.jpg)
.gif)
[보안뉴스=신현범 기술사/셈틀웨어 대표] 최근 우리나라 공공기관을 대상으로 한 사이버 공격이 급증하고 있다. 국정원 국가사이버안보센터 자료에 따르면, 지난해 국제 및 국가 배후 해킹 조직에 의한 국내 해킹 피해 건수는 전년 대비 약 60% 이상 급증한 것으로 나타났다.
2023년 하반기부터 북한과 러시아 등 국가 배후 조직의 공격 시도가 대폭 늘었으며, 그 수법 또한 더욱 정교해져 사이버 안보 위협이 크게 늘었다. 사이버 공격 유형은 해킹 메일 유포·무단 메일 열람 등 이메일 관련 위협이 67%로 늘어났지만, 악성코드 감염은 14%로 감소했다.
[자료: gettyimagesbank]
주요 공격 사례로는 △제로데이 취약점을 악용한 공급망 공격 △국가·공공기관 대상 무차별적인 해킹메일 유포 △친러 해킹그룹의 공공·국가기관 대상 DDoS 공격 등이 있었다. 이는 국가 안보 차원의 심각한 위협이며, 공공기관의 개인정보 유출과 시스템 마비를 초래하고 있다.
2024년 중앙선거관리위원회, 교육부 커리어넷, 재난안전통신망, 사회복지자원봉사 인증관리시스템 등 주요 공공기관에서 잇따른 해킹 사고가 발생했다. 특히 법원 전산망 해킹 사건은 북한 해커 조직 ‘라자루스’에 의해 약 1TB 이상의 개인정보가 유출된 심각한 사례로, 주민등록번호와 금융정보 등 민감한 정보가 다량으로 유출됐다.
2024년 말 범정부 전자문서 관리 프로그램 온나라를 개발하고 구축, 운영하는 업체가 해킹을 당해 관련 자료를 대거 탈취당했다. 정부 내부망에서 정부 부처들끼리 문서를 공유하고 결제하기 위한 통합 시스템을 해킹한 사례로, 정부 시스템을 향한 직접 공격 대신 상대적으로 보안이 취약한 관련 업체를 우회 해킹한 것으로 밝혀졌다. 정부 관련 업체들의 보안 강화도 필요한 이유다.
이러한 공격의 공통된 특징은 대부분 기본적 보안 원칙을 준수하지 않은데서 비롯한다는 점이다. 최신 보안 패치 미적용으로 인한 제로데이 취약점 노출과 정기적 보안 감사 및 점검 미 실시, 접근 권한 관리 미흡으로 인한 내부망과 외부망의 경계 붕괴, 직원들의 보안 인식 부족, 기본 포트 사용, 불필요한 서비스 비활성화 등 기본적 보안 관리 소홀이 주요 원인으로 지적된다. 이는 단순한 기술적 결함을 넘어, 조직의 전반적인 보안 거버넌스 미흡, 인적·관리적 보안 소홀 등 복합적 문제에서 기인한다.
공공시스템의 주요 보안 취약점은 크게 세 가지로 요약할 수 있다.
첫째, 최근 3년간 공공기관과 지방자치단체에서 유출된 개인정보가 500만명분에 달하며, 해킹으로 대규모 개인정보 유출사고가 빈번하개 발생하고 있다. 즉, 개인정보 관리 부실이다. 민감한 개인정보를 평문으로 저장하거나 오래된 개인정보를 불필요하게 장기보관해 유출 위험을 높이고 있다.
둘째, 중앙선거관리위원회 해킹 사건 등에서 내부망 주소와 접속 정보가 외부로 노출되어 공격자가 손쉽게 내부 시스템에 접근한 사례에서 보듯, 접근 통제 정책이 부실하거나 내부망과 외부망 분리가 제대로 이뤄지지 않아서 비롯된 문제다.
셋째, 크리덴셜 스터핑과 같은 자동화된 공격에 대한 대응 미비다. 한국고용정보원과 한국장학재단 사례는 로그인 횟수 제한이나 다중 인증 등 기본적인 방어책이 제대로 작동하지 않았다.
