재택근무 확산에 따라 업종별 사이버보안 위협 가중
원격 근무환경에서의 보안 강화 방침 필요...업무용, 개인용 장비 분리도 중요
[보안뉴스 김영명 기자] 한국인터넷진흥원(KISA)과 한국정보보호산업협회(KISIA)는 사이버보안 대응체계 고도화의 일환으로 민간 주요기업과 사이버위협정보를 실시간으로 공유하기 위한 ‘사이버보안 대연합’을 운영하고 있다. 사이버보안 대연합은 최근 발행한 1차 보고서에서 △탐지공유 △대응역량 △정책제도 등 총 3개 분과로 나눠 주요 이슈 7개를 분석했다.
[이미지=utoimage]
먼저 탐지공유 분과에서는 △올해 5~6월 한 달의 자료를 분석한 ‘글로벌 해킹그룹 동향보고서’와 △싱가포르 뉴스채널 인터뷰를 위장한 북한의 해킹 공격을 파헤친 ‘외신 인터뷰 사칭 분석 보고서’를 발표했다.
대응역량 분과에서는 △지난해 5월 무렵부터 행위가 드러난 ‘LAPSUS$ 해킹 그룹 분석’ △국가핵심기술 보유 기업 근로자의 ‘팬데믹 이후 재택근무 현황과 보안이슈 및 대응방안’ △항공업계의 ‘팬데믹 기간 재택근무 보안현황’ △게임산업군에서의 ‘팬데믹 이후 재택근무 현황과 보안이슈 및 대응방안’을 분석했다.
마지막으로 정책제도 분과에서는 2013년과 2014년 미국의 언론 및 엔터테인먼트사 해킹 공격으로 인한 ‘미국의 위협정보 공유체계’를 살펴봤다.
▲2021년 6월에 확인된 해킹 그룹별 활동 통계[이미지=KISA]
재화적 가치 뛰어난 산업기밀 등 탈취 후 금전요구 협박
장영준 NSHC 수석이 발표한 <글로벌 해킹그룹 동향 보고서>에서는 올해 5월 중순부터 6월 중순까지 한 달간 수집된 정보를 바탕으로 6월에만 총 34개의 해킹 그룹이 확인됐다고 밝혔다. 6월에 확인된 해킹 그룹의 해킹 활동은 정부부처와 정보통신 산업군에 종사하는 관계자 또는 시스템을 대상으로 한 공격이 가장 많았으며, 지역별로는 유럽과 동아시아에 있는 국가들을 주로 공격 대상으로 했다. 특히, 해킹 그룹 중에서는 섹터E와 섹터J의 활동이 각각 27%로 가장 많았으며, 섹터C와 섹터A 그룹의 활동이 뒤를 이었다.
6월에 발견된 섹터A의 해킹 그룹은 섹터A02, 섹터A05, 섹터A06 그룹이다. 섹터A02 그룹의 활동은 우리나라에서 발견됐으며, 대북 관련 종사자를 스피어 피싱 이메일을 발송했다. 섹터A05 그룹은 한국, 필리핀, 인도, 홍콩, 중국 등에서 활동했으며, 이 그룹은 이번 활동에서는 방송국 관계자를 대상으로 스피어 피싱 이메일을 발송했다. 섹터A06 그룹은 민주주의와 관련된 내용으로 윈도 바로가기 파일 형식의 악성코드를 사용했다.
섹터B 해킹 그룹은 섹터B07, 섹터B25, 섹터B31, 섹터B34, 섹터B38, 섹터B42, 섹터B56 그룹 등 7개 그룹의 활동이 발견됐다.
섹터B07 그룹은 취약점을 악용한 문서 악성코드를 공격 대상에게 전달 후 변조된 웹 서버로 접근하게 했다. 섹터B25 그룹은 러시아어로 작성된 RTF(Rich Text Format) 형식의 악성코드를 공격에 사용했다. 러시아에서 해킹 활동이 발견된 섹터B31 그룹은 VBA 매크로 스크립트가 포함된 워드 문서를 공격해 사용했다. 섹터B34 그룹은 MS 문서에서 임의의 명령을 실행할 수 있는 취약점을 사용했다. 태국과 중국에서 다수의 정부 기관 관계자에게 스피어 피싱 이메일을 발송한 섹터B38 그룹은 워드 악성코드가 포함된 압축 파일의 비밀번호를 첨부했다.
섹터B42 그룹은 캄보디아, 러시아 등에서 정부기관과 금융 등 산업군 기업을 대상으로 특정 악성코드로 공격했으며, 섹터B56 그룹은 방화벽 장비 원격 코드 실행 취약점을 악용했다.
섹터D 그룹에서는 이번 6월에 섹터D05, 섹터D10, 섹터D14, 섹터D22 등 4개 해킹 그룹의 활동이 발견됐으며, 각각 스피어 피싱 이메일을 발송하거나, 미국 대학 도서관 포털 페이지로 위장한 피싱 사이트 접속, 온라인 신문 PDF 기사로 위장한 악성코드를 사용했다. 또한, 채용 담당자로 위장해 시스템 내부 금융정보 및 자격증명 정보를 탈취하는 악성코드를 사용하거나 정부 반대 인물 또는 국가 정치, 외교활동 등 정부 관련 정보를 수집하는 것으로 분석됐다.
섹터E 그룹은 4개 해킹 그룹이 있으며, 파키스탄, 중국 등지에서 발견됐다. 이들은 VBA 매크로 스크립트가 포함된 MS 엑셀 문서를 정부기관 내용으로 위장해 공격하거나, MS 워드와 RTF 파일 등 문서형 악성코드 배포, CHM(Compled HTML Help) 파일 공격에 사용했다.
섹터H 해킹 그룹 중 6월에는 섹터H03 그룹만이 인도 방위산업 수출 검토 주제의 파워포인트 문서 파일을 배포했으며, RAT(Remote Administration Tool) 기능을 가진 악성코드 피해자 시스템에 설치해 피해자 시스템에서 시스템 정보, 키로깅, 화면 캡처 등의 정보를 탈취했다.
한편, NSHC는 지난해 주목할 만한 랜섬웨어로 △Clop △Myransom △CoderWare △RegretLocker △Fonix △Ranzy Locker △Nefilim 등 7개를 언급했다.
▲외신 인터뷰를 사칭하는 이메일 화면[이미지=KISA]
서면 인터뷰 위장, 첨부 파일 클릭 시 매크로 악용해 개인정보 유출
올해 7월 6일 싱가포르 국영 뉴스 채널 CNA의 이현석 프로듀서라는 이름으로 불특정 이메일 사용자에 북한의 핵실험과 동아시아의 군비 경쟁 우려에 대한 다큐멘터리 제작 관련 인터뷰 계획과 북한 전문가 섭외로 서면 인터뷰를 진행한다는 내용과 함께 수신자를 현혹했다.
