사이버 공격, 기업이 취해야 할 대책은? 수법의 종류와 피해 사례 소개

기업의 웹사이트나 서버에 대한 부정한 공격이 끊이지 않고 있어 기업마다 사이버 공격 대책의 중요성이 커지고 있다. 이러한 사이버 공격의 기본 지식과 최근 동향, 공격의 목적, 구체적인 사례와 대응책 등 기업 보안 담당자가 알아야 할 정보를 설명한다. 공격에 대한 예방책과 만약 감염되었을 때의 대처법, 만일의 사태에 대비하여 협력하고 싶은 사이버 보안 전문 기업도 소개한다.

사이버 공격이란?

사이버 공격이란 서버나 컴퓨터 등 컴퓨터 시스템에 대한 파괴 활동이나 데이터 탈취, 변조 등을 말한다. 불특정 다수의 개인이나 기업을 겨냥한 것부터 특정 기업이나 국가를 겨냥한 것까지 그 대상도 다양하다. 시스템에 침입해 기밀 정보나 개인정보 등을 훔치거나 웹사이트나 온라인 서비스를 공격해 다운시키는 등 한 마디로 사이버 공격이라고 해도 그 목적과 수법도 매우 다양하다.

사이버 공격의 최근 동향

사이버 공격이 인지되기 시작한 2000년경에는 무차별적으로 보낸 메일로 컴퓨터를 바이러스에 감염시켜 데이터를 파괴하는 등 유희적 괴롭힘이 주를 이루었다. 이후 공격 수단은 점차 교묘해져 최근에는 몸값 요구형 바이러스인 랜섬웨어 등으로 공격을 알아차리기 어려운 '눈에 띄지 않는 공격'이 주류를 이루고 있다.

일본 국내뿐만 아니라 전 세계적으로도 사이버 공격은 증가하는 추세다. 개인의 스마트폰 보급, 기업의 클라우드 활용 등 IT 인프라가 다양해지고 진화하는 가운데, 공격 수법도 진화하고 있다.

사이버 공격의 목적

사이버 공격의 목적은 다양하지만 최근에는 금전적 목적의 범행이 증가하는 추세다. 국가나 기업의 정보를 훔치거나 무단으로 접근하여 유출하는 등의 정보공작이나 절도, 스파이 활동, 정치적, 사회적 주장을 목적으로 하는 사상가들의 범행, 그리고 기업이나 국가의 시스템을 다운시켜 활동을 방해하는 등 다양한 목적으로 이루어지기 때문에 모든 기업에게 있어 사이버공격은 다른 사이버 공격은 모든 기업에게 있어 인사적 공격이 아닌 사이버 공격입니다.

사이버 공격의 종류

사이버 공격은 나날이 발전하고 있으며, 다양한 종류가 존재합니다. 각각의 수법에 대해 설명합니다.

악성코드

멀웨어는 컴퓨터 등 기기에 침입해 악의적인 활동을 하는 소프트웨어의 총칭이다. "Malicious(악의적인)와 Software(소프트웨어)의 합성어이다. 데이터 파괴, 도용, 시스템 부정 접속 등을 포함하며, 대표적인 것으로는 바이러스, 트로이 목마, 스파이웨어 등을 들 수 있다.

랜섬웨어

랜섬웨어는 악성코드의 일종으로 몸값을 요구하는 바이러스를 말한다. 파일이나 데이터를 암호화해 접근을 불가능하게 하고, 복구 대가로 몸값을 요구하는 것이 특징적인 수법으로 최근 많은 국가와 기업이 큰 피해를 입고 있다.

노웨어 랜섬

노웨어 랜섬(Noware Ransome)은 새로운 사이버 공격 기법으로, 일반적인 랜섬웨어 공격에서 볼 수 있는 데이터 암호화를 생략하고 탈취한 데이터로 협박을 한다. 이러한 데이터 암호화를 사용하지 않는 공격의 조짐은 2021년경부터 나타나고 있으며, 암호화가 없기 때문에 피해 발생을 알아차리기 어렵다는 특징이 있다.

피싱 사기

불특정 다수를 대상으로 공격하는 피싱 사기는 신용카드나 인터넷 은행 등의 서비스를 사칭해 사용자의 로그인 정보 등을 탈취한다. 신용카드를 도용당하는 등 많은 사람들에게 친숙하고 피해가 끊이지 않는 수법이다.

DoS 공격/DDoS 공격

DoS 공격/DDoS 공격은 표적 서버에 대량의 접속과 데이터를 보내는 사이버 공격이다. 서버에 과부하를 일으켜 웹사이트 접속 장애나 서버 다운을 유발한다. 특정 기업을 괴롭히거나 공격 중단을 대가로 금전적 대가를 요구하는 것이 목적이다.

