보안당국, “1년째 ‘주의단계’유지 불구, 사이버 위협 날로 늘어”
“기본 보안수칙 외에 서버, PC, IoT, NAS 보안 철저 기해야”
러-우크라전 여파 사이버위협 장기화, “특히 중소기업 보안” 당부
[애플경제 박문석 기자] 보안 당국이 국내 기업들을 위한 긴급 보안점검을 권고하는 한편, 스피어피싱 악성코드에 대한 경보를 발했다. 이는 연초 들어 사이버 위협이 한층 심해지고 있다는 판단에서다.
우크라이나와 러시아 전쟁이 발발한 직후인 지난해 3월 당시 금융보안당국은 국내․외 사이버위협 고조로 인한 사이버 위기경보 ‘주의 단계’를 발령했다. 그러나 1년이 가깝도록 여전히 해킹 등 사이버위협이 지속되거나, 오히려 늘어나고 있다.
이에 한국인터넷진흥원, ‘인터넷 보호나라’ 사이트, 금융보안원 등은 ‘사이버위협 장기화에 따른 기업해킹 예방을 위한 보안점검 권고’를 발했다. 또 금년 들어 기승을 떠는 스피어피싱 이메일을 송부하여 악성코드를 다운로드 받도록 유도하는 ‘스카크럽트’(ScarCruft) 그룹의 수법을 분석하고, 그 대응방법을 제시했다. 이는 메신저 채널에 위장 잠입하여 악성앱 설치를 유도하기도 한다.
디바이스, 프로세스별로 각기 다른 보안권고
국내 기업들의 사이버 보안을 위해 우선 보안당국은 디바이스와 프로세스에 따라 각기 다른 보안권고사항을 권하고 있다.
이에 따르면 우선 ‘공통 보안 강화’책으론 ▲사용하지 않는 시스템은 전원을 종료하여 해킹 경로로 활용되는 것을 사전 방지하고, ▲중요 파일 및 문서 등은 네트워크와 분리된 오프라인 백업을 할 것을 권고하고 있다.
또 ▲유추하기 어려운 패스워드, 즉 숫자나, 대소문자, 특수문자를 조합한 8자리 이상을 사용하는 등 관리를 강화하고, ▲사용하지 않는 네트워크 서비스는 비활성화하고, 인가된 관리자만 접속할 수 있도록 방화벽 등에서 접근제어를 설정할 필요가 있다. 특히 ▲신뢰할 수 있는 최신 버전의 백신을 설치하고, 실시간 감지를 하도록 하며, 정기적으로 검사를 진행해야 한다.
서버 보안 강화, 특히 중요
서버 보안도 한층 강화해야 한다는 주문이다. 우선 ▲보안 지원이 종료된 운영체제 및 소프트웨어는 신속하게 업그레이드를 수행하고, 매월 운영체제 및 주요 프로그램(메일, 웹, JAVA 등)의 보안 업데이트를 확인 적용토록 한다. 이와 함께 ▲기본 원격포트(22. 3389) 사용을 자제하고, OTP 등을 통한 추가 인증을 강화하고, ▲VPN 장비를 운영하는 경우, 허가된 사용자와 단말기만 업무망에 접근할 수 있도록 설정하고, OTP 등 이중인증체계를 도입, 인증을 강화한다.
만약 ▲다수의 서버를 운영하는 경우 내부 서버 간 원격접속이 불가능 하도록 접근 제어를 설정해야 하고, ▲AD 인프라를 운영 중인 기업의 경우, 관리자 그룹 계정을 최소화하고, 관련 PC의 인터넷망을 분리 운영하는게 바람직하다. 또 ▲주요 관리자 PC에 대한 주기적인 보안 점검 및 인터넷망 분리 운영이 필요하고, ▲외부에 개방된 DB서비스(MSSQL, MYSQL 등) 접근을 차단하고, 불필요하게 외부에 연결된 원격 접속 서비스의 접근을 차단하는게 좋다.
▲DB를 처음으로 설치할 때는 기본 관리자 패스워드를 반드시 변경한 후 사용하고, 사용하지 않는 계정은 비활성화한다. 또 ▲ 랜섬웨어 공격에 대비하기 위한 백업 보안체계도 강화해야 한다.
PC 보안, 한층 강화 필요
PC보안도 한층 강화할 필요가 있다. 즉 ▲피싱 메일에 주의하고 본문 링크를 클릭하거나, 첨부파일을 다운로드하거나, 실행하는 것을 주의하고, ▲매월 웹브라우저, Flash, Java 등 운영체제나 주요 프로그램의 보안 업데이트를 확인, 적용해야 한다. 이 밖에도 ▲상용 메일을 통한 주요 업무 자료의 송․수신을 금지하되, 불가피한 경우, OTP를 설정하거나 허가된 사용자의 단말기를 추가하는 등의 방법으로 인증을 강화한다. 또 ▲웹하드나 P2P 사이트를 통한 불법 다운로드를 금지하도록 한다.
외장하드 NAS 보안도 철저 기해야
외장하드 디스크 NAS의 보안도 강화하기 위해 ▲최초 설치 시에 기본 관리자 패스워드는 반드시 변경 후 사용하도록 하고, ▲자동 업데이트를 활성화하여 최신 펌웨어를 유지하는 것도 중요하다. 또 ▲인터넷을 통한 직접 접속은 차단하고, 사내망에서 운영하는 것이 바람직하다. 다만 불가피한 경우, 장비의 비밀번호 관리나 백업, 보안 업데이트 등 철저한 관리가 필요하다.
IoT 보안강화도 중요
기업들의 디지털트윈이 날로 보급되면서 IoT보안도 강화할 필요가 있다. 이를 위해 ▲ IoT관리자 페이지를 초기 설정하고, 비밀번호 변경 후 사용한다. 또한 ▲불필요한 SSH 등 포트 사용을 중지한다. 다만 불가피한 경우, 장비의 로그인 계정을 관리자 로그인 계정과 다른 값으로 설정하도록 한다.
한편 ‘인터넷보호나라’는 특히 중소기업들의 보안을 위한 점검 및 보안서비스를 제공하고 있다.
이에 따르면 중소기업들이 ‘홈페이지 취약점’을 점검하기 위해선 '인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr)→보안서비스→중소기업홈페이지보안강화(websecurity@krcert.or.kr, 02-405-5665)를 이용하면 된다.
또 ‘서버 보안 취약점’은 ‘인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 보안서비스→ 내서버돌보미(servercheck@krcert.or.kr, 02-6715-2332)’를 이용해 점검하면 된다. 특히 ‘DDoS’ 공격이 발생될 경우는 ‘인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 보안서비스→ 중소기업홈페이지 보안강화(antiddos@krcert.or.kr, 02-405-4769)의 절차를 이용하면 된다.
중소기업뿐 아니라, 일반기업이나 시민들이 사이버 침해사고를 당한 경우는 한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911, certgen@krcert.or.kr)로 신고하면 된다. ※ 'KISA 인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 상담 및 신고→ 해킹사고
<출처 : 인터넷진흥원 침해대응단 종합상황실>
― (‘스카크럽트’(ScarCruft) 그룹 관련 기사는 다음 회(2-2)에 계속 ―