[CIOCISO매거진 김진석 기자] 최근 외국 해킹 그룹 랩서스(LAPSUS＄)의 삼성전자, LG전자 등 대기업에 대한 해킹, 다크웹 등을 활용한 해킹 등이 늘어나는 가운데 과기부가 이들 사례의 유형을 분석하고 단계별 대응방안을 7일 제안했다.

과기부는 이날 외부로부터의 사이버 공격은 최초 침투 단계, 내부망 침투 단계, 데이터 유출 단계 등 3단계 중 하나에서 일어났다고 분석했다.

'최초 침투 단계'는 해커가 다크웹에서 직원 계정을 구입하거나 업무 관련으로 위장한 악성메일을 통해 직원 계정을 수집하고, 일회용 비밀번호 등 추가 계정 인증을 우회하는 방식이다.

기업 내부 시스템에 침투해 중앙서버나 프로그램 관리 서버에 접속하고 이후 악성코드를 배포하는 방식은 '내부망 침투 단계'로 파악된다.

내부망 침투 이후 제품 및 영업 관련 정보나 내부 직원 등이 저장된 데이터 수집소에 접근해 이런 정보를 외부 반출하는 경우 '내부 자료 유출 단계'로 분석된다.

과기부는 이 같은 침해사고가 업무 효율을 우선시하면서 기본 보안 수칙을 간과해 발생한 것이라고 지적했다.

이에 최초 침투 단계의 보안을 강화하기 위해서는 이중 인증을 반드시 사용해야 하고, 이메일 인증보다 생체인증 또는 모바일 앱 등을 활용한 소유 기반 인증을 사용하는 게 좋다고 권유했다.

원격근무 시스템에 접속할 때는 사전 승인된 단말 또는 IP의 접속만 허용하고, 관리자 계정을 별도 선별해 활동 이력을 추적하는 정책도 필요하다고 봤다.

내부망 침투 단계의 보안을 강화하려면 특정 관리자 단말기에서만 중앙관리서버 또는 패치관리서버 등에 대한 접속을 허용하고, 내부 시스템에 대한 관리자 접속 인증에도 생체 인증 등 이중 인증을 적용하는 게 좋다고 말했다.

동일한 PC에서 최초 사용자 접속 계정과 서버 접속 계정이 다른 경우 권한에 맞지 않는 비정상 접근 시도를 판별하는 시스템을 구축해 접속을 차단하는 등 모니터링을 강화해야 한다고도 덧붙였다.

데이터 유출 단계에서의 해킹을 막으려면 주요 자료가 저장된 시스템에 대한 접근 권한을 차등해 부여해야 하고, 대량·반복적으로 데이터 외부 반출을 시도하는 사용자를 차단해야 한다고 설명했다.

이밖에 과기정통부는 사이버위협정보 공유채널(C-TAS 2.0) 가입과 취약점 정보 포털 사용, 사이버 위기대응 모의훈련 참여 등도 제안했다.