문종현 이스트시큐리티 이사가 분석한 <외신 인터뷰 사칭 분석 보고서-싱가폴 뉴스채널 CNA 인터뷰 위장한 북한의 해킹 공격 분석>에서 공격자는 초반에는 일반 이메일처럼 인터뷰 내용의 이메일을 주고받으며 신뢰를 형성한 뒤, 워드파일 서면 질문지를 보내며 클릭을 유도했다. 특히, 7월 12일에 수신된 이메일에는 특정 연구원의 이름이 포함된 ‘*** 질문지.doc’ 파일을 첨부했다. 또한, 보안문서임을 알리고자 본문에 ‘비번 20220712’라고 설정했다.
본문 끝에는 ‘보안에 각별한 주의 돌려주시기 바랍니다’라는 표현을 사용했는데, ‘주의를 돌려달라’는 표현은 북한에서 흔히 사용되는 표현으로 확인된다. 첨부된 ‘*** 질문지.doc’ 파일은 실제 비밀번호가 설정됐으며, 비밀번호를 입력하면 실제 CNA 싱가포르 뉴스 서면 인터뷰라는 타이틀, 통일연구원 특정인의 이름과 질문이 보였다.
해당 문서의 상단에는 MS Office 기본 옵션에 따라 ‘보안 경고’ 메시지가 나오면서 ‘매크로를 사용할 수 없도록 설정했습니다’ 안내와 함께 ‘콘텐츠 사용’ 버튼이 표시되며, 이때 ‘콘텐츠 사용’을 허용할 경우 악의적인 매크로 명령이 작동해 개인정보 유출 등의 피해로 이어진다.
DOC 파일의 OLE(Object Linking and Embedding) 구조에 포함된 ‘vbaProject.bin’ 파일 내부의 매크로 코드를 분석하면, 특정 호스트 주소로 연결되며 접속 시도가 파악된다. 특정 명령으로 ‘il.down’ 파일이 자동으로 설치되고, 암호화된 코드가 복호화된다.
특히, MS Office 보안 설정 레지스트리 중 ‘VBAWarnings’ 값을 ‘1’로 설정해 모든 매크로가 포함돼 실행되도록 설정이 변경돼 추가적인 피해로 이어지며, 프로세스 체크 및 키로깅 기능 등으로 대상 컴퓨터의 정보를 수집해 은밀히 탈취하는 인포스틸러 기능을 수행하게 된다.
공격자는 이번 공격에서 실제 이메일 대화 관련 내용을 첨부하는 등 치밀함을 보여 수신자의 의심을 최소화했다. 이번 소통형 투-트랙 스피어 피싱 공격의 수법과 명령절차, 인프라 및 전체 전략을 볼 때 전형적인 북한의 해킹 공격과 정확히 일치하며, 본문에는 북한식 표현도 발견됐다. 대북분야 종사자들에 대한 사이버 공격에 대해 관계자들의 주의가 필요하다.
▲라피루스 해킹 그룹의 위협 메시지[이미지=KISA]
LAPSUS$, 데이터 탈취 및 판매, 적극적인 공개 활동 나서
또한, 대응역량 분과에서 곽경주 S2W 이사는 리포트에서 최근 활동을 시작한 LAPSUS$ 해킹 그룹의 활동 동향을 분석했다.
LAPSUS$ 해킹 그룹은 지난해 5월 무렵 딥웹 포럼에서 데이터 탈취를 전문으로 수행하는 공격 그룹으로 활동을 시작한 것으로 추정된다. 이들은 올해 3월 온라인에서 ‘wh1te’라는 옥스퍼드 출신의 16세 소년이 LAPSUS$ 공격 그룹의 리더 중 한 명으로 지목돼 기소됐다.
LAPSUS$ 해킹 그룹은 지난해 5월 당시 세계 최대 유전 서비스 업체 SCHLUMBERGER로부터 데이터를 탈취했다고 주장하며 고객과 직원 정보가 포함된 83만6,000건의 데이터를 2BTC에 판매한다는 게시글을 최초로 업로드했다. 두 달 뒤에는 미국 EA로부터 780GB의 소스코드를 탈취했다며, 자신들과의 협상을 거부 시 데이터를 유출시킬 것이라는 협박글을 게시했다.
이들은 이때부터 대형 기업을 공격했으며, 데이터 유출 협박을 통해 금전적 이득을 추구했다. 지난해 10월에는 브라질 보건부를 해킹하고 협박하기 위해 텔레그램 채널도 개설했다.
LAPSUS$ 해킹 그룹은 브라질 보건부를 해킹해 클라우드와 내부망에 있는 데이터 약 50TB를 탈취했으며, América Móvil의 자회사인 Claro와 Embratel, NET 등의 데이터를 탈취했다고 주장한다. 올해 초에는 포르투갈 미디어 대기업 Grupo Impresa를 해킹했고, Expresso와 SIC의 고객들에게 SMS를 무단으로 보냈으며, AWS로부터 데이터를 탈취했다고 공지했다.
LAPSUS$ 해킹 그룹은 라틴아메리카 및 세계에서 가장 큰 렌터가 업체인 Localiza Rent a Car SA를 올해 1월에, 올해 2월에는 Vodafone in Portugal과 NVIDIA, 삼성전자를, 3월에는 Ubisoft와 LG.COM, LGE.COM, 마이크로소프트를 공격했다고 공지했다. 또한 OKTA를 공격하고, Globant도 공격해 내부 자료와 저장소의 관리자 크리덴셜을 공개했다.
이외에도 EA, EE, Orange, Huawei, Apple, European Union(EU), MEO, T-mobile, B2W, Apple, Valve, Microsoft, AMD, Intel, MercadoLibre, Sony 등을 공격했다.
LAPSUS$ 그룹의 멤버 중 wh1te라는 유저는 Doxbin에서도 활동이 포착됐으며 DDoSshop, breachbase라는 유저명으로 딥/다크웹 포럼 상에서 유출 데이터 거래 활동이 발견됐다.
아직 LAPSUS$ 공격 그룹이 사용한 구체적인 TTP가 충분히 공개되지 않았으며, 이 그룹의 실제 기술 숙련도 및 해킹 수준은 현재까지 섣부르게 판단하기 어렵다. 현재는 잠잠하지만 활동을 재개할 가능성이 높아 이에 대한 대비 및 지속적인 공격 그룹 추적이 필요하다.
