.jpg){kind=spacer}
국내 대표 정보보호 기업 4곳의 보안전문가 6인 새해 인터뷰
토끼띠 보안인들이 전하는 설 연휴 핵심 ‘보안 꿀팁’
[보안뉴스 이소미 기자] 2023년 계묘년 ‘검은 토끼의 해’가 밝았다. 예로부터 토끼는 우리에게 친숙한 동물이기도 하고 꾀가 많기로 유명해 속담이나 전통우화에서도 많이 등장한다. ‘영리한 토끼는 세 개의 숨을 굴을 파놓는다’는 뜻을 가진 ‘교토삼굴(狡兎三窟)’이라는 사자성어처럼 토끼는 지혜롭기로 유명한 동물이다. ‘별주부전’에서도 토끼의 지혜를 자랑하는 이야기가 나오는데, 2023년의 주인공인 ‘토끼띠 보안전문가들’의 활약 역시 기대된다.
사이버 공격은 밤낮이 없다. 방심한 사이를 틈타 눈 깜짝할 사이에 기업 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다. 더욱이 사이버 범죄자들은 날이 갈수록 체계적으로 조직화되는 양상을 보이고 있다. 이에 <보안뉴스>는 계묘년을 맞이한 기념으로 국내 대표 보안기업에서 근무 중인 ‘토끼띠 보안전문가들’의 인터뷰를 진행했다. 이번 인터뷰에는 안랩, SK쉴더스, 이글루코퍼레이션, 이스트시큐리티의 토끼띠 보안인들 6명이 참여했다.
설 연휴 기간 동안 가장 조심해야 하는 보안 위협은 무엇인가요?
김지훈(안랩) 설 연휴 기간 기업을 대상으로 이른바 ‘보안 공백’을 노린 사이버 공격이 발생할 수 있어 각별한 주의가 필요합니다. 공격자는 보안담당자가 상주하기 어려운 명절 시기를 노려 시스템 침투를 시도할 수 있습니다. 실제로 기업에서 백신 프로그램을 사용하고 있음에도 임의로 백신 프로그램을 종료하거나 삭제할 수 없도록 함으로써 공격자가 서버에 접근해 랜섬웨어를 감염시킨 사례가 발생한 적이 있습니다. 특히, 명절 기간 사용하지 않는 시스템이나 PC가 타깃이 될 수 있습니다.
배명채(SK쉴더스) 아무래도 명절이다보니 다양한 명절인사 문자들을 많이 받으실텐데 쏟아지는 메시지를 꼼꼼하게 확인해 스미싱 공격으로 피해보는 사례가 없기를 바랍니다.
이신호(이스트시큐리티) 설 연휴기간에 친척이나 지인들의 안부 메시지로 사칭하는 스미싱 또는 대출 사기나 보이스 피싱 등이 급증할 수 있어 각별한 주의가 필요합니다.
김명주(SK쉴더스) 아무래도 설 연휴를 노리는 스미싱 문자가 가장 위험합니다. 명절 택배 문자나 상품권 지급 등으로 위장한 스미싱 문자에 속는 경우가 많기 때문이죠. 이에 첨부된 URL이나 번호를 누르지 마시고 차단하시길 당부 드립니다.
최예지(이글루코퍼레이션) 이번 설 연휴에 사회적 이슈를 활용한 스미싱과 악성 메일 등과 같은 사회공학적 공격이 증가할 것으로 예상됩니다. 개인정보가 탈취될 가능성이 있으므로 출처가 불분명한 문자 혹은 메일을 누르지 않도록 주의해야 합니다.
신선하(이스트시큐리티) 설 연휴라고 특별히 조심한다기보다 항상 보안에 신경을 써야 한다고 생각합니다. 기술지원 업무를 하다 보면 스피어피싱 메일 관련 확인요청이 많이 오고 있습니다. 무엇보다 발신자를 모르는 메일의 첨부파일이 가장 위험하다고 생각합니다.
설 앞두고 보안 위협에 대비하는 방법 세 가지만 꼽아본다면?
