꼰머의 보안공부

보안뉴스

보안뉴스

1. 개요

- 23.07.19 국정원은 국가사이버안보협력센터에서 사이버 안보 현안 관련 사이버위협 실태 및 대응방안 간담회 개최

- 공공기관 정보보안 실태 평가 결과와 북한의 사이버 공격 현황 및 전망 등 내용을 발표

2. 주요내용

2.1 2023 공공기관 정보보안 실태 평가 결과

- 2007년부터 중앙행정기관ㆍ광역지자체ㆍ공공기관 등을 대상으로 연 1회 '정보보안 관리실태 평가'를 수행

> 심화되는 사이버 위협으로부터 국가ㆍ공공기관을 보호하기 위한 예방 활동의 일환

> 23.01~04까지 공기업 36개, 준정부 기관 57개, 중소형 기관 37개 등 130개 기관을 대상으로 진행

- 공공기관 보안 수준은 100점 만점 중 평균 75.47점으로 전년대비 개선 (전년대비 3.6점 상승)

> 전담조직ㆍ인력ㆍ예산확보 등의 수준이 상승한 것이 주요 요인

> 130개 기관 중 25개 기관은 수준 미달로 조사

- 22.10 카카오마비 사태 등을 계기로 사이버 위기 발생 시 대응 방안 마련 여부 등을 집중 점검

> 위기 상황에 대비한 매뉴얼 정비, 위기 대응 훈련 실시 부분 달성률이 85%를 넘는 등 양호한 것으로 확인

> 업무 연속성 확보를 위한 복구 우선순위 수립 및 백업 복구훈련 실시 여부 집중 점검에서는 일부 미비점이 발견되었으나 달성률 84% 기록

- 기술적 보안 분야에서 절반에 가까운 공공기관에서 서버ㆍ네트워크ㆍ보안장비 등 정보시스템에 대한 접근통제가 미흡

> 용역업체 직원에 대한 접근 권한 차등 부여를 이행하지 않는 등 용역업체 보안관리 또한 전년대비 미흡

> 윈도7ㆍ윈도 서버 2008 등 EoS OS 사용, 시스템 보안패치 미 적용, 보안 설정 미흡 등 문제점

- 평가점수가 저조한 분야에 대해 교육과 현장 컨설팅 등을 강화해 보안 수준을 높이도록 유도할 계획

2.2 현황: 국내 사이버 공격 위협 급증

- 2022년 국내 일 평균 공공기관 해킹 시도는 약 137만 건

- 2023년 상반기 일 평균 공공기관 해킹 시도는 약 137만 건으로 15%증가

> 사이버 공격의 위협 수준을 수치로 변환한 위협 지수를 내부적으로 측정하며, 45점까지 관심 단계로 지정

> 과거에는 30점도 넘지 않았으나, 2023년 상반기의 경우 위협 수준이 30점 이상인 경우가 전체의 90%에 달함

- 공격 주체는 북한(70%), 중국(4%), 러시아(2%), 기타(24%) 순

> 북한의 해킹 수법이 정교해지고, 대상도 확대된 것으로 파악됨

> 과거에는 주요 공공기관 및 외교ㆍ안보 전문가를 대상으로 함

> 최근에는 불특정 국민을 대상으로 한 해킹 피해가 증가