▲재택근무 시 보안 접속 신청 및 승인 과정 관계도[이미지=KISA]
첨단기술 지적재산권 보호, 업무용 및 일반용 단말 분리 필요
윤우희 에스케어 부대표가 발표한 <팬데믹 이후 재택근무 현황과 보안이슈 및 대응방안>에서 국가정보원 발표에 따르면 최근 5년간 총 99건의 국가핵심기술 유출 시도가 있었고, 유출 시 예상되는 피해액은 22조원으로 추산하고 있다.
첨단기술산업군 중 특히 국가핵심기술 보유기업은 기술적·경제적 가치가 높은 지적재산권을 다수 보유하고 있다. 따라서 재택근무 체계로 변경 시 다른 어떠한 기업군보다 철저한 보안환경을 마련해야 한다. 첨단산업군의 재택근무 시 재택근무 환경 및 시스템 구성은 원격 디바이스는 표준 보안 단말과 일반 개인 단말로 구분해 제공해야 한다.
표준 보안 단말은 내부접속에 필요한 모든 보안 솔루션이 설치된 회사에서 제공한 표준 단말을 통해 내부 접속을 수행할 때 사용하며, 일반 개인 단말은 본인 소유의 개인 단말로 내부접속을 위해 표준 보안 솔루션 설치·가이드에 따른 단말 무결성 준수 후 사용한다. 기본 환경 구성요소 및 통제 프로세스도 허가된 시스템과 네트워크만 접속할 수 있도록 조치해야 한다.
주요 보안 고려 사항으로는 △내부접속 신청 및 승인 △원격 디바이스 보안 상태 점검 및 보안 강제화 △내부접속 전용 VDI를 통한 사내 개인 PC 접속 및 보안성 구축 △사내 PC의 내부 시스템 접속 실시간 통제 등이 필요하다.
제텍근무 환경을 구축할 때는 원격 디바이스를 통해 정보가 유출 가능성이 있고, 악성 트래픽이 원격 단말을 통해 내부 시스템으로 전달될 수 있기 때문에 원격 디바이스와 VDI간 자료 전송은 통제되고 원격 디바이스 연결은 차단해야 한다. 특히, 출력되는 화면을 카메라 촬영 또는 캡처를 통해 주요정보가 유출될 가능성이 있기 때문에 스크린 캡처 방지는 원격 디바이스 내부에 적용하고 스크린 워터마크 기능은 VDI 내에 구현하는 것이 권장된다. 재택근무 환경이 VDI로 구성된 경우, 네트워크 환경에 따라 시스템 성능에 영향이 있기 때문에 거점별 네트워크 성능 현황을 고려해 다양한 재택근무 환경을 구성해야 한다.
▲재택근무를 위한 원격 연결 방안[이미지=KISA]
항공업계 재택근무, 보안 인증된 별도 장비 지급 필요
또한, 항공업계의 ‘팬데믹 기간 재택근무 보안현황’에 대해 제주항공 이혁중 CISO가 보고서를 발표했다. 항공업은 항공기 운행을 직접 현장에서 담당하는 오퍼레이션 업무와 사무실에서 지원하는 업무로 분리돼 근무 환경 및 형태가 다르다. 오퍼레이션 부분은 팬데믹 이전 및 후에 업무의 편리성을 위해 원격에서 접근할 수 있는 방법들을 고민해 모바일 업무 환경으로 개발해 운영되고 있어서 PC를 사용해야 하는 특정 업무를 제외하고 일반업무에 어려움이 없도록 진행되고 있다. 다만 사무직군의 경우에는 다양한 실제 업무로 모바일화가 불가능해 재택 근무에서는 원격 접속 환경을 지원하고 이에 맞는 보안을 적절히 적용했다.
재택근무를 위한 기본 보안 환경은 회사의 시스템을 사용하기 위해 부여된 인증(Authentication), 접근 허가(Authorization) 과정을 거치게 되면 내부 애플리케이션을 접속해 업무를 수행하도록 하며 ‘정보 유출 방지와 악성코드 감염 방지’ 차원에서 다음과 같은 보안이 이루어진다.
모바일 환경에서는 임직원의 스마트폰에 대해 전용 앱을 설치해 운영하며, PC 사용 환경에서는 회사의 환경과 동일하게 적용될 수 있도록 네트워크 보안을 제외한 앤드포인트 보안이 적용된 회사에서 사용하던 노트북이나 회사 유휴 노트북 장비를 지원한다. 자산 반출입 시에는 반출 절차와 반입절차를 확립하고 현업 부서장의 결재를 통해 사용하는 것이 중요하다.
근무 환경을 진단할 때는 서버 및 네트워크 장비, 웹과 앱, 데이터 진단, 네트워크 및 앤드포인트 보안 장비 연동 등 각각 취약점을 진단하고, IT 운영 지원조직을 통해 취약점에 대해 조치하는 것이 중요하다.
모니터링 및 대응 단계에서는 임직원의 사전 허가된 디바이스만 접속을 허가하고, 회사의 VPN을 통해 사내 애플리케이션에 접속하는 경우 사전 차단 정책을 적용하고 있다.
특히, 랜섬웨어 등 악성코드에 대응하기 위해 메일 서비스, 악성 웹사이트 격리, 개인 노트북에 앤드포인트 보안 솔루션을 별도로 설치하는 등 다단계로 대응하고 있다.
보안 솔루션에 대응하기 위해 물리적 보안 외에도 회사 전 임직원에 대한 마인드 개선을 위해 외부 콘텐츠를 통한 온라인 교육을 운영함으로써 재택 시에도 언제든지 접속해 교육을 받을 수 있도록 조치했다. 추가로 주1회 보안과 관련된 이슈 기사를 모아 시큐레터를 발송해 보안의식을 고취하는 것도 중요하다.
▲재택근무 시 실시간 모니터링 대응 시나리오 기반 자동 격리 예시[이미지=KISA]
재택근무, 내부 보안 조치 및 실시간 모니터링 강화 방안 마련
넥슨의 김동춘 실장은 게임산업군에서의 ‘팬데믹 이후 재택근무 현황과 보안이슈 및 대응방안’에 대해 분석했다. 게임산업군은 웹, 소프트웨어 등의 개발 직군, 2D/3D 등의 아트 직군, 기획/설계, CS, 시스템/애플리케이션 엔지니어, 인사/회계/법무 등의 다양한 업무 형태가 있기 때문에 다양한 재택 인프라 환경 제공함에 따라 보안의 영역도 폭 넓고 다양하게 적용돼야 한다. 게임산업에서 재택 근무 대상은 △게임 개발 직군 2D/3D 개발/QA 직군 △아트직군 △CS직군 △엔지니어 직군 등으로 구분된다.
재택근무를 위한 주요 보안 고려 사항으로는 △접속하고자 하는 원격지 변동 △접속하고자 하는 원격지 디바이스 다양성 △접속하고자 하는 원격지 디바이스 보안수준 △접속하고자 하는 원격지 디바이스 사용자 모호성 △접속하려는 원격지 네트워크 보안수준 등으로 구분된다.
