[기고] 연말정산 노리는 사이버 공격, 효과적인 대비책은

한준형 아카마이코리아 상무 2023. 1. 16. 17:30
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

한준형 아카마이코리아 상무

한준형 아카마이코리아 상무

‘13월의 월급’이라고 불리는 연말정산 시즌이 다가오고 있다. 연말정산 시즌에도 공문서로 위장한 사이버 범죄자들의 공격은 계속된다. ‘연말정산 안내’, ‘연말정산 환급 조회’ 등 연말정산을 도와주는 것처럼 위장한 이메일과 메시지를 클릭하면 악성 프로그램에 감염되거나 개인 정보를 탈취하는 피싱 사이트로 연결되는 식이다.

미국에서는 매년 과세 시즌마다 다양한 공격이 벌어진다. 아카마이 인텔리전트 플랫폼이 과세 시즌에 나타난 공격을 분석한 결과 웹공격은 지난 2018년 440만건에서 지난 2019년 1800만건으로 늘었다. 지난 2020년에는 연간 총 웹공격의 절반 이상이 이 기간에 집중될 정도로 해커들은 과세 시즌을 좋아했다.

지난 2020년 공공 부문에 대한 사이버 공격의 56%도 과세 시즌에 집중됐다. 미국 국세청인 IRS를 가장해 이메일, 문자, 소셜미디어를 통해 PIN, 비밀번호, 사용자 이름 및 ID 등을 요구한 사례는 셀 수 없이 많다. 사이버 범죄자들은 사용자의 개인 정보를 탈취하는 걸 넘어 여러 계정으로 로그인을 시도하기 위해 공식 웹사이트와 유사한 사이트의 가짜 웹사이트를 개발하기도 한다. 연말정산을 할 수 있는 국세청홈택스(hometax.go.kr) 홈페이지 주소를 ‘homtax.go.kr’, ‘hometax.co.kr’처럼 영어 스펠링 1~2개를 바꾸는 게 가장 흔한 방법이다. 웹사이트에 접속할 수 있는 URL을 발송하는 방식도 많다. 피해자들이 휴대폰에서 무의식중에 누르기 좋게 꾸미는 것이다.

조작된 주소로 접속한 사용자가 연말정산을 하기 위해 입력한 개인 정보는 범죄자에게 전달된다. 이들은 해당 정보를 자동화된 봇넷을 활용해 다른 웹사이트 로그인에 활용한다. 지난 2021년 아카마이에서 발표한 ‘최신 봇넷 추적하기’ 보고서를 보면 1개의 봇넷에서 시간당 최대 30만건의 부정 로그인 시도를 하는 것으로 나타났다. 은행 웹사이트에서 대출을 신청하거나 돈을 갈취하는 범죄 등이 대표적이다.

코로나19 이후 개인 전자 기기가 회사 업무에 활용되는 경우가 늘어나면서 이런 사이버 공격의 피해는 개인에게만 국한되지 않는다. 개인을 매개체로 기업의 보안에도 심각한 영향을 미칠 수 있다는 의미다. 통계적으로 57%의 인터넷 사용자들이 자신의 ID나 비밀번호가 유출된 것을 인지하고도 변경하지 않았고, 48%의 이용자는 개인의 비밀번호와 직장의 비밀번호를 동일하게 사용하고 있다. 지난해 7월 상하이 경찰이 보유한 10억명의 개인정보가 유출된 것도 중국 내 클라우드 기반 자원공유가 악성코드 공격을 받았기 때문이다.

그렇다면 기업은 어떤 방식으로 보안을 강화해야 할까. 사이버 범죄를 막기 위한 가장 이상적인 상황은 공격 시도를 사전에 완전히 차단하는 것이다. 하지만 이것은 사실상 불가능하다. 따라서 이미 침투한 공격자가 더는 이동하지 못하도록 막아 피해를 최소화하는 게 현실적이고 효과적인 방법이다. 마이크로세그멘테이션 기술이 대표적인 솔루션이다.

마이크로세그멘테이션은 기업의 워크로드를 별개의 보안 영역으로 잘게 나눠 각 영역에 맞는 최소한의 보안 제어를 부여하는 것이다. 보안 영역을 나눠 데이터 이동을 통제 및 모니터링하는 기술이다. 이는 제로 트러스트 원칙에 입각한 기술 중 하나로 중요한 애플리케이션 링펜싱, 정밀한 접속 제어, 위협 방어 정책을 활용하면 외부 공격이 네트워크에 침투해도 장애물로 막을 수 있다.

마이크로세그멘테이션 솔루션과 네트워크 보안 제어를 활용하면 해킹된 디바이스가 다른 디바이스와 애플리케이션에 접속하는 것을 차단할 수 있다. 탈취된 인증 정보로 일부 데이터를 확보할 수는 있지만 데이터센터에는 연결할 수 없어 데이터센터에 있는 데이터는 효과적으로 보호할 수 있는 것이다.

이러한 제로 트러스트 기반의 보안 솔루션은 선택이 아닌 필수로 자리 잡고 있다. 미국 정부는 지난 2021년 국가 사이버보안 개선에 대한 행정명령을 발표하면서 제로 트러스트 아키텍처를 구현하도록 의무화했다. 연방기관에 소프트웨어 내장 제품을 납품하는 경우 소프트웨어 자재명세서(SBOM) 제출을 의무화해 공급망 보안을 강화하고 있다. 우리나라 역시 최근 제로 트러스트와 공급망 보안의 국가 표준화를 추진하겠다는 계획을 밝혔다.

연말정산으로 다시 돌아오자. 연말정산 시즌에는 사이버 공격이 급증할 것으로 예상되는 만큼 기업은 적절한 보안 솔루션을 구축했는지 미리 점검해야 한다. 제로 트러스트의 개념을 전적으로 수용해 기업 네트워크 내부의 모든 것을 신뢰할 수 있다는 생각을 버려야 한다. 마이크로세그멘테이션을 통해 취약점 악용을 차단할 수 있고 특정 디바이스가 감염되더라도 기업의 전체 네트워크는 감염되지 않도록 보장할 수 있다.

개인은 백신 검사 실행, 최신 운영 체제 다운로드, 다중 요소 인증 등을 수행해야 한다. 정부는 절대로 개인 및 금융 정보를 이메일, 문자, SNS 채널 등으로 요청하지 않는다는 사실을 잊어서는 안 된다.

- Copyright ⓒ 조선비즈 & Chosun.com -

Copyright © 조선비즈. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
조선비즈에서 직접 확인하세요. 해당 언론사로 이동합니다.