220420_유명조달기업
미래부, 올해 기반시설 점검·모의훈련 강화 등 선제적 대응 강화
상태바
미래부, 올해 기반시설 점검·모의훈련 강화 등 선제적 대응 강화
  • 이광재 기자
  • 승인 2015.01.10 12:04
  • 댓글 0
이 기사를 공유합니다

기업, ‘정보보호를 비용 아닌 투자‘로 인식 전환…이용자도 사이버보안 생활화 필요

미래창조과학부가 지난해 발생한 보안위협들이 올해에는 발생하지 않도록 위해 선제적인 대응력을 강화한다는 방침을 세웠다.

특히 정보통신기반시설에 대한 점검, 모의훈련 강화 등을 추진할 방침이라고 강조했다. 더불어 기업들이 정보보호를 비용이 아닌 리스크 관리를 위한 투자로 인식할 수 있도록 하고 일반 국민들이 사이버 보안을 생활화하도록 도울 계획이라고 밝혔다.

미래창조과학부와 한국인터넷진흥원은 2014년의 경우 전세계적으로 많이 사용하는 오픈소스 등에서 高위험 취약점의 연이은 출현, 공유기 등 다양한 형태의 침해사고가 출현하면서 보안위협이 고조됐던 한해로 평가했다.

이에 미래창조과학부와 한국인터넷진흥원은 지난해 발생한 보안 위협을 ▲전자금융사기 및 악성앱 등 모바일 위협 지속 증가 ▲동시 다발성 DDoS 공격 증가 ▲지능적인 악성코드 증가 및 새로운 보안 취약점 빈발 ▲사물인터넷(IoT) 보안 위협 현실화 등 4가지로 정리하고 올해에는 이런 위협에 대비하기 위해 필요한 대책들을 발표했다.

▲ 미래창조과학부가 지난해 발생한 보안위협들이 올해에는 발생하지 않도록 위해 선제적인 대응력을 강화한다는 방침을 세웠다.

먼저 미래창조과학부와 한국인터넷진흥원은 전자금융사기 및 악성앱 등 모바일 위협이 지속적으로 증가하고 있어 이에 대한 대비책을 더욱 강화한다는 계획이다.

미래창조과학부와 한국인터넷진흥원의 조사에 따르면 지난해 악성 앱 탐지건수가 전년(2013년 2351건)대비 72% 증가(2014년 4048건)했고 피싱·파밍·스미싱 차단건수는 전년(2013년 1만311건)대비 50% 증가(2014년 1만5470건)했다.

악성 앱(App) 유포방식은 기존 스마트폰 문자 링크 방식에서 공유기 DNS 변조, 공식 앱마켓을 통한 악성 앱 유포 등 다양화되고 있다.

또한 스미싱 문자의 경우 공공기관(법원, 민원24 등)) 사칭 스미싱(26.2%)이 가장 많았고 지인(23.9%), 택배(22.2%) 등의 순으로 나타났으며 브라질 월드컵(6월 6002건), 추석(9월 6135건) 등 사회적 이슈를 악용한 사례도 확인됐다.

이처럼 스마트폰 이용의 활성화에 따라 모바일 보안 위협이 커지고 있는 가운데 전자금융사기 및 악성 앱 유포가 지속적으로 증가하고 있는 상황이다.

올해에도 공공기관, 지인을 사칭해 이용자를 현혹하거나 사회적 이슈를 악용한 스미싱이 계속되고 문자, 숫자를 직접 입력하도록 해 자동회원가입 등을 방지하는 방식인 ‘캡챠코드(Capcha Code)’와 같은 기존 방식을 탈피한 새로운 방식이 출현하는 등 스미싱 대응이 한층 어려워 질 것으로 전망된다.

또한 모바일 금융서비스가 활성화됨에 따라 이들 서비스의 취약점을 노리는 보안위협도 나타날 수 있으며 PC 환경에서 주로 발생한 램섬웨어 공격이 모바일로 본격 전이될 것으로 예상된다.

이에 따라 미래부와 인터넷진흥원은 악성 앱 모니터링 강화, 신속한 백신 개발 및 공유 활성화 등 모바일 보안을 강화하고 이용자도 피해 예방을 위해 신뢰할 수 없는 사이트는 방문하지 않고 출처가 불명확한 문자·URL을 클릭하지 않는 등 각별한 주의가 필요하다고 당부했다.

2014년에 동시다발적인 분산서비스거부(DDoS) 공격이 증가하기 시작한 점도 올해에 줌점적으로 대비해야할 필요성이 있다.

미래부와 인터넷진흥원에 따르면 웹사이트 주소창에 주소를 입력하면 이를 IP주소로 변환시켜주는 도메인네임시스템(DNS)을 대상으로 한 공격이 다수 웹사이트를 접속을 마비시켰다.

 

이에 지난해 다수의 홈페이지 장애를 동시에 유발하는 DNS 대상 공격, 5G 이상의 파급력 높은 DDos 공격이 발생한 것으로 분석됐다.

지난해 탐지된 DDoS 공격은 총 110건으로 2013년 116건과 유사한 수준이나 5G 이상 공격이 15%(17건)가 발생했고 DNS 대상 공격 비중이 25%(27건)로 큰 비중을 차지하고 있다.