표적형 공격

표적형 공격은 특정 조직이나 사용자를 대상으로 하는 사이버 공격이다. 고객이나 실존하는 기업이나 조직을 사칭해 악성 파일을 첨부하거나 악성 사이트로 유도하는 링크를 첨부한 이메일을 보내 단말기를 바이러스에 감염시키려는 공격이다.

사이버 공격의 주요 피해 사례

사이버 공격의 주요 피해 사례와 그 피해 상황 및 내용에 대해 컴퓨터 바이러스 및 부정 접속 신고 사례 중 일부를 소개합니다.

출처] 독립행정법인 정보処理推進機構「컴퓨터 바이러스-부정접속 신고 사례」
https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/000108764.pdf

컴퓨터 바이러스 탐지 및 감염 피해

기업의 PC 1대가 바이러스에 감염되었고, 원인은 웹 사이트 열람으로 감염된 것으로 추정됨. 대응책으로 감염된 컴퓨터 초기화 등을 실시하고 신규 컴퓨터를 구입했다. 재발 방지책으로 웹사이트 열람 시 콘텐츠 필터링 적용을 철저히 했다.

몸값을 요구하는 사이버 공격의 피해

기업 서버에서 랜섬웨어로 추정되는 부정 접속이 확인되어 조사한 결과, 수백 대의 PC가 LockBit이라는 랜섬웨어에 감염된 것으로 확인되었습니다. 공격자가 VPN 장비의 취약점을 악용해 기업 시스템 내로 침입해 PC를 암호화한 것으로 추정된다고 한다. 네트워크 차단, OS 및 소프트웨어 업데이트와 함께 모니터링 및 보안 관리 체계를 강화했다.

취약점 및 설정 미비점을 악용한 부정 접속 사례

기업이 운영하는 임대 서버의 웹사이트에 의심스러운 페이지가 공개되었다는 연락을 받고 조사한 결과, 서버 내에 여러 개의 피싱 사이트를 확인했다. 이후 복구 작업을 진행하던 중 서버가 작동 불능 상태가 되어 재조사한 결과, 서버의 시스템 영역까지 포함한 파일 삭제가 확인되었다. 원인은 취약한 버전의 CMS를 사용했기 때문으로 추정하고, 재발 방지책으로 웹사이트를 폐쇄하고 부정 접속 원인에 대한 대책을 수립한 후 보안이 강화된 서비스로 전환하였습니다.

아이디와 비밀번호 인증이 뚫린 부정 접근

기업에서 운영하는 EC 사이트에서 특정 회원으로부터 단시간에 여러 건의 주문이 이루어진 것을 발견했다. 조사 결과, 공격자가 부정하게 회원 가입을 하고 신용카드 유효성을 확인하는 공격이 이루어진 것으로 확인됨. 신용카드 정보 입력 횟수 제한을 두지 않아 공격자에게 악용된 것으로 추정. 신용카드 입력 횟수 제한 및 공격으로 판단되는 접속을 차단하는 기능을 갖춘 서비스를 도입하는 등 재발 방지책을 마련했습니다.

사이버 공격에 대한 대책

모든 기업과 개인이 타깃이 될 수 있는 사이버 공격. 다양한 사이버 공격으로부터 자신을 보호하기 위해 구체적으로 어떤 대책을 세워야 하는지 알아본다.

개인(직원)이 취해야 할 조치

개인이 취해야 할 대책으로는,

• 의심스러운 메일의 첨부파일이나 링크를 열지 않는다.
• OS 및 소프트웨어를 최신 버전으로 업데이트한다.
• 부정한 사이트에 접속하지 않는다.

등을 들 수 있습니다. 이를 통해 온라인 보안을 강화하고 사이버 공격으로부터 자신을 보호할 수 있다.

또한, 중요한 데이터는 정기적으로 백업하고, 백업 데이터는 오프라인 또는 클라우드 스토리지에 저장해두면 유사시 당황하지 않고 안전하게 보호할 수 있다. 공공 와이파이를 사용할 때는 개인 정보를 전송하지 말고, 비밀번호를 강력하게 설정하고 반복해서 사용하지 않는 것도 중요하다.

기업이 취해야 할 조치

기업의 경우 개인보다 더 광범위하고 전략적인 접근이 필요하며, 다음과 같은 대책이 필요합니다.