사내 PC에 접근할 때는 인증방식, 네트워크 암호화, 원격 디바이스 제어, 네트워크 보호 등에서 인증절차를 거쳐야 하며, 폐쇄망 PC에 접근할 때는 인증방식, 네트워크 암호화, 원격 디바이스 네트워크 제어, 네트워크 보호, 데이터 통제, VDI 통제 등이 필요하다.
가상 작업 환경에서는 워크스페이스 인증방식, 워크스페이스 네트워크 암호화, 워크스페이스 네트워크 제어, 워크스페이스 데이터 제어, 워크스페이스 통제, 인증방식, 네트워크 암호화 및 보호 절차를 거쳐야 한다. 내부 시스템은 보안 수준을 만족하지 못하거나 데이터 중요도가 높은 개인정보처리시스템 및 소스 저장소 등은 접근대상에서 제외된다.
자산 반출입 시에는 펜 타블릿, 모니터 등과 같이 일반 자산의 경우 현업 관리책임자와 구매관리부서, 물리보안부서에서 확인 및 승인해 반출되도록 구성하며, 회사의 데이터가 적재되는 자산의 경우 보안부서가 최종 검토하도록 프로세스를 구성해 운영하고 있다.
재택근무 환경 진단은 내부 자체 진단과 외부 화이트 해커 진단으로 구분하며, 취약점 진단 및 모니터링 조치 등을 거치도록 조치했다.
모니터링 및 대응 단계에서는 보안포털에서 관리되는 내부 재택근무 위협 시나리오 SOAR를 기반으로 실시간 탐지하도록 구현하며, 보안포털과 보안솔루션, 내부 서비스와 통합 연동하여 위협 시나리오 탐지 시 실시간 자동 대응하도록 구현 운영하고 있다.
임직원의 인식 개선으로는 내부 PC 팝업, 내무 모바일 애플리케이션 팝업 및 전사 공지 등 다양한 방식으로 교육과 캠페인을 진행하고 있다.
▲미국의 사이버보안 정보공유 거버넌스[이미지=KISA]
미국의 위협정보, 사이버보안 정보공유법 기반 네트워크 확립
마지막으로 정책제도 분과에서는 인하대학교 최수민 연구원이 ‘미국의 위협정보 공유체계’에 대해 분석했다. 기존의 사이버보안은 미국 내 주요 기반시설에 대한 개별적인 보안에 중점을 주고 시행했지만, 2013년 초 미국의 주요 언론사에 대한 사이버 공격이 이슈가 되며 사이버 보안에 대한 정보공유 및 통합적 관리가 필요함을 인지했다.
오바마 대통령은 물리적 또는 가상의 국가적 자산을 보호하기 위한 행정명령(행정명령 13636)을 시행해 정부기관이 사이버위협 관련 정보를 민간과 공유하도록 명령했다.
사이버 보안을 위한 정보공유 강화 법안(CISPA, CISA 등)이 다양한 입법노력에도 불구하고 개인정보 이슈로 인해 2014년 의회에서 부결됐다. 하지만 2014년 11월에 발생한 소니 픽처스 엔터테인먼트 회사 관계자 간 메일, 직원 개인정보와 미공개 영화 등 정보가 유출된 해킹 사건을 계기로 백악관을 중심으로 사이버 안보 강화를 위한 정보공유의 필요성이 대두됐다.
2014년부터는 eBay, Home Depot, JP Morgan Chase, 소니픽처스, 인사관리처(OPM) 등을 대상으로 한 대규모 사이버 침해사고가 연이어 발생했다. 이에 사이버보안 정보공유법(CISA)이 2015년 회기에 입법했으며, 사이버 위협지표(CTI)와 방어조치(DM) 개념을 도입했다.
사이버보안 정보공유법(CISA) 명시 조항에 따라 주요 연방정부기관은 관련 가이드라인을 개발해 △연방정부의 CTI와 DM 공유 가이드라인 △연방정부와의 CTI 및 DM 공유를 위한 비연방주체 지원가이드라인 △연방정부를 통한 CTI 및 DM 수신 절차에 대한 가이드라인 △개인정보 가이드라인 등 총 4종의 가이드라인이 DHS, DoJ, DNI, DoD를 통해 배포했다.
사이버보안 정보공유법은 국토안보부(DHS)의 사이버보안 및 인프라 보안 기관(CISA)을 중심으로 관련 기관이 지원한다. 국가정보국(DNI)의 사이버위협정보통합센터(CTIIC)는 2015년에 설립돼 정보기관을 중심으로 국가안보에 영향을 미칠 수 있는 국외 사이버위협 정보를 수집하고 공공-민간의 효과적인 대응을 지원하고 있다. 국방부(DoD)의 사이버범죄센터(DC3)는 방위산업기지 협력정보(DCISE)를 통해 DIB 파트너 간 CTI를 공유한다.
연방수사국(FBI)의 국가사이버수사합동TF(NCIJTF)는 상무부(DoC), 국방부(DoD), 에너지부(DoE), 국토안보부(DHS), 법무부(DoJ), 재무부(DoT), 국가정보국(DNI) 등 24개 기관 대표들이 참여하는 사이버위협 수사 및 작전 수행과 관련한 정보공유 태스크포스로 운영되고 있다.
▲2022 사이버보안 대연합 보고서 발간 보고서 표지[자료=KISIA]
사이버 위협정보는 정보를 중요도에 따라 구분, 수집 및 공개하는 신호등프로토콜(TLP, Traffic Light Protocol)을 사용해 수신자가 적용할 것으로 예상되는 공유 경계를 나타내기 위해 4가지 색상을 사용해 구분하고 있다.
기관마다 다른 용어는 NIEM(National Information Exchange Model)를 재정의했으며, CISA는 공개 가능한 일부 정보를 자동지표공유(AIS)로 참가자들에게 무료로 제공하고 있다.
정부기관과 민간기관은 정보공유법에 따라 각각 속한 그룹에서의 CTI 정보를 공유하고 있으며, 기관이 CISA 사이트에 사이버침해사고를 신고할 경우에는 신고자 정보, 확인할 수 있는 IP주소나 이메일 주소, 방어조치, 공격패턴, 취약점관련 내용 등을 상세히 기록하고 있다.
사이버 위협정보의 표현규격은 개방형 표준을 사용하며, 자동위협 지표를 공유할 때는 익명화해 제출자의 사전 동의 없이는 제출자의 신원을 미공개한다. CISA를 통해 공유하는 정보는 △통지 요건 △사고 통지 제출 △영향 및 심각도 평가 △주요 사건 △영향 범주 설명 △공격 벡터 △공격 벡터 분류 △인시던트 속성 등이 있다.