앞에 언급한 보안 취약점에 대응하고, 공공기관의 사이버보안을 강화하기 위해 다음과 같은 다섯 가지의 대응 방안을 제안한다. 원칙은 단순 규정 이행을 넘어, 전체 공공기관의 사이버 복원력을 높이는 핵심 기반임을 명심해야 한다. (한국정보공학기술사 보안을 論하다-13] “사이버 레질리언스 첫걸음 참고)
1. 기본 보안 원칙의 철저한 준수: 최신 보안패치의 적용과 기본 포트 변경, 불필요한 서비스 비활성화 등 보안에 취약한 프로토콜은 반드시 비활성화하거나 안전한 프로토콜 등 가장 기본적이고 필수적인 보안 원칙을 철저히 지켜야 한다. 특히, VPN 등 원격 접근 서비스는 반드시 최신 보안 업데이트를 적용하고 다중 인증을 의무화해야 한다.
2. 접근 권한 관리와 데이터 암호화 강화: 개인정보와 중요 데이터에 대한 접근 권한을 최소화하고, 중요 데이터는 AES-256 등 강력한 암호 알고리즘을 이용해 저장 시 반드시 암호화하여 저장해야 한다. 접근 권한은 필요에 따라 최소화하고, 내부망과 외부망 철저 분리 및 접근 통제 정책을 엄격히 운용해 정기적인 권한 검토를 통한 불필요한 접근을 차단해야 한다.
3. 자동화 공격 대응 체계 구축: 크리덴셜 스터핑과 같은 자동화된 공격에 대비하기 위해 로그인 시도 제한, 다중 인증 필수 적용, 이상 로그 탐지 및 차단 시스템을 구축해야 한다. 특히 로그인 시도 패턴 분석을 통해 임계치를 유연하게 조정하는 시스템 등이 필요하다.
4. 정기적 보안 점검과 모의 훈련 실시: 정기적 보안 감사와 취약점 진단을 의무화하고, 실제 공격을 가장한 모의 해킹 훈련을 실시해 시스템 보안 상태를 지속적으로 점검하고 개선해야 한다. 분기별 침투 테스트를 통한 실제 공격 시나리오 기반 모의 훈련 실시와 모의 훈련 결과를 기반으로 한 보안 정책 및 시스템 설정 지속적 개선 등의 활동은 보안 담당자뿐 아니라 일반 직원까지 참여해 보안 인식을 높이는 계기가 될 수 있다.
5. 보안인식 제고와 전문성 강화: 보안 사고의 상당 부분은 직원들의 보안 인식 부족에서 비롯된다. 따라서 전 직원 대상의 정기적이고 실질적인 보안 교육과 최산 사이버보안 위협 동향 및 대응책에 대한 지속적인 교육 및 훈련을 제공해야 한다. 또 공공기관의 개인정보보호책임자 및 보안 담당자의 전문성을 높이기 위해 민간기업 수준의 경력 및 자격 요건을 적용해 전문성을 확보하도록 해야 한다.
신현범 기술사 [자료:셈틀웨어]
공공기관의 사이버보안 문제는 더 이상 개별 기관만의 문제가 아니라 국가 안보와 직결된 문제다. 행정·공공기관 등은 대량의 개인정보와 국가의 중요 정보를 보유하고 있는 만큼, 더욱 철저한 보안시스템과 관리 체계가 요구된다. 디지털 전환 가속화되는 현 시점에서 사이버보안은 선택이 아닌 필수 요건이다.
공공기관이 국민의 신뢰를 유지하고, 국가 안보를 견고히 하기 위해서는 전사적 차원의 보안 관리 체계 점검과 실질적 강화가 시급하다. 특히, 보안은 특정 IT 부서만의 책임이 아니라 조직 전체의 공동 과제임을 명확히 인식해야 한다. 모든 공공시스템 관련 인원이 보안의 중요성을 충분히 이해하고, 이를 실천하는 조직 문화를 정착시킬 때 비로소 실효성 있는 사이버보안이 구현될 수 있다.
[글_신현범 기술사/셈틀웨어 대표]
필자 소개_
- 셈틀웨어㈜ 대표이사
- 한국정보공학기술사회 블루보드위원회 위원장
- 한국정보공학기술사회 미래융합기술원 위원
- 한국기술사회 청년위원회 위원
- 정보통신산업진흥원(NIPA), 한국인터넷진흥원(KISA), 한국교통안전공단, 창업진흥원 평가위원
- TOPCIT(소프트웨어 역량 검정시험) 시험위원
- 정보관리기술사, 정보시스템 수석감리원, 정보보안기사, CPPG
- 다년간 공공 IT 시스템 구축 및 유지관리 사업 및 전문위원으로 활동하며, 최근 공공정보 시스템의 신기술 도입과 보안 트렌드에 관심을 갖고, 전문성을 강화, 후배 양성을 위해 노력하고 있다.