김지훈(안랩) 보안담당자는 연휴 시작 전 조직 소유의 기기와 서버, OS, 웹사이트 등에 대한 보안 사전점검을 반드시 시행해야 합니다. 또한, 명절 기간 동안 사용자가 임의로 조직내 PC에 설치된 보안 제품을 삭제하거나 종료하지 않도록 정책 설정에도 주의를 기울여야 합니다. 마지막으로 비상연락망을 구축해 유사시에 대비할 수 있도록 준비해야 합니다.
배승채(SK쉴더스) 첫 번째, 출처를 확인할 수 없는 문자메시지, 메신저의 URL은 클릭하지 말아야 합니다. 두 번째로는, 앱은 공식 경로에서 인증된 절차를 통해 다운 받아야 하며, 마지막으로 스미싱이나 악성 앱을 탐지할 수 있는 자사의 ‘모바일 가드’를 설치하거나 모바일기기에 설치된 앱은 최신 업데이트 상태를 유지하고 관리해야 합니다.
이신호(이스트시큐리티) 설 선물 택배 사칭과 같은 스미싱에 대한 철저한 확인이 필요하고, 특히 설 연휴 기간 동안 시청하는 OTT 콘텐츠 관련 불법 웹사이트 이용에 주의해야 합니다. 또한, 모바일 전용 백신으로 알약M과 같은 제품의 설치 및 최신 업데이트를 유지할 필요가 있습니다.
김명주(SK쉴더스) 첫 번째, 문자나 메일을 통해 출처가 불분명한 파일이나 링크를 클릭하지 않도록 주의해야 합니다. 두 번째, 백신이나 스미싱 차단 앱을 통해 피해를 예방할 수 있습니다. 세 번째, 공용 와이파이 사용 시 금융 거래 및 개인정보 입력에 주의하고, 혹시 모를 위협에 대비해야 합니다.
최예지(이글루코퍼레이션) 첫 번째는, 출처가 불분명한 문자 혹은 메일을 열람하지 않는 것입니다. 두 번째로는, PC, 스마트폰 등 자주 사용하는 전자기기의 소프트웨어를 최신으로 업데이트해 보안위협에 대비해야 합니다. 마지막으로, 계정 로그인에 추가 인증을 설정하는 것입니다. 계정 정보 탈취를 막기 위해서는 비밀번호 보안만이 아닌 추가 인증 수단을 설정해 계정으로의 접근을 차단해야 합니다.
신선하(이스트시큐리티) 의심, 확인, 관심이라고 생각합니다.
- 의심 : 예를 들어 스미싱 문자를 받았을 때 업체에서 발송한게 맞는지 의심하고
- 확인 : 업체에서 진행하는 이벤트나 문자가 맞는지 확인하고
- 관심 : 항상 보안 트렌드에 관심을 가지고 현재 유행하는 트렌드를 파악하는 것이라고 생각합니다.
2023년, 가장 우려되는 보안 위협은 무엇인가요?
김지훈(안랩) 2023년에 우려되는 보안위협으로는 파급력 높은 취약점을 악용한 사이버 공격입니다. 2021년 말 Log4j 취약점이 발견되어 공격에 악용됐으며, 지난해에는 시스템 주요 권한에 정상적으로 접근할 수 있지만 취약점을 가지고 있는 드라이버를 악용한 ‘BYOVD(Bring Your Own Device)’ 공격 방식이 활용되기도 했습니다. 공격자는 2023년에도 다양한 환경을 노려 파급력 높은 취약점을 찾고 이를 공격에 악용할 것입니다. 특히, 오픈소스 활용도가 점차 늘어남에 따라 오픈소스 취약점을 활용한 공격도 계속될 전망입니다. 따라서 조직 내 보안담당자와 구성원은 주기적으로 보안 패치를 적용하고 미사용 프로그램은 삭제해야 합니다.
배승채(SK쉴더스) 올해에도 랜섬웨어가 기승을 부릴 것으로 예상됩니다. 또한, 클라우드 타깃 공격도 이어질 것으로 보입니다. 클라우드 해킹 사고의 대부분이 관리자의 보안관리 소홀인만큼 클라우드 환경에 대한 종합적인 보안대책이 필요합니다.