- 중국발 해킹 또한 증가하는 추세

> 중국 업체가 제조해 국내 기관에 판매한 계측장비에 악성코드가 설치된 채 납품된 최초의 사례

> 관계기관과 합동으로 유사 장비에 대한 전수조사를 진행

> 한·미 정보당국은 중국산 정보통신기술(ICT) 제품들의 보안 취약점과 그 요인 등을 검증하기 위한 합동 분석에 돌입

- 북한은 최근 사이버 해킹을 통해 국민의 신용카드 정보 1000여 건을 탈취한 사실이 발견

> 국내 유명 포털 사이트의 내용이 실시간으로 동기화 되는 복제 피싱사이트를 구축

> 피싱 사이트를 통해 아이디와 비밀번호 등 계정정보 탈취

> 탈취한 계정정보를 이용해 포털에 접근 후 포털과 연동된 클라우드에 저장된 신용카드 정보를 탈취

※ 신용카드 정보: 카드번호, 유효기간, CVC 번호

> 국정원은 유관기관과 협조해 해당 카드들의 거래를 정지시킨 상태

※ 클라우드에 카드 정보 등 중요 정보를 저장하고 있다는 점을 악용

- 북한발 소프트웨어 공급망 해킹 시도가 지난해 하반기 대비 2배 이상 증가

> 지난해 말부터 국내 1000만 대 이상의 PC에 설치된 보안인증 SW를 해킹하여 대규모 PC 장악 시도

> 250여 개 기관에 납품된 보안제품을 해킹해 중요 국가기관의 내부망 침투 시도

- 신분을 위장한 북한 해커의 국내 에너지 기업의 해외 지사로 취업 시도 발각

> 여권과 졸업증명서를 위조하였으며, 해당 회사와 고용계약서까지 작성해 채용 직전 단계에서 적발

> 온라인 구인구직 사이트 링크드인에 소개글 업로드

> 국제 사회 제재 강화에 대응한 ICBM 발사 비용 충당 등을 위한 외화벌이 수단으로 파악됨

2.3 전망: 북한의 대남 사이버공격이 더욱 심화될 것

- 김영철 전 북한 노동당 대남비서가 최근 통일전선부 고문 직책으로 정치국 후보위원에 복귀

> 09.07.07 DDoS 공격, 11년 농협 전산망 파괴 등을 주도한 인물로 북한 사이버 공작의 핵심 역할

- 국민을 대상으로 한 금전 이득·개인 정보 절취 목적의 해킹 범죄도 늘어날 것

> 국제 및 국가 배후 해킹 조직의 국가 기반 시설 및 전산망 대상 사이버 공격

> 의료·교통 등 국민 안전을 볼모로 한 랜섬웨어 공격도 지속해서 발생할 것

> 대화형 AI 플랫폼을 통해 해킹 접근성이 쉬워짐

> 다크웹에서의 해킹 도구 거래도 보편화

- 24.04 총선 및 미국 대선 등을 앞두고 북한이 의식이나 행동변화를 유도하는 사이버 공작을 본격화할 가능성

3. 대응방안

- 국정원

> 우방국ㆍ민간 분야와 협력해 사이버 위협에 공세적으로 대응 (북한 가상자산 탈취 저지·차단 등)