[김영명 기자(boan@boannews.com)]
원격 근무환경에서의 보안 강화 방침 필요...업무용, 개인용 장비 분리도 중요
[보안뉴스 김영명 기자] 한국인터넷진흥원(KISA)과 한국정보보호산업협회(KISIA)는 사이버보안 대응체계 고도화의 일환으로 민간 주요기업과 사이버위협정보를 실시간으로 공유하기 위한 ‘사이버보안 대연합’을 운영하고 있다. 사이버보안 대연합은 최근 발행한 1차 보고서에서 △탐지공유 △대응역량 △정책제도 등 총 3개 분과로 나눠 주요 이슈 7개를 분석했다.
[이미지=utoimage]
먼저 탐지공유 분과에서는 △올해 5~6월 한 달의 자료를 분석한 ‘글로벌 해킹그룹 동향보고서’와 △싱가포르 뉴스채널 인터뷰를 위장한 북한의 해킹 공격을 파헤친 ‘외신 인터뷰 사칭 분석 보고서’를 발표했다.
대응역량 분과에서는 △지난해 5월 무렵부터 행위가 드러난 ‘LAPSUS$ 해킹 그룹 분석’ △국가핵심기술 보유 기업 근로자의 ‘팬데믹 이후 재택근무 현황과 보안이슈 및 대응방안’ △항공업계의 ‘팬데믹 기간 재택근무 보안현황’ △게임산업군에서의 ‘팬데믹 이후 재택근무 현황과 보안이슈 및 대응방안’을 분석했다.
마지막으로 정책제도 분과에서는 2013년과 2014년 미국의 언론 및 엔터테인먼트사 해킹 공격으로 인한 ‘미국의 위협정보 공유체계’를 살펴봤다.
▲2021년 6월에 확인된 해킹 그룹별 활동 통계[이미지=KISA]
재화적 가치 뛰어난 산업기밀 등 탈취 후 금전요구 협박
장영준 NSHC 수석이 발표한 <글로벌 해킹그룹 동향 보고서>에서는 올해 5월 중순부터 6월 중순까지 한 달간 수집된 정보를 바탕으로 6월에만 총 34개의 해킹 그룹이 확인됐다고 밝혔다. 6월에 확인된 해킹 그룹의 해킹 활동은 정부부처와 정보통신 산업군에 종사하는 관계자 또는 시스템을 대상으로 한 공격이 가장 많았으며, 지역별로는 유럽과 동아시아에 있는 국가들을 주로 공격 대상으로 했다. 특히, 해킹 그룹 중에서는 섹터E와 섹터J의 활동이 각각 27%로 가장 많았으며, 섹터C와 섹터A 그룹의 활동이 뒤를 이었다.
6월에 발견된 섹터A의 해킹 그룹은 섹터A02, 섹터A05, 섹터A06 그룹이다. 섹터A02 그룹의 활동은 우리나라에서 발견됐으며, 대북 관련 종사자를 스피어 피싱 이메일을 발송했다. 섹터A05 그룹은 한국, 필리핀, 인도, 홍콩, 중국 등에서 활동했으며, 이 그룹은 이번 활동에서는 방송국 관계자를 대상으로 스피어 피싱 이메일을 발송했다. 섹터A06 그룹은 민주주의와 관련된 내용으로 윈도 바로가기 파일 형식의 악성코드를 사용했다.
섹터B 해킹 그룹은 섹터B07, 섹터B25, 섹터B31, 섹터B34, 섹터B38, 섹터B42, 섹터B56 그룹 등 7개 그룹의 활동이 발견됐다.
섹터B07 그룹은 취약점을 악용한 문서 악성코드를 공격 대상에게 전달 후 변조된 웹 서버로 접근하게 했다. 섹터B25 그룹은 러시아어로 작성된 RTF(Rich Text Format) 형식의 악성코드를 공격에 사용했다. 러시아에서 해킹 활동이 발견된 섹터B31 그룹은 VBA 매크로 스크립트가 포함된 워드 문서를 공격해 사용했다. 섹터B34 그룹은 MS 문서에서 임의의 명령을 실행할 수 있는 취약점을 사용했다. 태국과 중국에서 다수의 정부 기관 관계자에게 스피어 피싱 이메일을 발송한 섹터B38 그룹은 워드 악성코드가 포함된 압축 파일의 비밀번호를 첨부했다.
섹터B42 그룹은 캄보디아, 러시아 등에서 정부기관과 금융 등 산업군 기업을 대상으로 특정 악성코드로 공격했으며, 섹터B56 그룹은 방화벽 장비 원격 코드 실행 취약점을 악용했다.
섹터D 그룹에서는 이번 6월에 섹터D05, 섹터D10, 섹터D14, 섹터D22 등 4개 해킹 그룹의 활동이 발견됐으며, 각각 스피어 피싱 이메일을 발송하거나, 미국 대학 도서관 포털 페이지로 위장한 피싱 사이트 접속, 온라인 신문 PDF 기사로 위장한 악성코드를 사용했다. 또한, 채용 담당자로 위장해 시스템 내부 금융정보 및 자격증명 정보를 탈취하는 악성코드를 사용하거나 정부 반대 인물 또는 국가 정치, 외교활동 등 정부 관련 정보를 수집하는 것으로 분석됐다.
섹터E 그룹은 4개 해킹 그룹이 있으며, 파키스탄, 중국 등지에서 발견됐다. 이들은 VBA 매크로 스크립트가 포함된 MS 엑셀 문서를 정부기관 내용으로 위장해 공격하거나, MS 워드와 RTF 파일 등 문서형 악성코드 배포, CHM(Compled HTML Help) 파일 공격에 사용했다.
섹터H 해킹 그룹 중 6월에는 섹터H03 그룹만이 인도 방위산업 수출 검토 주제의 파워포인트 문서 파일을 배포했으며, RAT(Remote Administration Tool) 기능을 가진 악성코드 피해자 시스템에 설치해 피해자 시스템에서 시스템 정보, 키로깅, 화면 캡처 등의 정보를 탈취했다.
한편, NSHC는 지난해 주목할 만한 랜섬웨어로 △Clop △Myransom △CoderWare △RegretLocker △Fonix △Ranzy Locker △Nefilim 등 7개를 언급했다.
▲외신 인터뷰를 사칭하는 이메일 화면[이미지=KISA]
서면 인터뷰 위장, 첨부 파일 클릭 시 매크로 악용해 개인정보 유출
올해 7월 6일 싱가포르 국영 뉴스 채널 CNA의 이현석 프로듀서라는 이름으로 불특정 이메일 사용자에 북한의 핵실험과 동아시아의 군비 경쟁 우려에 대한 다큐멘터리 제작 관련 인터뷰 계획과 북한 전문가 섭외로 서면 인터뷰를 진행한다는 내용과 함께 수신자를 현혹했다.
