‘몰라서 당하는’ 중소기업을 위한 사이버보안 지침서 훑어보기

미국 비영리 사이버보안 기구 IST(Institute for Security and Technology)는 40가지의 보안 권고사항을 담은 새 보안 지침서가 중소기업을 보호하는 데 큰 도움이 될 것이라 전했다. 
 
IST가 최근 중소기업을 위한 ‘랜섬웨어 대비 지침서(Blueprint for Ransomware Defense)’를 공개했다. 중소기업이 랜섬웨어를 비롯한 일반적인 사이버 공격에 대응할 수 있도록 지원하는 것이 목표라고 기구는 밝혔다. 
 
지침은 대체로 미국 국립기술표준원(National Institute of Standards and Technology)의 사이버보안 프레임워크인 ‘식별, 보호, 탐지, 대응, 복구’의 형식을 따른다. 다만 탐지 기능은 지침에 포함되지 않는다. 보고서는 탐지 기능을 외주 사이버보안 업체와 협력하라고 추천했다. IST는 총 14개의 기본 지침과 행동 지침을 제시했다. 

식별 지침 
네트워크에서 보호해야 할 항목을 식별하는 데 도움이 될 기본 보안 조치는 다음과 같다.
 

• 세부적인 기업 자산 인벤토리를 설정하고 유지한다. 
• 소프트웨어 인벤토리를 구축하고 관리한다. 
• 데이터 관리 프로세스를 수립한다.
• 계정 관리 목록을 만들고 관리한다. 

이를 시작으로, 중소기업은 컴퓨터 및 소프트웨어에 수반되는 위험을 파악하기 위한 추가적인 방안을 모색해야 한다고 지침서는 당부했다. 

예를 들면 중요한 LOB(또는 현업) 애플리케이션 때문에 아직 구식 기술을 계속 쓰는 중소기업이 많다. 따라서 자산 인벤토리화만 해서는 부족하다. 중소기업은 구식 네트워크 구성 요소와 소프트웨어가 일으킬 수 있는 위협도 고려해야 한다. 이 밖에 취약점을 식별하기 위한 행동 지침으로 기구는 소프트웨어를 항상 최신으로 유지하길 당부했다. 

보호 지침 
그 다음 네트워크 구성 요소 보안을 강화하려면 다음과 같은 절차와 프로그램을 수립하고 유지할 필요가 있다고 보고서는 기술했다.
 

• 보안 구성 프로세스 
• 네트워크 인프라용 보안 구성 프로세스
• 접근 권한 부여 프로세스
• 접근 권한 철회 프로세스 
• 취약점 관리 
• 보안 교정
• 보안 인식 개선 프로그램

중소기업의 워크스테이션은  비밀번호 관리나 로컬 및 원격 접근의 권한 관리가 미흡한 경우가 잦다. 따라서 해커가 원격 데스크톱 접근 권한을 탈취하거나 로컬 관리자 비밀번호를 알아내 네트워크에 침투하는 사건이 자주 발생한다. 

만약 관리자의 접근 권한 방식이 부적절하다면 네트워크는 더 큰 취약점에 노출된다. 예컨대 많은 중소기업 네트워크 관리자는 도메인 단위의 접근 권한을 부여 받는다.

따라서 중소기업은 비밀번호 설정 및 배포 방식을 검토해야 한다. 또한 다중인증 절차 옵션을 점검할 필요가 있다. 기존 도메인 및 워크스테이션 구성을 사용하는 기업은 물론 클라우드 및 웹 애플리케이션을 사용하는 기업도 마찬가지다.

컴퓨팅 자원 관리 및 배포  
컴퓨팅 자원을 관리하고 배포하는 방식에도 더 신경 써야 한다. 윈도우 운영체제의 보안 업데이트만으로는 부족하다. 보안 업데이트를 유지하고 관리할 수 있는 여러 방안을 모색해야 한다. 

직원이 함부로 아무런 버튼을 클릭하지 않도록 교육하는 것만 해도 네트워크 보안에 큰 도움이 된다. 아무리 탄탄한 보안 태세를 갖추고 있더라도 제대로 된 보안 인식을 갖춘 직원들이 최고의 방어책이다. 즉, 직원들이 버튼을 무작정 누르지 않고 경계심을 유지하는 것이다. 공식적인 피싱 교육 프로그램이 없더라도 최소한 전형적인 사이버 사기에는 어떤 것이 있는지는 인지하도록 해야 한다. 이와 관련해 IST는 지침서에서 다음과 같이 설명했다.
 