▲ 우리 생활의 모든 사물로 확대되는 사물인터넷(IoT) 환경이 도래하면서 국내에서도 유무선 공유기를 비롯한 홈CCTV 등의 보안취약점을 악용한 침해사고가 발생하는 등 IoT 보안 위협이 등장했다.

올해에도 파급력이 큰 DNS 대상 공격이 지속되고 다량의 패킷을 전송해 시스템의 과부하를 일으키는 공격도 증가 할 것으로 전망된다. 또한 공격방식도 PC뿐만 아니라 서버, IoT 기기 등을 이용한 공격이 증가할 것으로 예상된다.

미래부와 인터넷진흥원은 이에 대응해 기업들이 DDoS 공격을 사전 탐지할 수 있는 시스템을 갖추고 DDoS 공격 발생시 사이버대피소를 활용하는 등 보다 체계적인 DDoS 대응체계를 갖춰야 한다고 강조했다.

기존 수법에 변화를 준 지능적 악성코드가 등장하고 오픈소스 프로그램에서 발견된 보안취약점을 악용한 공격 등이 지난해에 이어 올해도 이슈가 될 것으로 보인다.

지난해 악성코드 유포지는 전년(2013년 4472건)대비 42% 감소(2014년 2583건)했지만 악성코드 경유지는 240% 대폭 증가(2013년 1만3278건→2014년 4만5120건)해 단시간 내 많은 좀비 PC를 확보하기 위한 방법으로 진화한 것으로 나타났다.

이와 함께 지난해에는 보안 취약점의 양적 증가도 많았으나 암호화 통신 프로토콜인 오픈SSL과 에서 발견된 ‘하트블리드’, 리눅스, 유닉스 등에 활용되는 명령 프로그램인 배시셸을 악용한 ‘셸쇼크’ 등 오픈소스 프로그램에서 발견된 취약점들이 전세계적인 문제로 대두됐다.

올해도 단기간에 대량의 좀비PC를 확보하기 위해 다수의 악성코드 경유지를 악용하고 유포채널도 홈페이지 중심에서 이메일, SNS, P2P 등 다양한 방식으로 변화해 나갈 것으로 예상된다.

또한 SW 투자비용 절감효과가 높은 오픈소스 사용이 확대됨에 따라 오픈소스 취약점을 악용한 공격도 늘어날 것으로 전망됐다.

최근 소니픽처스, 한수원 사고와 같이 악성이메일 유포를 통해 주요 정보를 유출해 협박 수단으로 이용하거나 유출정보 공개 등 사회적 혼란을 야기하는 새로운 양상으로 진화하고 있고 특히 지인·업무사칭, 사회적 이슈를 악용하는 등 ‘사회공학적 기법’을 이용한 공격이 시도될 것으로 예상된다.

이에 따라 APT 공격 등에 대비한 주기적인 모의훈련 및 통합보안 체계 구축 등 대응체계를 강화할 필요성이 있으며 이용자들은 최신 보안 업데이트 적용 및 백신 검사 생활화 등의 보안조치 수행이 중요하다고 미래부와 인터넷진흥원은 밝혔다.

사물인터넷(IoT) 보안 위협도 현실화되고 있다. 우리 생활의 모든 사물로 확대되는 사물인터넷(IoT) 환경이 도래하면서 국내에서도 유무선 공유기를 비롯한 홈CCTV 등의 보안취약점을 악용한 침해사고가 발생하는 등 IoT 보안 위협이 등장했다.

가트너에 따르면 웨어러블, 홈가전 및 의료 등 국민 실생활과 밀접한 IoT 기기수가 2020년에되면 250억대가 될 것으로 예상된다. 이에 IoT 기기를 악용한 DDoS 공격, 악성코드 유포 등 IoT의 보안위협도 더욱 현실화될 것으로 보인다.

미래부는 이를 대비하기 위해 공유기, 홈 가전제품 등 IoT 기기에 대한 사용자 인증을 강화하고 제품 기획·설계단계부터 정보보호를 고려하는 등 제조사·이용자의 보안 강화가 더욱 요구된다고 전했다.

이에 미래부는 관계기관과 협업해 기반시설, 다중이용 서비스에 대한 점검을 추진하고 ‘사이버 위협정보 분석·공유시스템’ 고도화 등 안전한 IoT 이용환경을 조성해 나갈 계획이다.

특히 이러한 사이버 공격에 대응한 정부의 노력과 함께 기업, 이용자 등 각 주체별로 피해 예방을 위한 대비가 중요하다고 강조했다.

또한 주요 시설 및 기업에서는 사이버 위협 증가에 대비해 APT 등 최신 공격방법을 반영한 실질적인 모의훈련 및 화이트 해커·전문컨설팅 업체 등을 활용한 주기적인 보안컨설팅을 실시하고 정보보호업무를 전담하는 전문인력 확보, 정보보호서비스 투자를 확대해 사이버 공격에 대비한 복원력(Resilience) 강화가 중요하며 이용자도 최신 보안 업데이트 및 백신 검사, 출처 불명확한 문자·URL 클릭 않기 등 인터넷 이용에 있어 보안을 생활화해야 한다고 밝혔다.

강성주 미래부 국장은 “기업들도 ‘정보보호를 비용이 아닌 투자’라는 인식을 전환해 사이버 위협 모니터링 및 신속 대응 할 수 있는 정보보호 전담인력을 확보하고 사이버 위협 대응체계 고도화 등 정보보호에 대한 투자도 확대해야 한다”고 당부했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.