Æ÷Ƽ³Ý, 2017³â 3ºÐ±â ¡®±Û·Î¹ú º¸¾È À§Çù Àü¸Á º¸°í¼¡¯ ¹ßÇ¥
[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] 2017³â 3ºÐ±â¿¡ »çÀ̹ö ¹üÁËÀÚµéÀÌ Àü·Ê ¾ø´Â ¼Óµµ¿Í ±Ô¸ð·Î ÀÚµ¿ÈµÈ °ø°Ý ¹æ¹ýÀÌ °áÇÕµÈ ¾Ë·ÁÁø ÀͽºÇ÷ÎÀÕ °ø°ÝÀ» È°¿ëÇÏ°í ÀÖÀ¸¸ç, ÀÌ´Â ³ôÀº º¿³Ý Àç¹ß·ü°ú ÀÚµ¿ÈµÈ ¸Ö¿þ¾î Áõ°¡·Î À̾îÁö°í ÀÖ´Ù´Â ÁÖÀåÀÌ Á¦±âµÆ´Ù. °í¼º´É ³×Æ®¿öÅ© »çÀ̹ö º¸¾È ¼Ö·ç¼ÇÀÇ ±Û·Î¹ú ¸®´õÀÎ Æ÷Ƽ³ÝÄÚ¸®¾Æ´Â ÀÚ»çÀÇ º¸¾È ¿¬±¸¼ÒÀÎ Æ÷Ƽ°¡µå·¦ÀÌ ÃÖ±Ù ¹ß°£ÇÑ ¡®2017³â 3ºÐ±â ±Û·Î¹ú À§Çù Àü¸Á º¸°í¼¡¯¸¦ ÅëÇØ ÀÌ¿Í °°ÀÌ ¹ßÇ¥Çß´Ù.
[À̹ÌÁö=iclickart]
Æ÷Ƽ³ÝÀÇ CISO ÇÊ Äõµå(Phil Quade)´Â ¡°¿ö³ÊÅ©¶óÀÌ(WannaCry), ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷(Apache Struts) »ç·Êó·³, ¿À·£ ±â°£ µ¿¾È ¾Ë·ÁÁ® ¿ÔÀ¸³ª ÆÐÄ¡µÇÁö ¾ÊÀº Ãë¾à¼ºÀº °á±¹ Áö¼ÓÀûÀ¸·Î °ø°ÝÀÇ °ÔÀÌÆ® ¿ªÇÒÀ» ÇÑ´Ù. »õ·Î¿î À§Çù°ú Ãë¾à¼º¿¡ ´ëÇØ °æ°è¸¦ À¯ÁöÇÏ´Â °ÍÀÌ ¸Å¿ì Áß¿äÇϸç, Á¶Á÷ ³»ºÎ ȯ°æ¿¡¼ ¹ß»ýµÇ´Â º¸¾È À̺¥Æ® º¯È »óȲÀ» Áö¼ÓÀûÀ¸·Î °üÂûÇØ¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù.
¶ÇÇÑ, ±×´Â ¡°º¸¾È À§»ý(Security Hygiene)À» ÁöÅ°´Â °Í¿¡ ¿ì¼±¼øÀ§¸¦ ºÎ¿©ÇÏ°í ÀÚµ¿È, ÅëÇÕ, Àü·«Àû ºÐÇÒÀ» È°¿ëÇÏ´Â Æк긯 ±â¹ÝÀÇ º¸¾È Á¢±Ù¹æ½ÄÀ» äÅÃÇÏ´Â °ÍÀÌ ½Ã±ÞÇÏ´Ù. º¸¾È À§ÇùÀ» °¡ÇÏ´Â ÀûµéÀº ÀÚµ¿ÈµÈ ½ºÅ©¸³Æà ±â¼úÀ» äÅÃÇÏ°í Àֱ⠶§¹®¿¡ ¿À´Ã³¯ÀÇ »õ·Î¿î °ø°Ý ŽÁö ¹× ¹«·Âȸ¦ À§Çؼ Á» ´õ ½º¸¶Æ®ÇÏ°í È®°íÇÑ ÅõÀÚ°¡ ÇÊ¿äÇÑ ½ÃÁ¡¡±À̶ó°í ¸»Çß´Ù.