문종현 이스트시큐리티 이사가 분석한 <외신 인터뷰 사칭 분석 보고서-싱가폴 뉴스채널 CNA 인터뷰 위장한 북한의 해킹 공격 분석>에서 공격자는 초반에는 일반 이메일처럼 인터뷰 내용의 이메일을 주고받으며 신뢰를 형성한 뒤, 워드파일 서면 질문지를 보내며 클릭을 유도했다. 특히, 7월 12일에 수신된 이메일에는 특정 연구원의 이름이 포함된 ‘*** 질문지.doc’ 파일을 첨부했다. 또한, 보안문서임을 알리고자 본문에 ‘비번 20220712’라고 설정했다.
본문 끝에는 ‘보안에 각별한 주의 돌려주시기 바랍니다’라는 표현을 사용했는데, ‘주의를 돌려달라’는 표현은 북한에서 흔히 사용되는 표현으로 확인된다. 첨부된 ‘*** 질문지.doc’ 파일은 실제 비밀번호가 설정됐으며, 비밀번호를 입력하면 실제 CNA 싱가포르 뉴스 서면 인터뷰라는 타이틀, 통일연구원 특정인의 이름과 질문이 보였다.
해당 문서의 상단에는 MS Office 기본 옵션에 따라 ‘보안 경고’ 메시지가 나오면서 ‘매크로를 사용할 수 없도록 설정했습니다’ 안내와 함께 ‘콘텐츠 사용’ 버튼이 표시되며, 이때 ‘콘텐츠 사용’을 허용할 경우 악의적인 매크로 명령이 작동해 개인정보 유출 등의 피해로 이어진다.
DOC 파일의 OLE(Object Linking and Embedding) 구조에 포함된 ‘vbaProject.bin’ 파일 내부의 매크로 코드를 분석하면, 특정 호스트 주소로 연결되며 접속 시도가 파악된다. 특정 명령으로 ‘il.down’ 파일이 자동으로 설치되고, 암호화된 코드가 복호화된다.
특히, MS Office 보안 설정 레지스트리 중 ‘VBAWarnings’ 값을 ‘1’로 설정해 모든 매크로가 포함돼 실행되도록 설정이 변경돼 추가적인 피해로 이어지며, 프로세스 체크 및 키로깅 기능 등으로 대상 컴퓨터의 정보를 수집해 은밀히 탈취하는 인포스틸러 기능을 수행하게 된다.
공격자는 이번 공격에서 실제 이메일 대화 관련 내용을 첨부하는 등 치밀함을 보여 수신자의 의심을 최소화했다. 이번 소통형 투-트랙 스피어 피싱 공격의 수법과 명령절차, 인프라 및 전체 전략을 볼 때 전형적인 북한의 해킹 공격과 정확히 일치하며, 본문에는 북한식 표현도 발견됐다. 대북분야 종사자들에 대한 사이버 공격에 대해 관계자들의 주의가 필요하다.
▲라피루스 해킹 그룹의 위협 메시지[이미지=KISA]
LAPSUS$, 데이터 탈취 및 판매, 적극적인 공개 활동 나서
또한, 대응역량 분과에서 곽경주 S2W 이사는
LAPSUS$ 해킹 그룹은 지난해 5월 무렵 딥웹 포럼에서 데이터 탈취를 전문으로 수행하는 공격 그룹으로 활동을 시작한 것으로 추정된다. 이들은 올해 3월 온라인에서 ‘wh1te’라는 옥스퍼드 출신의 16세 소년이 LAPSUS$ 공격 그룹의 리더 중 한 명으로 지목돼 기소됐다.
LAPSUS$ 해킹 그룹은 지난해 5월 당시 세계 최대 유전 서비스 업체 SCHLUMBERGER로부터 데이터를 탈취했다고 주장하며 고객과 직원 정보가 포함된 83만6,000건의 데이터를 2BTC에 판매한다는 게시글을 최초로 업로드했다. 두 달 뒤에는 미국 EA로부터 780GB의 소스코드를 탈취했다며, 자신들과의 협상을 거부 시 데이터를 유출시킬 것이라는 협박글을 게시했다.
이들은 이때부터 대형 기업을 공격했으며, 데이터 유출 협박을 통해 금전적 이득을 추구했다. 지난해 10월에는 브라질 보건부를 해킹하고 협박하기 위해 텔레그램 채널도 개설했다.
LAPSUS$ 해킹 그룹은 브라질 보건부를 해킹해 클라우드와 내부망에 있는 데이터 약 50TB를 탈취했으며, América Móvil의 자회사인 Claro와 Embratel, NET 등의 데이터를 탈취했다고 주장한다. 올해 초에는 포르투갈 미디어 대기업 Grupo Impresa를 해킹했고, Expresso와 SIC의 고객들에게 SMS를 무단으로 보냈으며, AWS로부터 데이터를 탈취했다고 공지했다.
LAPSUS$ 해킹 그룹은 라틴아메리카 및 세계에서 가장 큰 렌터가 업체인 Localiza Rent a Car SA를 올해 1월에, 올해 2월에는 Vodafone in Portugal과 NVIDIA, 삼성전자를, 3월에는 Ubisoft와 LG.COM, LGE.COM, 마이크로소프트를 공격했다고 공지했다. 또한 OKTA를 공격하고, Globant도 공격해 내부 자료와 저장소의 관리자 크리덴셜을 공개했다.
이외에도 EA, EE, Orange, Huawei, Apple, European Union(EU), MEO, T-mobile, B2W, Apple, Valve, Microsoft, AMD, Intel, MercadoLibre, Sony 등을 공격했다.
LAPSUS$ 그룹의 멤버 중 wh1te라는 유저는 Doxbin에서도 활동이 포착됐으며 DDoSshop, breachbase라는 유저명으로 딥/다크웹 포럼 상에서 유출 데이터 거래 활동이 발견됐다.
아직 LAPSUS$ 공격 그룹이 사용한 구체적인 TTP가 충분히 공개되지 않았으며, 이 그룹의 실제 기술 숙련도 및 해킹 수준은 현재까지 섣부르게 판단하기 어렵다. 현재는 잠잠하지만 활동을 재개할 가능성이 높아 이에 대한 대비 및 지속적인 공격 그룹 추적이 필요하다.
▲재택근무 시 보안 접속 신청 및 승인 과정 관계도[이미지=KISA]
첨단기술 지적재산권 보호, 업무용 및 일반용 단말 분리 필요
윤우희 에스케어 부대표가 발표한 <팬데믹 이후 재택근무 현황과 보안이슈 및 대응방안>에서 국가정보원 발표에 따르면 최근 5년간 총 99건의 국가핵심기술 유출 시도가 있었고, 유출 시 예상되는 피해액은 22조원으로 추산하고 있다.