2023년 하반기부터 북한과 러시아 등 국가 배후 조직의 공격 시도가 대폭 늘었으며, 그 수법 또한 더욱 정교해져 사이버 안보 위협이 크게 늘었다. 사이버 공격 유형은 해킹 메일 유포·무단 메일 열람 등 이메일 관련 위협이 67%로 늘어났지만, 악성코드 감염은 14%로 감소했다.
[자료: gettyimagesbank]
주요 공격 사례로는 △제로데이 취약점을 악용한 공급망 공격 △국가·공공기관 대상 무차별적인 해킹메일 유포 △친러 해킹그룹의 공공·국가기관 대상 DDoS 공격 등이 있었다. 이는 국가 안보 차원의 심각한 위협이며, 공공기관의 개인정보 유출과 시스템 마비를 초래하고 있다.
2024년 중앙선거관리위원회, 교육부 커리어넷, 재난안전통신망, 사회복지자원봉사 인증관리시스템 등 주요 공공기관에서 잇따른 해킹 사고가 발생했다. 특히 법원 전산망 해킹 사건은 북한 해커 조직 ‘라자루스’에 의해 약 1TB 이상의 개인정보가 유출된 심각한 사례로, 주민등록번호와 금융정보 등 민감한 정보가 다량으로 유출됐다.
2024년 말 범정부 전자문서 관리 프로그램 온나라를 개발하고 구축, 운영하는 업체가 해킹을 당해 관련 자료를 대거 탈취당했다. 정부 내부망에서 정부 부처들끼리 문서를 공유하고 결제하기 위한 통합 시스템을 해킹한 사례로, 정부 시스템을 향한 직접 공격 대신 상대적으로 보안이 취약한 관련 업체를 우회 해킹한 것으로 밝혀졌다. 정부 관련 업체들의 보안 강화도 필요한 이유다.
이러한 공격의 공통된 특징은 대부분 기본적 보안 원칙을 준수하지 않은데서 비롯한다는 점이다. 최신 보안 패치 미적용으로 인한 제로데이 취약점 노출과 정기적 보안 감사 및 점검 미 실시, 접근 권한 관리 미흡으로 인한 내부망과 외부망의 경계 붕괴, 직원들의 보안 인식 부족, 기본 포트 사용, 불필요한 서비스 비활성화 등 기본적 보안 관리 소홀이 주요 원인으로 지적된다. 이는 단순한 기술적 결함을 넘어, 조직의 전반적인 보안 거버넌스 미흡, 인적·관리적 보안 소홀 등 복합적 문제에서 기인한다.
공공시스템의 주요 보안 취약점은 크게 세 가지로 요약할 수 있다.
첫째, 최근 3년간 공공기관과 지방자치단체에서 유출된 개인정보가 500만명분에 달하며, 해킹으로 대규모 개인정보 유출사고가 빈번하개 발생하고 있다. 즉, 개인정보 관리 부실이다. 민감한 개인정보를 평문으로 저장하거나 오래된 개인정보를 불필요하게 장기보관해 유출 위험을 높이고 있다.
둘째, 중앙선거관리위원회 해킹 사건 등에서 내부망 주소와 접속 정보가 외부로 노출되어 공격자가 손쉽게 내부 시스템에 접근한 사례에서 보듯, 접근 통제 정책이 부실하거나 내부망과 외부망 분리가 제대로 이뤄지지 않아서 비롯된 문제다.
셋째, 크리덴셜 스터핑과 같은 자동화된 공격에 대한 대응 미비다. 한국고용정보원과 한국장학재단 사례는 로그인 횟수 제한이나 다중 인증 등 기본적인 방어책이 제대로 작동하지 않았다.
앞에 언급한 보안 취약점에 대응하고, 공공기관의 사이버보안을 강화하기 위해 다음과 같은 다섯 가지의 대응 방안을 제안한다. 원칙은 단순 규정 이행을 넘어, 전체 공공기관의 사이버 복원력을 높이는 핵심 기반임을 명심해야 한다. (한국정보공학기술사 보안을 論하다-13] “사이버 레질리언스 첫걸음 참고)
1. 기본 보안 원칙의 철저한 준수: 최신 보안패치의 적용과 기본 포트 변경, 불필요한 서비스 비활성화 등 보안에 취약한 프로토콜은 반드시 비활성화하거나 안전한 프로토콜 등 가장 기본적이고 필수적인 보안 원칙을 철저히 지켜야 한다. 특히, VPN 등 원격 접근 서비스는 반드시 최신 보안 업데이트를 적용하고 다중 인증을 의무화해야 한다.