이신호(이스트시큐리티) 해외 동향에서도 피싱과 같은 공격들이 2023년 사이버보안 전망에 있어 주요 키워드로 언급되고 있으며, KISA 악성코드 은닉 사이트 탐지 동향보고서에서도 피싱 공격이 작년 대비 21%로 증가한 것으로 확인되고 있습니다. 또한, 알약 블로그의 동향보고서에 따르면, 지속적으로 북한발 피싱 이메일 및 주요 포털 사이트 사칭 공격이 지속적으로 발생하는 것으로 보아 2023년에도 유사한 보안위협은 계속될 것으로 보입니다.
김명주(SK쉴더스) 지난해 말 SK쉴더스에서 2023년 보안위협 전망을 발표했었는데요. 서비스형 피싱, 다변화된 랜섬웨어 공격이 내년엔 더욱 증가할 전망입니다. 서비스형 플랫폼이나 해킹 툴에 대한 손쉬운 접근으로 인해 해킹 범죄의 진입장벽이 점점 낮아지고 있는 것이 가장 우려스럽습니다.
최예지(이글루코퍼레이션) 디지털 대전환에 따라 이기종 산업과 기술이 융합되는 빅 블러(Big Blur) 현상이 가속화되면서 연쇄적인 피해를 야기하는 지능화된 공격이 증가하고 있습니다. IT 산업 내 영향력이 높아진 오픈소스 플랫폼을 노리거나 소프트웨어 기반 공급망 전반에 영향을 주는 공격이 대표적입니다. 이에 맞서 통합적인 관점에서 보안 프로세스 전 과정에 대한 가시성을 확보하고, 신속히 대응하기 위한 인공지능 및 자동화 기술, 클라우드 보안의 중요성이 더욱 커질 전망입니다.
신선하(이스트시큐리티) 아무래도 ‘스피어 피싱’ 이라고 생각합니다. 스피어 피싱이 기업이나 공공기관들을 타깃으로 한 표적화된 공격이기 때문에 속기 쉽고 피해 규모 또한 커 주의를 기울여야 한다고 생각합니다. 최근 ‘이상한 변호사 우영우’라는 드라마에서도 사례로 나온 적이 있는 만큼 사회적으로 관심을 가져야 하는 이슈라고 생각합니다.
올해 ‘토끼띠 보안인’으로서 각오 한 마디와 독자분들께 전하고 싶은 말은?
김지훈(안랩) ‘똑똑한 토끼는 위기에 대비한 세 개의 굴을 파고 산다’는 교토삼굴(狡兎三窟) 의 지혜로, 2023년은 안랩과 함께 ‘안전해서 더욱 자유로운 세상'을 만들어 나갈 수 있도록 노력하겠습니다. 새해에도 항상 보안 ON 입니다!
배승채(SK쉴더스) 클라우드 환경으로 서비스 전환이 급격하게 진행되고 있는 만큼, 기존 On-Premise(구축형) 환경에 적용된 보안수준이 동등한 수준으로 전환될 수 있도록 고객 지원을 강화해 나가겠습니다.
이신호(이스트시큐리티) 작년 한 해는 사업에 관련된 일을 많이 하다 보니, 특허나 논문과 같은 연구 관련 주제를 소홀히 했던 것 같습니다. 올 한해는 특허나 논문 작성 등 연구과제에 관련한 업무에 집중하고 싶네요. 모든 보안종사자분들, 2023년 하시는 일 다들 성공하시길 바라며, 새해 복 많이 받으세요.
김명주(SK쉴더스) 안녕하세요. 보안뉴스 독자 여러분들! EQST Lab담당 김명주 선임입니다. 2023년 새해 복 많이 받으시고, 행복한 한해 되셨으면 좋겠습니다. 저도 토끼띠 보안인으로써 앞으로 더 노력해 성장하는 모습 보여드리겠습니다.
최예지(이글루코퍼레이션) 보안전문가로서 집요하고 치밀한 분석을 통해 공격자가 노릴 수 있는 약점을 완벽하게 차단하겠습니다. 모두 새해 복 많이 받으시고 해킹 없는 안전한 한해 보내시길 바랍니다.
신선하(이스트시큐리티) 작년에 입사한 신선한 새내기 보안인입니다. 앞으로 안전한 PC 환경을 위해 토끼처럼 열심히 달려보겠습니다.
