“중요 데이터·인증정보, 안전하게 분리 보관해야”
상태바
“중요 데이터·인증정보, 안전하게 분리 보관해야”
  • 김선애 기자
  • 승인 2016.08.03 10:56
  • 댓글 0
이 기사를 공유합니다

파이어아이 ‘금융권 사이버 위협 보고서’…중요 데이터·시스템 보호 위한 망분리 돼야

인터파크 개인정보 유출사고를 비롯해 최근 사이버 공격이 잇달아 발생하면서 전 산업군에서 사이버 보안 비상등이 켜졌다. 지능화되는 사이버 공격으로부터 정보자산을 안전하게 관리해야 한다는 요구가 높아졌을 뿐만 아니라, 급변하는 세계 정세 속에서 사이버테러의 위협이 높아지고 있어 보안에 더욱 철저한 대책을 마련해야 한다는 위기감이 퍼지고 있는 것이다.

특히 금융기관의 경우 사고를 당했을 때 막대한 금전적 피해를 입을 수 있기 때문에 보안에 더욱 각별하게 신경을 써야 한다. 최근 금융권은 자율보안체계 원칙에 따라 사용자 편의성을 높이면서 보안 수준을 높여야 한다는 요구에 직면해 있어 보안 전략을 수립하는데 어려움을 겪고 있다.

파이어아이는 은행권 침해사고 대응 경험을 바탕으로 ‘금융권 사이버 위협 보고서’를 발표하고 ▲인증정보 관리 ▲망분리 ▲데이터 분리 등이 세 원칙을 반드시 지켜야 한다고 조언했다.

철저한 접근제어로 데이터 보호해야

인증정보는 거의 모든 침해사고에서 나타나는 취약점으로, 대부분의 공격은 인증정보를 탈취하고 악용하면서 진행된다. 특히 도메인 관리자와 루트 권한 계정의 수를 줄이고, 로컬 관리자 계정 및 각종 권한 계정에 대해 암호 관리 솔루션을 사용해야 한다.

민감한 시스템 및 애플리케이션에 대한 원격 접근을 포함한 모든 접근에 대해 다중요소 인증 방식을 도입해야 하며, 인증정보가 악용되고 있는지 여부를 지속적으로 확인하기 위해 인증정보에 대한 감사를 진행할 것이 좋다. 이와 함께, 관리자 계정에 대한 지속적인 모니터링이 요구되며 관리자 활동에 대해 강력한 인증 절차를 거쳐야 한다.

망분리는 모든 금융기관에 의무화 돼 있지만, 규제준수만을 위한 망분리로 보안 취약점은 여전히 해소되지 않고 있으며, 모니터링도 이뤄지지 않고 있다. 진정한 망분리는 데이터를 한 시스템에서 다른 시스템으로 이동시키는 데 수동적인 절차가 필요한 것을 의미하며, 따라서 기업들은 망분리 과정에서 소요되는 비용과 공격자가 주요 자산에 접근하고 유출했을 시 발생할 손실을 비교하여 리스크 관리를 해야 한다.

중요 데이터를 분리해 운영하는 것도 반드시 필요한 일이다. 민감한 데이터를 테스트 및 QA시스템에 저장하지 않아야 한다. 테스트 및 QA시스템은 낮은 권한으로도 접근이 가능하며 안전하지 않은 환경이기 때문이다. 생산 환경을 제외한 환경에서는 랜덤화하고 익명화된 데이터를 사용해야 민감 데이터 유출 피해를 최소화할 수 있다.

완벽한 보안은 없다…침해사고 대응체계 필요

이러한 원칙을 철저하게 지킨다 해도 보안사고을 완벽하게 막을 수는 없다. 파이어아이는 사이버 침해에 대비하기 위한 조치로 ▲디지털 포렌식을 통한 증거 수집 ▲사이버 위협 노출 여부에 대한 테스트 ▲보안 운영 센터에서 사이버 디펜스 센터로 ▲지능형/일상적 공격 모두 탐지 ▲인텔리전스 활용 등을 제안했다.

▲디지털 포렌식을 통한 증거 수집: 디지털 포렌식은 주요 네트워크와 애플리케이션에서 활용해 모든 트래픽 로그 정보를 최소 30일간 보유해야 한다. 이를 통해 침해 발생 여부 및 실제로 침해가 발생했을 시 관련 조사를 용이하게 진행할 수 있다.

▲사이버 위협 노출 여부에 대한 테스트: 주요 시스템은 레드팀 평가를 받아 사이버 위협 노출 여부를 테스트하고, 현 보안 조치를 평가해야 한다. 노출된 시스템에만 직접적인 공격 있을 것이라 가정하는 일반적인 침입 테스트와는 달리 레드팀 테스트는 평가 대상이 되는 시스템에 모든 수단을 동원한 공격을 진행한다. 이는 지능형 공격 발생 시의 상황을 가장 제대로 반영해주는 방식으로, 조직의 보안 수준을 평가하는 가장 현실적인 방법이다.

▲보안 운영 센터에서 사이버 디펜스 센터: 대부분의 은행이 가지고 있는 보안 운영 센터(SOC)는 단순히 보안 솔루션에서 발생한 경보만을 대응하는 수동적인 방식을 취하고 있다. 그러나 진화하는 사이버 위협에 대응하기 위해서는 컴플라이언스 및 보안 경보 중심의 보안 접근에서 벗어나 적극적으로 지능형 위협을 탐지 및 대응하는 사이버 디펜스 센터 방식으로 변화해야 한다.

▲지능형/일상적 공격 모두 탐지: 흔히 이용되는 악성코드로 은행의 시스템을 감염시킨 사례를 수없이 포착함에 따라 사이버 위협 탐지에 있어서 지능형 공격과 일상적 공격에 대한 나눠서 생각해서는 안 된다. 일반적인 악성코드에 감염된 사례를 지능형 사이버 공격자가 구입하면 이를 활용하여 인증정보를 탈취하고, 추가적인 툴을 설치하며, 네트워크 내부에서 또 다른 호스트로 이동할 수 있다는 점에서 주의가 요구된다.

▲인텔리전스 활용: 보안 인텔리전스를 적절히 활용할 경우, 위협 탐지의 수준과 사고 대응의 속도를 높여줄 수 있다. 파이어아이는 인텔리전스 기반 APT 보안의 선두주자이며, 맨디언트의 침해 대응 활동을 통해 수집된 인텔리전스는 제품에 직접 반영된다.

전수홍 파이어아이코리아 지사장은 “최근 전 세계 특히 아시아 금융 기관들을 대상으로 하는 지능형 위협이 증가함에 따라 이에 대한 체계적인 대응 전략 수립이 필요하다. 더욱이 금융권의 경우, 고객의 민감한 정보를 보유하고 있는 만큼 높은 수준의 보안이 요구된다”며 “파이어아이는 금융권 침해사고를 조사 및 대응한 경험을 바탕으로 사이버 위협을 효과적으로 방어하는 한편, 침해 발생 시 피해를 최소화할 수 있도록 지원하고 있다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.