2. 접근 권한 관리와 데이터 암호화 강화: 개인정보와 중요 데이터에 대한 접근 권한을 최소화하고, 중요 데이터는 AES-256 등 강력한 암호 알고리즘을 이용해 저장 시 반드시 암호화하여 저장해야 한다. 접근 권한은 필요에 따라 최소화하고, 내부망과 외부망 철저 분리 및 접근 통제 정책을 엄격히 운용해 정기적인 권한 검토를 통한 불필요한 접근을 차단해야 한다.
3. 자동화 공격 대응 체계 구축: 크리덴셜 스터핑과 같은 자동화된 공격에 대비하기 위해 로그인 시도 제한, 다중 인증 필수 적용, 이상 로그 탐지 및 차단 시스템을 구축해야 한다. 특히 로그인 시도 패턴 분석을 통해 임계치를 유연하게 조정하는 시스템 등이 필요하다.
4. 정기적 보안 점검과 모의 훈련 실시: 정기적 보안 감사와 취약점 진단을 의무화하고, 실제 공격을 가장한 모의 해킹 훈련을 실시해 시스템 보안 상태를 지속적으로 점검하고 개선해야 한다. 분기별 침투 테스트를 통한 실제 공격 시나리오 기반 모의 훈련 실시와 모의 훈련 결과를 기반으로 한 보안 정책 및 시스템 설정 지속적 개선 등의 활동은 보안 담당자뿐 아니라 일반 직원까지 참여해 보안 인식을 높이는 계기가 될 수 있다.
5. 보안인식 제고와 전문성 강화: 보안 사고의 상당 부분은 직원들의 보안 인식 부족에서 비롯된다. 따라서 전 직원 대상의 정기적이고 실질적인 보안 교육과 최산 사이버보안 위협 동향 및 대응책에 대한 지속적인 교육 및 훈련을 제공해야 한다. 또 공공기관의 개인정보보호책임자 및 보안 담당자의 전문성을 높이기 위해 민간기업 수준의 경력 및 자격 요건을 적용해 전문성을 확보하도록 해야 한다.
신현범 기술사 [자료:셈틀웨어]
공공기관의 사이버보안 문제는 더 이상 개별 기관만의 문제가 아니라 국가 안보와 직결된 문제다. 행정·공공기관 등은 대량의 개인정보와 국가의 중요 정보를 보유하고 있는 만큼, 더욱 철저한 보안시스템과 관리 체계가 요구된다. 디지털 전환 가속화되는 현 시점에서 사이버보안은 선택이 아닌 필수 요건이다.
공공기관이 국민의 신뢰를 유지하고, 국가 안보를 견고히 하기 위해서는 전사적 차원의 보안 관리 체계 점검과 실질적 강화가 시급하다. 특히, 보안은 특정 IT 부서만의 책임이 아니라 조직 전체의 공동 과제임을 명확히 인식해야 한다. 모든 공공시스템 관련 인원이 보안의 중요성을 충분히 이해하고, 이를 실천하는 조직 문화를 정착시킬 때 비로소 실효성 있는 사이버보안이 구현될 수 있다.
[글_신현범 기술사/셈틀웨어 대표]
필자 소개_
- 셈틀웨어㈜ 대표이사
- 한국정보공학기술사회 블루보드위원회 위원장
- 한국정보공학기술사회 미래융합기술원 위원
- 한국기술사회 청년위원회 위원
- 정보통신산업진흥원(NIPA), 한국인터넷진흥원(KISA), 한국교통안전공단, 창업진흥원 평가위원
- TOPCIT(소프트웨어 역량 검정시험) 시험위원
- 정보관리기술사, 정보시스템 수석감리원, 정보보안기사, CPPG
- 다년간 공공 IT 시스템 구축 및 유지관리 사업 및 전문위원으로 활동하며, 최근 공공정보 시스템의 신기술 도입과 보안 트렌드에 관심을 갖고, 전문성을 강화, 후배 양성을 위해 노력하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)