제조사 솔루션 취약점, 용역사 보안관리 취약점, 비정상통신, 바이러스·악성코드 탐지 등
[보안뉴스 김경애 기자] 국방 침해사고 유형 사례로 웹 서버 정보 노출 취약점, 정부기관 사칭 해킹메일 유포, 제조사 솔루션 취약점, 용역사 보안관리 취약점, 비정상통신 등인 것으로 조사됐다.
[이미지=gettyimagesbank]
침해사고 유형·사례
국방 분야 침해사고 유형과 관련해 한국국방연구원 신수민 연구원은 ‘2024년 상반기 침해사고 정보공유 세미나’에서 “공격자는 악성코드 공격, 비인가 접근, 비인가 서비스 사용, 서비스 방해, 오용 등 공격자는 다양한 공격 수법을 활용한다”고 밝혔다.
첫째, 공격자는 컴퓨터 파괴 혹은 네트워크 마비, 보안을 무력화해 정보를 유출하는 등의 악의적인 행위를 위해 바이러스를 포함한 악성코드를 활용한다.
둘째, 공격자는 개인 사용 메일계정 탈취 목적의 피싱 메일이나 메일 본문 혹은 대용량 첨부파일 링크 형태로 악성코드를 첨부한 해킹 메일을 발송한다.
셋째, 이상 행위 통신으로 사용자 단말에서 외부 도메인으로의 통신 시도, 관리 대역이 아닌 IP로 통신시도, 미상의 침해지표로 주기적이고 장시간 통신 등 비정상 통신을 시도한다.
넷째, 내·외부망을 연결하거나 단말을 다른 네트워크에 연결하는 망혼용 행위를 펼친다.
다섯째, 허용된 IP 대역 외 단말기 또는 네트워크 장비에 접속해 탐지·차단하는 등 비인가 접근을 시도한다. 이렇게 침입한 공격자는 불법침입, 불법탈취, 불법경유, 자료유출, 자료변조, 자료삭제, 불법자료저장, 업무방해, 서비스 방해 등의 행위를 한다.
침해사고 관련 이슈로 신수민 연구원은 ①웹 서버 정보 노출 취약점 ②정부기관 사칭 해킹메일 유포 ③제조사 솔루션 취약점 ④용역사 보안관리 취약점 ⑤비정상통신 ⑥바이러스·악성코드 탐지 ⑦정기·수시 보안 업데이트 ⑧다크웹·해킹포럼 개인정보 노출 ⑨위장·사기 앱 유포 ⑩특정 시스템 사용 시 보안대책 강화 ⑪언론·첩보 수집을 통한 해킹 확산 보안대책 ⑫메일 무단 열람 등을 꼽았다.
국방 침해사고 조사 및 관리체계
현재 국방 침해사고 조사 및 관리체계는 △법률과 행정규칙 △사이버방호태세 △국가사이버위기경보 등릐 관리체계로 운영된다.
침해사고 관련 법률은 ①방위사업법 ②군사기밀보호법 ③정보통신기반보호법 ④정보보호산업법 ⑤국가정보원법 ⑥정보통신망법 ⑦전자정부법 ⑧전자금융거래법 ⑨중소기업기술보호법 ⑩개인정보보호법이 해당된다.
행정규칙은 ①국방보안업무훈령 ②국방사이버안보훈령 ③국가위기관리훈령 ④보안업무규정 ⑤사이버안보업무교정 ⑥국가사이버안전관리규정 ⑦국가위기관리기본지침 ⑧국가정보보호기본지침 등이 있다.
사이버방호태세(CPCON)의 △목적은 적 사이버위협 증가 및 국가 사이버위기 고조시 공공 사이버위기경보와 연계해 국방 사이버공간에서 우위를 확보하고 등급별 적시적 조치로 군사작전 수행을 보장하는 것이다. △적용범위는 합동참모본부, 육·해·공군, 해병대, 국직부대 및 각 기관에 적용된다. △발령 및 운영은 합동참모본부의장이 승인 후 변경되며, 합동참모본부의 지휘·감독 하 사이버작전 작전통제를 받는 부대·기관에 합참 단편 명령으로 하달한다.
국가사이버위기경보는 사이버방호태세와 연계·공조한다. 국가사이버위기경보 설정 기준은 △평시 국방 사이버공간에서 정상적인 활동이 가능한 상태인 ‘정상’△위험징후 증가 단계인 ‘관심’ △소수기관 피해 단계인 ‘주의’ △다수기관 피해 단계인 ‘경계’ △국가차원 대규로 피해단계인 ‘심각’으로 구분된다.
침해사고 조사 및 대응 절차
침해사고 조치 및 대응절차는 먼저 상급기관·관제지원조직이 기관 내부 자체 장비인 SIEM, NAC, 방화벽, 매체제어, 기타 관제 등으로 운영·모니터링을 한다.
다음으로 침해사고 접수·초기대응으로 탐지, 사고접수, 상황전파, 초기대응을 진행하고, TAP 장리·로그 수집과 자체 장비 수집·분석을 진행한다.
이어 침해사고 조사·분석으로는 증적 수집(원격), 현장 방문해 디지털포렌식 등을 통한 정보수집과 증적·상세분석을 진행한다.
후속조치·개선은 인터뷰, 개선, 보안 교육, 결과 보고 등 침해경위를 파악하고, 원인분석을 통해 개선하도록 하고 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>