 대부분 금융업체가 망분리를 적용했지만 적절히 시행되지는 못한다는 지적이다. 허술한 망분리는 사용자에게 보안성을 강화했다는 잘못된 안도감을 준다.
민감한 데이터는 관리가 강화된 생산 시스템 내에서만 사용돼야 한다. 다양한 데이터 유출 사고가 보안 관리에서 비껴간 개발 시스템이나 테스트, 품질보증(QA) 시스템 등에서 발생했기 때문이다.
볼랜드 CTO는 공격자에 의한 침해는 사실상 불가피하다고 강조했다. 침해를 막기 위한 방안뿐만 아니라 침해가 발생했을 때 잘 대응하고 피해를 줄이는 조치가 평소에 잘 준비돼야 한다.
사고 발생 시 모든 주요 네트워크 자산과 애플리케이션에 대한 포렌식 조치는 필수다. 증거 자료를 제대로 확보해야 피해 규모 산정과 공격 경로 파악이 가능하다. 모의해커가 모든 수단을 동원해 주요 시스템에 침투하고 공격해보는 `레드팀 평가`도 추천했다.
대부분 은행이 보유한 수동적인 `보안운영 센터(SOC)`는 지능형 위협을 능동적으로 찾아 대응하는 `사이버 디펜스 센터` 방식으로 전환을 권장했다. 인텔리전스를 활용해 공격자 다음 행위를 예상하고 사전에 침투를 차단하는 방안도 제시했다.
볼랜드 CTO는 “한국의 가장 큰 특징은 아주 가까이에 사이버 공격을 수행하는 적이 있다는 것”이라며 “한국은 기술 의존도가 높은 반면 북한은 기술 의존도가 낮아 공격에 더 취약한 경향도 보인다”고 말했다.
박정은기자 jepark@etnews.com