• EPP/EDR 도입, SASE 도입
• 외부 메모리 연결 및 웹 사이트 열람 제한
• 직원 대상 보안 교육 실시
• 사이버 보안 전문기관에 대한 자문

EPP/EDR과 같은 보안 소프트웨어 도입은 기본이다. 원격근무가 보편화된 현재, 제로 트러스트 관점에서 엔드포인트의 보안을 포괄적으로 강화하는 SASE(Secure Access Service Edge) 도입이 앞으로 대세가 될 것으로 보인다.

또한, 직원들의 보안 의식을 높이는 것이 중요하다. 이를 위해 사내 보안 정책을 수립하고, 조직 내에서 이를 철저히 준수하도록 해야 한다. 또한, 직원들에게 주기적으로 사이버 보안 교육을 실시하고, 사이버 공격에 대한 정보 공유, 안전한 비밀번호 생성, 정보 취급에 대한 주의 등 관리 체계를 마련해야 한다. 문제가 발생하지 않도록 예방하는 것뿐만 아니라 유사시 신속한 해결을 위해서는 사이버 보안 담당자만으로는 대처가 어려운 경우도 있다. 사이버 보안 전문기관과 협력 체계를 구축해두면 안심할 수 있습니다.

사이버 공격 발생 시 대응

아무리 예방에 힘써도 예기치 못한 사고나 피할 수 없는 문제가 발생할 수 있습니다. 만약 사이버 공격을 받았을 경우, 피해 확대 방지와 2차 피해를 막기 위한 신속한 대응 방법에 대해 설명합니다.

감염된 정보 단말기의 네트워크 차단

감염된 시스템을 네트워크에서 차단하거나 격리하여 오프라인으로 전환함으로써 감염된 기기에서 다른 기기로 감염되는 것을 방지할 수 있다. 하지만 최근 랜섬웨어는 네트워크에 침입해 관리자 권한까지 장악하고 도메인 산하로 공격 범위를 확장하는 '래터럴 무브먼트(Lateral Movement)'라는 수법도 많이 발견된다. 따라서 네트워크 차단만으로는 위험성을 억제하지 못할 가능성이 높으며, 영향 범위와 피해 실태 조사를 위해서라도 신속하게 전문가에게 조사를 의뢰하는 것이 적절하다.

피해 내용 확인

어떤 공격이 있었는지, 그 성격과 방법을 파악하고 영향의 범위를 파악해야 한다. 어떤 데이터와 시스템이 침해되었는지 정확히 파악하는 것이 문제 해결의 단초가 될 수 있다.

복호화 툴로 복원하기

중요한 데이터는 백업에서 복구하는 것이 가장 이상적이지만, 일부 랜섬웨어의 경우 복호화 도구가 도움이 될 수 있다. 하지만 가짜 복호화 도구도 존재하므로 주의해야 한다. 피해를 최소화하기 위해 적절한 방법을 선택하고 신속하게 실행해야 합니다.

사이버 보안 전문 업체에 조사 의뢰하기

어떤 경우든 사내 보안 담당자만으로는 해결하기 어려운 난해하고 복잡한 사안이 많고, 갈수록 교묘해지는 수법에 대응하기 어려운 것이 현실이다. 초기 대응이 늦어지면 피해가 커질 위험도 있다. 사이버 공격이 발생하면 신속하게 전문가에게 조사를 의뢰하는 것이 현명한 선택이라고 할 수 있다.

사이버 공격에 대한 대책, 공격을 받았을 때의 대응은 프론테오에 문의하세요.

해킹이나 악성코드 감염의 피해를 발견했을 때는 정보 유출 등의 피해 상황, 바이러스 감염이나 부정 접속이 있었는지, 어떤 경로로 침입했는지 등을 조사할 필요가 있습니다. 보안 피해가 계속 증가하고 있는 가운데, 원인 조사 및 설명, 예방까지 사이버 공격과 관련된 모든 상담을 진행하는 전문 업체도 존재한다. 개인정보를 취급하는 기업이라면 사실관계를 조속히 파악하고 관계기관에 보고할 의무가 있으며, 이 일련의 과정을 최대한 신속하게 처리하기 위해서는 전문 업체의 지원이 필수적이다.

10,600건 이상의 부정행위 조사 실적을 보유한 프론테오는 최근 복잡해지는 사이버 공격에 대응할 수 있는 '사이버 보안 조사 패키지'를 제공하고 있다. 여러 조사를 패키지로 묶어 특히 중소기업의 침해사고 초기 대응을 신속하게 지원할 수 있는 체계를 강화했다. 사이버 공격 조사에 있어서는 유사시 필요한 최소한의 조사를 정리한 프론테오의 '사이버 보안 조사 패키지'가 효과적이다.