“초기 랜섬웨어 공격 벡터는 다양하지만 가장 빈번한 종류는 명백하다. 윈도우 운영체제용 원격 관리 프로토콜(Remote Desktop Protocol) 악용, 피싱(안전한 출처처럼 보이지만 자격 증명 또는 민감한 정보를 훔치는 것이 목적인 악성 이메일), 소프트웨어 취약점 침투 이렇게 3가지다. 회사의 자산, 소프트웨어, 네트워크 장치의 보안을 강화하면 이런 주요 공격 벡터에 대비하고 기본 구성에 잔재할지도 모르는 보안 공백을 줄일 수 있다. 기본 계정 비활성화 및 제거, 기본 비밀번호 변경 등 취약한 요소의 설정을 안전하게 해놓지 않으면 공격당할 가능성이 높아진다.” 

지침서는 중소기업이 서버 방화벽을 구축 및 관리하고 기업 네트워크·시스템에서 기본 계정을 관리해야 한다며, 아래의 행동 지침을 제시했다: 
 

• 기업 자산 및 소프트웨어의 기본 계정 관리
• 각 계정마다 고유한 비밀번호 사용
• 휴면 계정 비활성화
• 관리자 권한을 전용 관리자 계정으로 제한 
• 외부 노출 애플리케이션에 대해 MFA 요구 
• 원격 네트워크 접속에 대한 MFA 요구 
• 관리자 접속 시 MFA 요구
• 운영체제 패치 관리 자동화 
• 애플리케이션 패치 관리 자동화 
• 계속 유지 및 관리되는 브라우저 및 이메일 클라이언트 사용
• DNS 필터링 서비스 사용
• 네트워크 인프라 최신 상태 확인
• 안티맬웨어 소프트웨어 배포 및 유지 관리 
• 안티맬웨어 서명 업데이트 자동화 
• 이동식 매체 자동 실행 및 자동 재생 비활성화
• 소셜 엔지니어링 공격에 대한 직원 교육 
• 직원 사이버보안 수칙 및 보고 방법 교육  

사고 대응 지침 
사고 대응 시 다음과 같은 기본 절차의 중요성을 간과하는 중소기업이 종종 있다고 지침서는 밝혔다.  

• 보안 사고 보고 절차  
• 감사 로그 관리 절차 

물론 대부분 회사는 보안 사건이 일어나면 시스템 원상 복구에만 집중하기 때문에 사고 보고 절차를 수립하기가 쉽지 않다. 또한 일반적인 중소기업은 로그 관리 절차를 수립하고 관리할 만한 스토리지 및 자원도 충분하지 않다. 

그럼에도 취할 수 있는 조치가 있다. 네트워크 이상 탐지 및 로깅 클라우드 서비스 제공 업체의 도움을 받는 것이다. 또한 로깅만으로는 부족하다. 유용한 해석을 제공하는 서비스가 필요하다. 그 중에서도 감지된 이상 징후를 연관 지어 잠재적 문제점을 유추하는 서비스가 적합하다. 사고 대응을 위한 방안은 다음과 같다:  
 

• 사고 대응 담당 직원 지정
• 보안 공격 보고 연락망 확보 및 유지 
• 감사 로그 수집 
• 감사 로그용 저장공간 확보 

복구 지침 
랜섬웨어 복구 방법은 사실 간단하다. 번거롭지만, 백업해두면 된다. 지침서는 복구 단계에서 다음과 같이 데이터 복구 절차를 수립하고 유지할 것을 권고했다. 
 

• 백업 자동화
• 복구 데이터 간수 
• 복구 데이터 복사본 생성 및 보존 

현실에서는 기업이 이러한 복구 절차를 갖췄더라도 실제로 시험해 볼 기회가 없을 때가 많다. 백업이 예상대로 작동하지 않을 수 있기 때문이다. 특히 랜섬웨어 공격으로 인해 네트워크를 처음부터 재구축해야 한다면 백업이 온전히 복원될지 장담하기 어렵다. 

해당 지침서에는 유용한 백업 툴 및 리소스를 정리한 링크가 제공된다. 그러나 기술을 잘 모르는 중소기업은 이 목록에 있는 도구의 장단점을 비교하기 어려워할 가능성이 있다. 이런 경우 컨설팅받고 있는 업체가 제시한 백업 솔루션을 재검토하는 용도로 이 목록을 사용할 수도 있다. ciokr@idg.co.kr