> 우방국ㆍ글로벌 IT기업들과 정보공유 확대 및 우방국 합동 보안권고문 발표 확대

> 유관 기관과 AI 보안 관제 확대 보급 및 선거 보안 강화 등 대응 체계를 강화

> '제로 트러스트 보안 정책'을 2025년까지 부처별 시범 적용 후 2026년 이후 범정부 대상으로 확대 적용

> 양자 기술을 활용한 국가 암호 기술 확보를 추진

> '한미 사이버 안보 협력 프레임 워크'의 후속 조치를 위해 양국 간 협력 과제를 마련할 계획

- 일반 국민의 경우 기본 보안 수칙 준수

> 현재 사용중인 OS, S/W, 안티바이러스 등 최신 업데이트 적용

> 출처가 불분명한 파일 또는 링크 클릭 금지

> 서비스 별 고유한 계정정보 사용

> 주기적 비밀번호 교체 및 추측하기 어렵도록 설정 등

- 기업의 경우 전사에 걸친 보안 점검 수행

> 임직원 보안 교육

> 서비스 영향을 고려하여 서비스 및 포트 등 점검 후 불필요할 경우 제거

> 현재 사용중인 OS, S/W, 안티바이러스 등 최신 업데이트 적용

> 침해사고에 대비한 업무 연속성 확보 계획, 백업 및 복구 계획 등 주기적 점검 등

4. 참고

[1] https://www.boannews.com/media/view.asp?idx=120324&page=1&kind=1 

1. 개요

- 국정원에서 북한에 의한 국내 포털사이트 '네이버' 사칭 피싱사이트 포착

- 지난 5월 북한의 국내 포털사이트(네이버, 다음 등) 사칭 주의 이후 두 번째 발표

- 기존 피싱 공격과 달리 실제 네이버 화면과 동일하여 사이트 외관만으로 구분 불가

2. 주요 내용

- 그동안 단순히 네이버 등 로그인 페이지만 복제하여 사용자들의 로그인을 유도해 계정 및 개인정보 탈취

- 하지만, 최근 포털사이트 메인화면을 완전히 복제한 피싱 페이지가 확인됨

> 국정원에서 네이버 메인화면을 완전히 복제한 피싱 페이지 확인

> 정상적인 네이버 주소(www[.]naver[.]com)과 주소가 다름 Ex. www[.]naverportal[.]com

- 포털 메인화면뿐만 아니라 증권, 부동산, 뉴스 등 자주 사용하는 세부 메뉴까지 동일

- 피싱 사이트로 추가적인 접속을 막기위해, 관련 기관과 공유 및 접속 차단 조치 진행

> 북한 피싱사이트 서버가 해외에 있어 해외기관과의 정보공유를 통해 활동을 추적 중

> 피해 차단을 위해 다각적으로 대응할 계획

- 국정원은 포털사이트 사용시 국민들의 주의를 당부

> 포털 사이트 주소를 집적 입력하거나, 즐겨찾기에 등록 후 사용하는 것이 안전

> 북한발 공격이 점점 교묘해지고 있어, 개인의 범위에서부터 주의 필요

3. 참고

[1] https://www.nis.go.kr:4016/CM/1_4/view.do?seq=236&currentPage=1&selectBox=&searchKeyword=&fromDate=&toDate=
[2] https://www.boannews.com/media/view.asp?idx=119121&page=2&kind=1 

1. 개요

- 북한 해킹조직들이 대한민국 국민들을 대상으로 무차별·지속적 해킹공격을 진행

- 국가정보원이 처음으로 北해킹공격 관련 통계를 공개하며 경각심 제고

※ 대한민국 대상 해킹공격 중, 2020~2022년에 발생한 북한으로부터의 사이버 공격 및 피해통계를 공개

- 북한발 공격은 이메일을 악용한 해킹 공격(74%), 취약점 악용(20%), 워터링 홀(3%), 공급망 공격(2%), 기타(1%) 순으로 집계

※ 국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은, 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻

2. 주요내용

- 북한은 해킹메일로 확보한 계정정보를 이용해 정보 탈취하며, 수발신 관계를 분석해 2~3차 공격대상을 선정 및 악성코드 유포 등을 수행

- 북한이 사칭한 기관 비율은 다음과 같음

> 일반적으로 발신자명을 먼저 확인하는 점에 착안해 주로 네이버, 카카오를 사칭

- 또한, 해킹 메일 제목은 다음과 같음

> 계정 정보, 회원 정보 등 변경 또는 이용제한 안내와 같이 계정 보안 문제를 주제로 피싱메일 발송

- 사칭 발신자명 및 사칭 메일주소

> 사용자들의 의심을 낮추기위해 '발신자명'과 '메일 제목'을 교묘히 변형

3. 사칭방법 및 대응방안

- 관리자를 사칭하며, 악성 링크를 삽입해 계정 입력 유도 및 정보 탈취

대응방안	참고
발신자 이름을 유사하게 흉내내므로, 아이콘 차이 확인
발신자 주소 확인	※ 공식 메일주소 - 사칭 메일주소 비교 표 참고
메일 내 링크 주소 확인
링크 클릭 후 표시되는 화면의 주소 확인
메일 무단열람 방지를 위한 2단계 인증 설정
일반적인 보안 규칙 준수	- 출처가 불분명한 파일, 링크 실행 및 클릭 금지 등

4. 참고

[1] https://www.nis.go.kr:4016/CM/1_4/view.do?seq=234&currentPage=1&selectBox=&searchKeyword=&fromDate=&toDate= 

[2] https://www.boannews.com/media/view.asp?idx=118493&page=1&kind=2