기업, 망분리도 안심 못 한다…"평소와 다른 이벤트 집중 모니터해야"
해커, 업무망·인터넷망 연결 통로 찾아…협력사 시스템도 공격 대상
입력 : 2019-07-29 11:00:00 수정 : 2019-07-29 11:00:00
[뉴스토마토 박현준 기자] 기업들이 주로 사용하는 폐쇄 업무망도 해커가 침입할 가능성에 대한 철저한 대비가 필요하다는 지적이다. 
 
주요 기업들은 업무 관련 별도의 인터넷망을 구축해 사용한다. 이는 일반 사용자들이 접속할 수 있는 인터넷망과 분리된 공간이다. 하지만 해커들은 인터넷망과 업무망을 이어주는 통로를 찾아 업무망을 공격한다. 기업의 인터넷 담당자의 PC를 감염시켜 인터넷망과 업무망을 연결하는 곳을 손에 넣은 후 업무망의 정보를 탈취하는 방식이다.
 
하지만 해커들이 해킹을 성공하기까지 평소와 다른 이벤트가 반드시 발생하기 마련이다. 해커들도 기업의 망을 이해하기 위해 다양한 시도할 수밖에 없다. 이 과정에서 담당자의 철저한 모니터링이 필요하다. 이재완 한국인터넷진흥원(KISA) 사이버침해대응본부 사고분석팀장은 29일 "기업의 보안은 최초 예방과 최종단계(데이터베이스의 정보 탈취 여부)에 집중돼 있다"며 "중간 단계에 평소와 다른 이벤트가 발생하는지를 면밀히 살펴보고 이를 끝까지 추적하는 안목을 키워야 한다"고 말했다. 
 
한국인터넷진흥원은 해커가 인터넷망과 업무망의 연결 통로를 통해 시스템을 해킹할 수 있다며 망분리를 무조건 신뢰할 수 없다고 조언했다. . 사진/한국인터넷진흥원
 
 
이 팀장은 공공기관이나 대기업의 시스템을 유지보수하거나 구축하는 중소 규모의 협력사들에 대한 보안도 필수라고 조언했다. 해커들이 상대적으로 보안에 대한 투자가 덜한 중소기업의 시스템을 공격해 공공기관이나 대기업의 시스템까지 침입할 수 있다. 중소 소프트웨어 및 IT서비스 기업들은 고객사의 정보(이름·전화번호·이메일)와 서버 계정(웹·데이터베이스의 인터넷 주소·ID·비밀번호) 등을 자신의 서버에 관리하는 경우가 많다. 해커가 이 정보를 손에 넣으면 고객사의 시스템을 공격하기 위한 수단으로 활용할 수 있다. 
 
또 이 팀장은 최근 해킹 메일을 활용해 기업의 AD(엑티브 디렉토리) 서버를 공격하는 경우가 많다며 이에 대한 대비도 필요하다고 당부했다. 기업들은 마이크로소프트(MS)의 윈도 서버를 사용하는 경우가 많은데 주로 MS의 제품인 AD 서버를 활용해 기업 PC들의 보안을 관리한다. 해커가 한 PC를 해킹해 이와 연결된 AD 서버를 장악할 수 있다. 이 팀장은 "AD 서버를 장악하면 연결된 PC는 마음대로 들여다 볼 수 있다"며 "해커가 AD를 장악했다는 것은 해당 기업의 심장을 가져갔다는 의미"라고 말했다. 
 
박현준 기자 pama8@etomato.com

ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지

  • 박현준

뉴스토마토 박현준 기자입니다.

  • 뉴스카페
  • email
  • facebook