[이소미 기자(boan4@boannews.com)]
토끼띠 보안인들이 전하는 설 연휴 핵심 ‘보안 꿀팁’
[보안뉴스 이소미 기자] 2023년 계묘년 ‘검은 토끼의 해’가 밝았다. 예로부터 토끼는 우리에게 친숙한 동물이기도 하고 꾀가 많기로 유명해 속담이나 전통우화에서도 많이 등장한다. ‘영리한 토끼는 세 개의 숨을 굴을 파놓는다’는 뜻을 가진 ‘교토삼굴(狡兎三窟)’이라는 사자성어처럼 토끼는 지혜롭기로 유명한 동물이다. ‘별주부전’에서도 토끼의 지혜를 자랑하는 이야기가 나오는데, 2023년의 주인공인 ‘토끼띠 보안전문가들’의 활약 역시 기대된다.
[이미지=utoimage]
사이버 공격은 밤낮이 없다. 방심한 사이를 틈타 눈 깜짝할 사이에 기업 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다. 더욱이 사이버 범죄자들은 날이 갈수록 체계적으로 조직화되는 양상을 보이고 있다. 이에 <보안뉴스>는 계묘년을 맞이한 기념으로 국내 대표 보안기업에서 근무 중인 ‘토끼띠 보안전문가들’의 인터뷰를 진행했다. 이번 인터뷰에는 안랩, SK쉴더스, 이글루코퍼레이션, 이스트시큐리티의 토끼띠 보안인들 6명이 참여했다.
설 연휴 기간 동안 가장 조심해야 하는 보안 위협은 무엇인가요?
김지훈(안랩) 설 연휴 기간 기업을 대상으로 이른바 ‘보안 공백’을 노린 사이버 공격이 발생할 수 있어 각별한 주의가 필요합니다. 공격자는 보안담당자가 상주하기 어려운 명절 시기를 노려 시스템 침투를 시도할 수 있습니다. 실제로 기업에서 백신 프로그램을 사용하고 있음에도 임의로 백신 프로그램을 종료하거나 삭제할 수 없도록 함으로써 공격자가 서버에 접근해 랜섬웨어를 감염시킨 사례가 발생한 적이 있습니다. 특히, 명절 기간 사용하지 않는 시스템이나 PC가 타깃이 될 수 있습니다.
배명채(SK쉴더스) 아무래도 명절이다보니 다양한 명절인사 문자들을 많이 받으실텐데 쏟아지는 메시지를 꼼꼼하게 확인해 스미싱 공격으로 피해보는 사례가 없기를 바랍니다.
▲이스트시큐리티 이신호[사진=이스트시큐리티]
김명주(SK쉴더스) 아무래도 설 연휴를 노리는 스미싱 문자가 가장 위험합니다. 명절 택배 문자나 상품권 지급 등으로 위장한 스미싱 문자에 속는 경우가 많기 때문이죠. 이에 첨부된 URL이나 번호를 누르지 마시고 차단하시길 당부 드립니다.
최예지(이글루코퍼레이션) 이번 설 연휴에 사회적 이슈를 활용한 스미싱과 악성 메일 등과 같은 사회공학적 공격이 증가할 것으로 예상됩니다. 개인정보가 탈취될 가능성이 있으므로 출처가 불분명한 문자 혹은 메일을 누르지 않도록 주의해야 합니다.
신선하(이스트시큐리티) 설 연휴라고 특별히 조심한다기보다 항상 보안에 신경을 써야 한다고 생각합니다. 기술지원 업무를 하다 보면 스피어피싱 메일 관련 확인요청이 많이 오고 있습니다. 무엇보다 발신자를 모르는 메일의 첨부파일이 가장 위험하다고 생각합니다.
설 앞두고 보안 위협에 대비하는 방법 세 가지만 꼽아본다면?
김지훈(안랩) 보안담당자는 연휴 시작 전 조직 소유의 기기와 서버, OS, 웹사이트 등에 대한 보안 사전점검을 반드시 시행해야 합니다. 또한, 명절 기간 동안 사용자가 임의로 조직내 PC에 설치된 보안 제품을 삭제하거나 종료하지 않도록 정책 설정에도 주의를 기울여야 합니다. 마지막으로 비상연락망을 구축해 유사시에 대비할 수 있도록 준비해야 합니다.