첨단기술산업군 중 특히 국가핵심기술 보유기업은 기술적·경제적 가치가 높은 지적재산권을 다수 보유하고 있다. 따라서 재택근무 체계로 변경 시 다른 어떠한 기업군보다 철저한 보안환경을 마련해야 한다. 첨단산업군의 재택근무 시 재택근무 환경 및 시스템 구성은 원격 디바이스는 표준 보안 단말과 일반 개인 단말로 구분해 제공해야 한다.
표준 보안 단말은 내부접속에 필요한 모든 보안 솔루션이 설치된 회사에서 제공한 표준 단말을 통해 내부 접속을 수행할 때 사용하며, 일반 개인 단말은 본인 소유의 개인 단말로 내부접속을 위해 표준 보안 솔루션 설치·가이드에 따른 단말 무결성 준수 후 사용한다. 기본 환경 구성요소 및 통제 프로세스도 허가된 시스템과 네트워크만 접속할 수 있도록 조치해야 한다.
주요 보안 고려 사항으로는 △내부접속 신청 및 승인 △원격 디바이스 보안 상태 점검 및 보안 강제화 △내부접속 전용 VDI를 통한 사내 개인 PC 접속 및 보안성 구축 △사내 PC의 내부 시스템 접속 실시간 통제 등이 필요하다.
제텍근무 환경을 구축할 때는 원격 디바이스를 통해 정보가 유출 가능성이 있고, 악성 트래픽이 원격 단말을 통해 내부 시스템으로 전달될 수 있기 때문에 원격 디바이스와 VDI간 자료 전송은 통제되고 원격 디바이스 연결은 차단해야 한다. 특히, 출력되는 화면을 카메라 촬영 또는 캡처를 통해 주요정보가 유출될 가능성이 있기 때문에 스크린 캡처 방지는 원격 디바이스 내부에 적용하고 스크린 워터마크 기능은 VDI 내에 구현하는 것이 권장된다. 재택근무 환경이 VDI로 구성된 경우, 네트워크 환경에 따라 시스템 성능에 영향이 있기 때문에 거점별 네트워크 성능 현황을 고려해 다양한 재택근무 환경을 구성해야 한다.
▲재택근무를 위한 원격 연결 방안[이미지=KISA]
항공업계 재택근무, 보안 인증된 별도 장비 지급 필요
또한, 항공업계의 ‘팬데믹 기간 재택근무 보안현황’에 대해 제주항공 이혁중 CISO가 보고서를 발표했다. 항공업은 항공기 운행을 직접 현장에서 담당하는 오퍼레이션 업무와 사무실에서 지원하는 업무로 분리돼 근무 환경 및 형태가 다르다. 오퍼레이션 부분은 팬데믹 이전 및 후에 업무의 편리성을 위해 원격에서 접근할 수 있는 방법들을 고민해 모바일 업무 환경으로 개발해 운영되고 있어서 PC를 사용해야 하는 특정 업무를 제외하고 일반업무에 어려움이 없도록 진행되고 있다. 다만 사무직군의 경우에는 다양한 실제 업무로 모바일화가 불가능해 재택 근무에서는 원격 접속 환경을 지원하고 이에 맞는 보안을 적절히 적용했다.
재택근무를 위한 기본 보안 환경은 회사의 시스템을 사용하기 위해 부여된 인증(Authentication), 접근 허가(Authorization) 과정을 거치게 되면 내부 애플리케이션을 접속해 업무를 수행하도록 하며 ‘정보 유출 방지와 악성코드 감염 방지’ 차원에서 다음과 같은 보안이 이루어진다.
모바일 환경에서는 임직원의 스마트폰에 대해 전용 앱을 설치해 운영하며, PC 사용 환경에서는 회사의 환경과 동일하게 적용될 수 있도록 네트워크 보안을 제외한 앤드포인트 보안이 적용된 회사에서 사용하던 노트북이나 회사 유휴 노트북 장비를 지원한다. 자산 반출입 시에는 반출 절차와 반입절차를 확립하고 현업 부서장의 결재를 통해 사용하는 것이 중요하다.
근무 환경을 진단할 때는 서버 및 네트워크 장비, 웹과 앱, 데이터 진단, 네트워크 및 앤드포인트 보안 장비 연동 등 각각 취약점을 진단하고, IT 운영 지원조직을 통해 취약점에 대해 조치하는 것이 중요하다.
모니터링 및 대응 단계에서는 임직원의 사전 허가된 디바이스만 접속을 허가하고, 회사의 VPN을 통해 사내 애플리케이션에 접속하는 경우 사전 차단 정책을 적용하고 있다.
특히, 랜섬웨어 등 악성코드에 대응하기 위해 메일 서비스, 악성 웹사이트 격리, 개인 노트북에 앤드포인트 보안 솔루션을 별도로 설치하는 등 다단계로 대응하고 있다.
보안 솔루션에 대응하기 위해 물리적 보안 외에도 회사 전 임직원에 대한 마인드 개선을 위해 외부 콘텐츠를 통한 온라인 교육을 운영함으로써 재택 시에도 언제든지 접속해 교육을 받을 수 있도록 조치했다. 추가로 주1회 보안과 관련된 이슈 기사를 모아 시큐레터를 발송해 보안의식을 고취하는 것도 중요하다.
▲재택근무 시 실시간 모니터링 대응 시나리오 기반 자동 격리 예시[이미지=KISA]
재택근무, 내부 보안 조치 및 실시간 모니터링 강화 방안 마련
넥슨의 김동춘 실장은 게임산업군에서의 ‘팬데믹 이후 재택근무 현황과 보안이슈 및 대응방안’에 대해 분석했다. 게임산업군은 웹, 소프트웨어 등의 개발 직군, 2D/3D 등의 아트 직군, 기획/설계, CS, 시스템/애플리케이션 엔지니어, 인사/회계/법무 등의 다양한 업무 형태가 있기 때문에 다양한 재택 인프라 환경 제공함에 따라 보안의 영역도 폭 넓고 다양하게 적용돼야 한다. 게임산업에서 재택 근무 대상은 △게임 개발 직군 2D/3D 개발/QA 직군 △아트직군 △CS직군 △엔지니어 직군 등으로 구분된다.
재택근무를 위한 주요 보안 고려 사항으로는 △접속하고자 하는 원격지 변동 △접속하고자 하는 원격지 디바이스 다양성 △접속하고자 하는 원격지 디바이스 보안수준 △접속하고자 하는 원격지 디바이스 사용자 모호성 △접속하려는 원격지 네트워크 보안수준 등으로 구분된다.
