올해 기업 보안 전략에는 다른 관점이 필요하다. 코로나19 여파로 사회가 디지털로 전환하고 공공과 민간 비대면 서비스가 급증하면서 새로운 보안 위협이 끊임없이 증가하고 있다. 특히 정부 기관과 기업 대상 해킹 수법은 점점 더 고도화, 보안 대책을 선제 마련해야 한다.
라온화이트햇 '2021년 보안 위협 전망 톱5'에 따르면 기업과 기관을 겨냥한 지능형지속위협(APT) 공격이 올해도 지속하는 한편 기업 핵심 업무 클라우드 이전이 가속되면서 새로운 보안 사각지대가 발생할 것으로 예상된다. 또 재택근무를 타깃으로 취약 네트워크 공격을 통한 중요 데이터 유출 위험도 증가할 것으로 전망된다.
이랜드그룹 랜섬웨어 공격이나 미국 솔라윈즈를 통한 공급망 공격과 같이 지난해 말 국내외를 뒤흔든 주요 해킹 사고를 보면 해킹을 당하고도 피해 사실을 인지하지 못한 채 오랜 기간 데이터가 지속 유출, 피해가 커지는 경우가 많았다. 기관이나 기업에서는 보안 위협 발생 시 각 위협을 단계별로 탐지해서 공격 단계를 시각화해 보여 주는 '사이버 킬 체인' 기술이나 보안 시스템에 다중 방어막을 설치하는 '레이어드 시큐리티' 개념을 적용해 네트워크, 엔드포인트, 애플리케이션(앱), 데이터 계층별로 체계화한 보안 대책을 마련해야 한다.
정기 모의해킹 실시를 통해 취약점을 분석하고 보완하는 등 노력도 구체화해서 수반돼야 한다. 기업 정보보안은 주로 방어 관점에서만 이뤄지는 경우가 많다. 그러나 사이버 공격에 선제 대응하기 위해서는 공격자 관점에서 공격 가능한 모든 포인트를 찾아내 실제 발생 가능한 사이버테러 시나리오를 작성하고, 이를 기반으로 보안 전략을 수립하는 것이 중요하다. 공격 수법이 갈수록 지능화함에 따라 기존 모의 해킹과 더불어 화이트해커 같은 전문가 보안 컨설팅과 심화 모의 해킹도 병행할 필요가 있다. 최신 공격 동향을 파악해 유사한 상황으로 진단을 수행하고 이메일 APT 등 테스트를 통해 내부 직원 보안 수준을 점검하는 심화 모의 해킹을 통해 기업의 중요 정보를 탈취하거나 서비스를 마비시키려는 블랙해커 공격을 사전에 차단할 수 있다.
코로나19 장기화로 비대면 업무 환경이 확대됨에 따라 업무 메일이나 원격 시스템 로그인 페이지 등으로 위장한 다양한 형태의 사이버 보안 위협이 증가할 것으로 예상되면서 그에 대비한 보안 대책 마련과 임직원 교육 또한 필요하다. 적절한 보안 시스템이 갖춰지지 않은 비대면 업무 환경에서 가장 취약한 부분은 바로 '개인'이다. 개인 부주의로 인한 작은 실수가 기업에 심각한 보안 사고로 이어질 수 있기 때문이다.
최고의 방어책 역시 개인이 될 수 있다. 취약한 네트워크 이용 피하기, 의심되는 웹사이트는 인터넷주소(URL)와 도메인 창 자물쇠 표시 확인하기, 모바일 백신 설치하기 등 사소하지만 중요한 보안 수칙을 개개인이 철저히 준수한다면 기업 전체 보안 수준을 향상할 수 있다.
정부 지원도 빼놓을 수 없다. 다행히 정부가 지난해 7월 발표한 디지털 뉴딜 계획에 수행 과제의 하나로 'K-사이버방역 체계 구축'가 포함돼 보안 대응에 다소 취약한 중소기업을 위한 보안 투자 지원책이 마련되고 있다. 이와 더불어 장기 관점에서 정부가 좀 더 적극 전문 정보보안 인력을 양성하고, 보안 관련 연구를 지속 수행할 수 있는 환경 조성이 요구된다. 이를 통해 정보보안 전문 인력 부족, 인력 간 역량 격차 등 문제를 해결하고 사회 전반에 걸친 사이버 보안 수준을 강화할 수 있다.
기업 보안 수준을 업그레이드하는 것은 결국 개인과 고객, 나아가 국가 보안 수준 향상과 직결된다. 코로나19로 인해 가속된 디지털 시대 도래를 기회로 삼아 기업과 개인, 정부가 포스트 코로나 시대를 대비한 K-사이버 방역을 위해 힘을 합칠 때다.
최정수 라온화이트햇 핵심연구팀장 jschoi@raoncorp.com