배승채(SK쉴더스) 첫 번째, 출처를 확인할 수 없는 문자메시지, 메신저의 URL은 클릭하지 말아야 합니다. 두 번째로는, 앱은 공식 경로에서 인증된 절차를 통해 다운 받아야 하며, 마지막으로 스미싱이나 악성 앱을 탐지할 수 있는 자사의 ‘모바일 가드’를 설치하거나 모바일기기에 설치된 앱은 최신 업데이트 상태를 유지하고 관리해야 합니다.
이신호(이스트시큐리티) 설 선물 택배 사칭과 같은 스미싱에 대한 철저한 확인이 필요하고, 특히 설 연휴 기간 동안 시청하는 OTT 콘텐츠 관련 불법 웹사이트 이용에 주의해야 합니다. 또한, 모바일 전용 백신으로 알약M과 같은 제품의 설치 및 최신 업데이트를 유지할 필요가 있습니다.
김명주(SK쉴더스) 첫 번째, 문자나 메일을 통해 출처가 불분명한 파일이나 링크를 클릭하지 않도록 주의해야 합니다. 두 번째, 백신이나 스미싱 차단 앱을 통해 피해를 예방할 수 있습니다. 세 번째, 공용 와이파이 사용 시 금융 거래 및 개인정보 입력에 주의하고, 혹시 모를 위협에 대비해야 합니다.
최예지(이글루코퍼레이션) 첫 번째는, 출처가 불분명한 문자 혹은 메일을 열람하지 않는 것입니다. 두 번째로는, PC, 스마트폰 등 자주 사용하는 전자기기의 소프트웨어를 최신으로 업데이트해 보안위협에 대비해야 합니다. 마지막으로, 계정 로그인에 추가 인증을 설정하는 것입니다. 계정 정보 탈취를 막기 위해서는 비밀번호 보안만이 아닌 추가 인증 수단을 설정해 계정으로의 접근을 차단해야 합니다.
▲이스트시큐리티 신선하[사진=이스트시큐리티]
- 의심 : 예를 들어 스미싱 문자를 받았을 때 업체에서 발송한게 맞는지 의심하고
- 확인 : 업체에서 진행하는 이벤트나 문자가 맞는지 확인하고
- 관심 : 항상 보안 트렌드에 관심을 가지고 현재 유행하는 트렌드를 파악하는 것이라고 생각합니다.
2023년, 가장 우려되는 보안 위협은 무엇인가요?
김지훈(안랩) 2023년에 우려되는 보안위협으로는 파급력 높은 취약점을 악용한 사이버 공격입니다. 2021년 말 Log4j 취약점이 발견되어 공격에 악용됐으며, 지난해에는 시스템 주요 권한에 정상적으로 접근할 수 있지만 취약점을 가지고 있는 드라이버를 악용한 ‘BYOVD(Bring Your Own Device)’ 공격 방식이 활용되기도 했습니다. 공격자는 2023년에도 다양한 환경을 노려 파급력 높은 취약점을 찾고 이를 공격에 악용할 것입니다. 특히, 오픈소스 활용도가 점차 늘어남에 따라 오픈소스 취약점을 활용한 공격도 계속될 전망입니다. 따라서 조직 내 보안담당자와 구성원은 주기적으로 보안 패치를 적용하고 미사용 프로그램은 삭제해야 합니다.
배승채(SK쉴더스) 올해에도 랜섬웨어가 기승을 부릴 것으로 예상됩니다. 또한, 클라우드 타깃 공격도 이어질 것으로 보입니다. 클라우드 해킹 사고의 대부분이 관리자의 보안관리 소홀인만큼 클라우드 환경에 대한 종합적인 보안대책이 필요합니다.