사내 PC에 접근할 때는 인증방식, 네트워크 암호화, 원격 디바이스 제어, 네트워크 보호 등에서 인증절차를 거쳐야 하며, 폐쇄망 PC에 접근할 때는 인증방식, 네트워크 암호화, 원격 디바이스 네트워크 제어, 네트워크 보호, 데이터 통제, VDI 통제 등이 필요하다.
가상 작업 환경에서는 워크스페이스 인증방식, 워크스페이스 네트워크 암호화, 워크스페이스 네트워크 제어, 워크스페이스 데이터 제어, 워크스페이스 통제, 인증방식, 네트워크 암호화 및 보호 절차를 거쳐야 한다. 내부 시스템은 보안 수준을 만족하지 못하거나 데이터 중요도가 높은 개인정보처리시스템 및 소스 저장소 등은 접근대상에서 제외된다.
자산 반출입 시에는 펜 타블릿, 모니터 등과 같이 일반 자산의 경우 현업 관리책임자와 구매관리부서, 물리보안부서에서 확인 및 승인해 반출되도록 구성하며, 회사의 데이터가 적재되는 자산의 경우 보안부서가 최종 검토하도록 프로세스를 구성해 운영하고 있다.
재택근무 환경 진단은 내부 자체 진단과 외부 화이트 해커 진단으로 구분하며, 취약점 진단 및 모니터링 조치 등을 거치도록 조치했다.
모니터링 및 대응 단계에서는 보안포털에서 관리되는 내부 재택근무 위협 시나리오 SOAR를 기반으로 실시간 탐지하도록 구현하며, 보안포털과 보안솔루션, 내부 서비스와 통합 연동하여 위협 시나리오 탐지 시 실시간 자동 대응하도록 구현 운영하고 있다.
임직원의 인식 개선으로는 내부 PC 팝업, 내무 모바일 애플리케이션 팝업 및 전사 공지 등 다양한 방식으로 교육과 캠페인을 진행하고 있다.
▲미국의 사이버보안 정보공유 거버넌스[이미지=KISA]
미국의 위협정보, 사이버보안 정보공유법 기반 네트워크 확립
마지막으로 정책제도 분과에서는 인하대학교 최수민 연구원이 ‘미국의 위협정보 공유체계’에 대해 분석했다. 기존의 사이버보안은 미국 내 주요 기반시설에 대한 개별적인 보안에 중점을 주고 시행했지만, 2013년 초 미국의 주요 언론사에 대한 사이버 공격이 이슈가 되며 사이버 보안에 대한 정보공유 및 통합적 관리가 필요함을 인지했다.
오바마 대통령은 물리적 또는 가상의 국가적 자산을 보호하기 위한 행정명령(행정명령 13636)을 시행해 정부기관이 사이버위협 관련 정보를 민간과 공유하도록 명령했다.
사이버 보안을 위한 정보공유 강화 법안(CISPA, CISA 등)이 다양한 입법노력에도 불구하고 개인정보 이슈로 인해 2014년 의회에서 부결됐다. 하지만 2014년 11월에 발생한 소니 픽처스 엔터테인먼트 회사 관계자 간 메일, 직원 개인정보와 미공개 영화 등 정보가 유출된 해킹 사건을 계기로 백악관을 중심으로 사이버 안보 강화를 위한 정보공유의 필요성이 대두됐다.
2014년부터는 eBay, Home Depot, JP Morgan Chase, 소니픽처스, 인사관리처(OPM) 등을 대상으로 한 대규모 사이버 침해사고가 연이어 발생했다. 이에 사이버보안 정보공유법(CISA)이 2015년 회기에 입법했으며, 사이버 위협지표(CTI)와 방어조치(DM) 개념을 도입했다.
사이버보안 정보공유법(CISA) 명시 조항에 따라 주요 연방정부기관은 관련 가이드라인을 개발해 △연방정부의 CTI와 DM 공유 가이드라인 △연방정부와의 CTI 및 DM 공유를 위한 비연방주체 지원가이드라인 △연방정부를 통한 CTI 및 DM 수신 절차에 대한 가이드라인 △개인정보 가이드라인 등 총 4종의 가이드라인이 DHS, DoJ, DNI, DoD를 통해 배포했다.
사이버보안 정보공유법은 국토안보부(DHS)의 사이버보안 및 인프라 보안 기관(CISA)을 중심으로 관련 기관이 지원한다. 국가정보국(DNI)의 사이버위협정보통합센터(CTIIC)는 2015년에 설립돼 정보기관을 중심으로 국가안보에 영향을 미칠 수 있는 국외 사이버위협 정보를 수집하고 공공-민간의 효과적인 대응을 지원하고 있다. 국방부(DoD)의 사이버범죄센터(DC3)는 방위산업기지 협력정보(DCISE)를 통해 DIB 파트너 간 CTI를 공유한다.
연방수사국(FBI)의 국가사이버수사합동TF(NCIJTF)는 상무부(DoC), 국방부(DoD), 에너지부(DoE), 국토안보부(DHS), 법무부(DoJ), 재무부(DoT), 국가정보국(DNI) 등 24개 기관 대표들이 참여하는 사이버위협 수사 및 작전 수행과 관련한 정보공유 태스크포스로 운영되고 있다.
▲2022 사이버보안 대연합 보고서 발간 보고서 표지[자료=KISIA]
사이버 위협정보는 정보를 중요도에 따라 구분, 수집 및 공개하는 신호등프로토콜(TLP, Traffic Light Protocol)을 사용해 수신자가 적용할 것으로 예상되는 공유 경계를 나타내기 위해 4가지 색상을 사용해 구분하고 있다.
기관마다 다른 용어는 NIEM(National Information Exchange Model)를 재정의했으며, CISA는 공개 가능한 일부 정보를 자동지표공유(AIS)로 참가자들에게 무료로 제공하고 있다.
정부기관과 민간기관은 정보공유법에 따라 각각 속한 그룹에서의 CTI 정보를 공유하고 있으며, 기관이 CISA 사이트에 사이버침해사고를 신고할 경우에는 신고자 정보, 확인할 수 있는 IP주소나 이메일 주소, 방어조치, 공격패턴, 취약점관련 내용 등을 상세히 기록하고 있다.
사이버 위협정보의 표현규격은 개방형 표준을 사용하며, 자동위협 지표를 공유할 때는 익명화해 제출자의 사전 동의 없이는 제출자의 신원을 미공개한다. CISA를 통해 공유하는 정보는 △통지 요건 △사고 통지 제출 △영향 및 심각도 평가 △주요 사건 △영향 범주 설명 △공격 벡터 △공격 벡터 분류 △인시던트 속성 등이 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
