Q. 통신사인데, APT 공격 대응을 위해서 사내 보안정책을 통해 수립하고 있습니다. APT 공격 대응을 위한 사내 보안정책 중에서 가장 고려해야 할 것은 무엇인가요?
 



A-1. APT 공격은 관리가 취약한 지점으로부터 시작되기 때문에 직원들의 PC보안 및 계정관리, 보안인식 제고 등 엔드포인트 보안이 가장 중요합니다. 정기적으로 운영체제, 응용프로그램 등의 업데이트를 실시하고 PC 보안상태를 점검하여 조치할 수 있도록 체계마련이 필요합니다.



이메일 및 홈페이지 등을 통해 악성코드에 감염되지 않도록 악성코드가 직원 PC에 전달되기 전에 차단할 수 있도록 보안 솔루션을 적재적소에 배치하는 것도 중요하며, 만약 직원 PC가 공격자에게 장악되더라도 서버에 임의 접근할 수 없도록 주요 지점에 대한 접근제어 정책을 적용해야 합니다. 악성코드 감염이나 이상 트래픽, 비정상 접속 여부 등을 판단하고 분석할 수 있는 보안팀을 조직·운영하는 것도 중요할 것 같습니다.
(황보성 한국인터넷진흥원 팀장/hbs2593@kisa.or.kr)

A-2. 외부에서 접근하는 요소가 회사 자산에 접근하는 것을 체크해 봐야 합니다. 외부 리소스(메일, 웹, agent 프로그램, USB, 외주직원, BYOD 등)를 통한 내부자원 접근통제 유무 점검과 보완통제의 기능적 유효성들은 주기적으로 점검해 줘야 합니다.
(박찬주 노브레이크 수석/root.mahanaim@gmail.com)

A-3. 외부 네트워크와의 접점, 즉 메일 및 사내 인터넷에 대한 모니터링이 가장 중
요하다고 생각됩니다. 또한 사내의 보안의식 고취를 위한 지속적인 보안교육이 필요합니다.

A-4. Social Engineering을 통한 다양한 침투테스팅(Pen testing)이 가장 좋은 방법입니다. 하지만 많은 비용이 투입될 것입니다.
(김용대 한국과학기술원 교수/yongdaek@kaist.ac.kr)

A-5. 주로 대기업에서는 망분리를 하고 인터넷 PC와 업무용 PC를 따로 사용하고있습니다. 그러나 망분리가 된 환경에서도 망간자료 전송시스템, E-mail, USB/모바일 기기 등의 이동식 저장매체 사용으로 실행파일, 문서파일의 형태로 악성코드가 침투될 가능성이 있고, 얼마든지 감염될 위험이 존재합니다.

그러므로 외부와 연결되는 모든 경로에서 악성코드를 차단할 수 있도록 하는 동시에 사내에서 설치해서 사용할 수 있는 프로그램과 프로세스를 관리하고 외부에서 유입된 악성코드가 잠복기를 갖고 추후에 활동하더라도 방지할 수 있도록 관리하는 것이 중요합니다.
(조태희 소프트캠프 R&D 기획조정실 차장/thcho@softcamp.co.kr)

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>