이신호(이스트시큐리티) 해외 동향에서도 피싱과 같은 공격들이 2023년 사이버보안 전망에 있어 주요 키워드로 언급되고 있으며, KISA 악성코드 은닉 사이트 탐지 동향보고서에서도 피싱 공격이 작년 대비 21%로 증가한 것으로 확인되고 있습니다. 또한, 알약 블로그의 동향보고서에 따르면, 지속적으로 북한발 피싱 이메일 및 주요 포털 사이트 사칭 공격이 지속적으로 발생하는 것으로 보아 2023년에도 유사한 보안위협은 계속될 것으로 보입니다.
김명주(SK쉴더스) 지난해 말 SK쉴더스에서 2023년 보안위협 전망을 발표했었는데요. 서비스형 피싱, 다변화된 랜섬웨어 공격이 내년엔 더욱 증가할 전망입니다. 서비스형 플랫폼이나 해킹 툴에 대한 손쉬운 접근으로 인해 해킹 범죄의 진입장벽이 점점 낮아지고 있는 것이 가장 우려스럽습니다.
최예지(이글루코퍼레이션) 디지털 대전환에 따라 이기종 산업과 기술이 융합되는 빅 블러(Big Blur) 현상이 가속화되면서 연쇄적인 피해를 야기하는 지능화된 공격이 증가하고 있습니다. IT 산업 내 영향력이 높아진 오픈소스 플랫폼을 노리거나 소프트웨어 기반 공급망 전반에 영향을 주는 공격이 대표적입니다. 이에 맞서 통합적인 관점에서 보안 프로세스 전 과정에 대한 가시성을 확보하고, 신속히 대응하기 위한 인공지능 및 자동화 기술, 클라우드 보안의 중요성이 더욱 커질 전망입니다.
신선하(이스트시큐리티) 아무래도 ‘스피어 피싱’ 이라고 생각합니다. 스피어 피싱이 기업이나 공공기관들을 타깃으로 한 표적화된 공격이기 때문에 속기 쉽고 피해 규모 또한 커 주의를 기울여야 한다고 생각합니다. 최근 ‘이상한 변호사 우영우’라는 드라마에서도 사례로 나온 적이 있는 만큼 사회적으로 관심을 가져야 하는 이슈라고 생각합니다.
올해 ‘토끼띠 보안인’으로서 각오 한 마디와 독자분들께 전하고 싶은 말은?
김지훈(안랩) ‘똑똑한 토끼는 위기에 대비한 세 개의 굴을 파고 산다’는 교토삼굴(狡兎三窟) 의 지혜로, 2023년은 안랩과 함께 ‘안전해서 더욱 자유로운 세상'을 만들어 나갈 수 있도록 노력하겠습니다. 새해에도 항상 보안 ON 입니다!
배승채(SK쉴더스) 클라우드 환경으로 서비스 전환이 급격하게 진행되고 있는 만큼, 기존 On-Premise(구축형) 환경에 적용된 보안수준이 동등한 수준으로 전환될 수 있도록 고객 지원을 강화해 나가겠습니다.
이신호(이스트시큐리티) 작년 한 해는 사업에 관련된 일을 많이 하다 보니, 특허나 논문과 같은 연구 관련 주제를 소홀히 했던 것 같습니다. 올 한해는 특허나 논문 작성 등 연구과제에 관련한 업무에 집중하고 싶네요. 모든 보안종사자분들, 2023년 하시는 일 다들 성공하시길 바라며, 새해 복 많이 받으세요.
김명주(SK쉴더스) 안녕하세요. 보안뉴스 독자 여러분들! EQST Lab담당 김명주 선임입니다. 2023년 새해 복 많이 받으시고, 행복한 한해 되셨으면 좋겠습니다. 저도 토끼띠 보안인으로써 앞으로 더 노력해 성장하는 모습 보여드리겠습니다.
최예지(이글루코퍼레이션) 보안전문가로서 집요하고 치밀한 분석을 통해 공격자가 노릴 수 있는 약점을 완벽하게 차단하겠습니다. 모두 새해 복 많이 받으시고 해킹 없는 안전한 한해 보내시길 바랍니다.
신선하(이스트시큐리티) 작년에 입사한 신선한 새내기 보안인입니다. 앞으로 안전한 PC 환경을 위해 토끼처럼 열심히 달려보겠습니다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
이소미기자 기사보기
[2025-04-03] 