°íµµ·Î ÀÚµ¿ÈµÈ °ø°Ý ¹× ½º¿ú(Swarm) ±â¼úÀÇ ÆòÁØÈ
°¡Àå Àü·«ÀûÀ̰ųª ¶Ç´Â ÀηÂÀÌ º¸°µÈ º¸¾È ÆÀµéµµ ½º¿ú(Swarm) °ø°Ý, º¿³Ý Àç¹ß, ÃֽŠ·£¼¶¿þ¾î °ø°Ý¿¡ ÀûÀýÇÏ°Ô ´ëÀÀÇϱ⠾î·Æ´Ù. ±â½À °ø°ÝÀ» ´çÇÏ¸é ¾î¶² Á¶Á÷ÀÌµç ¾öû³ °ø°Ý·®À¸·Î ÀÎÇØ ÇÇÇظ¦ ÀÔ°Ô µÈ´Ù. ÀÌ º¸°í¼´Â ¾ÖÇø®ÄÉÀÌ¼Ç ÀͽºÇ÷ÎÀÕ, ¾Ç¼º ¼ÒÇÁÆ®¿þ¾î, º¿³Ý µî À§Çù ȯ°æÀÇ 3°¡Áö ÇÙ½ÉÀûÀÌ°í »óÈ£ º¸¿ÏÀûÀÎ ¿ä¼Ò¿¡ ÃÊÁ¡À» ¸ÂÃß°í ÀÖÀ¸¸ç, ÇØ´ç °ø°Ý ¸éÀÇ Áß¿äÇÑ ÀÎÇÁ¶ó Æ®·»µå ¹× Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» Á¶»çÇØ Á¶Á÷¿¡ ¿µÇâÀ» ¹ÌÄ¡´Â »çÀ̹ö °ø°ÝÀÇ Ãß¼¼¸¦ ºÐ¼®Çß´Ù.
¡â °ø°ÝÀÇ ½É°¢¼ºÀº ±ä±ÞÇÔÀ» ¿äÇÑ´Ù : 2017³â 3ºÐ±â¿¡ 79%ÀÇ ±â¾÷µéÀÌ ½É°¢ÇÑ °ø°ÝÀ» °æÇèÇß´Ù. 3ºÐ±â Àüü Á¶»ç µ¥ÀÌÅÍ´Â 5,973°ÇÀÇ ÀͽºÇ÷ÎÀÕ, 2,466°³ÀÇ °¢°¢ ´Ù¸¥ ¸Ö¿þ¾î º¯Á¾±º¿¡¼ ÆÄ»ýµÈ 1¸¸ 4,904°³ÀÇ ¸Ö¿þ¾î º¯Á¾, 245°³ÀÇ °íÀ¯ÇÑ º¿³ÝÀ» ¹ß°ßÇß´Ù. ¶ÇÇÑ, Æ÷Ƽ³ÝÀº ¿ÃÇرîÁö 185°³ÀÇ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» È®ÀÎÇß´Ù.
¡â º¿³Ý Àç¹ß : ¸¹Àº Á¶Á÷µéÀÌ µ¿ÀÏÇÑ º¿³ÝÀÇ Ä§ÀÔÀ» ¿©·¯ ¹ø °æÇèÇß´Ù. ÀÌ´Â ¸Å¿ì ÁÖ¸ñÇÒ ´ë¸ñÀÌ´Ù. Á¶Á÷µéÀÌ Àüü ħÀÔ ¹üÀ§¸¦ öÀúÈ÷ ÆľÇÇÏÁö ¸øÇ߰ųª, ºñÁî´Ï½º ¿î¿µÀÌ Á¤»óÈµÈ ÀÌÈÄ º¿³ÝÀÌ Àá½Ã È°µ¿À» ¸ØÃè´Ù°¡ ´Ù½Ã °ø°ÝÇ߰ųª, ±Ùº» ¿øÀÎÀ» ãÁö ¸øÇÑ °æ¿ì¿¡ Á¶Á÷µéÀº µ¿ÀÏÇÑ ¸Ö¿þ¾î¿¡ ´Ù½Ã °¨¿°µÆ´Ù.
¡â ½º¿ú Ãë¾à¼º(Swarming Vulnerabilities) : ¹Ì±¹ÀÇ ½Å¿ëÆò°¡»ç ¿¡ÄûÆѽº(Equifax)ÀÇ °ø°ÝÀÚ°¡ »ç¿ëÇÑ ¾ÖÇø®ÄÉÀÌ¼Ç ÀͽºÇ÷ÎÀÕÀº Áö³ ºÐ±â¿¡ 6,000°³°¡ °¨ÁöµÇ¾î °¡Àå À¯ÇàÇÑ °ÍÀ¸·Î Á¶»çµÆ´Ù. ÀÌ´Â À̹ø ºÐ±â¿¡µµ °¡Àå À¯ÇàÇÑ °ø°ÝÀ¸·Î ±â·ÏµÆ´Ù. »ç½Ç ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷(Apache Struts) ÇÁ·¹ÀÓ¿öÅ©¿¡ ´ëÇÑ 3°³ÀÇ ÀͽºÇ÷ÎÀÕÀÌ °¡Àå À¯ÇàÇÑ »óÀ§ 10°³¸¦ ä¿ü´Ù. ÀÌ´Â °ø°ÝÀÚµéÀÌ ±¤¹üÀ§ÇÏ¸é¼ Ãë¾àÇÑ ´ë»óÀ» ¾î¶»°Ô °ø°ÝÇÏ´ÂÁö Àß º¸¿©ÁÖ´Â ¿¹¶ó°í ÇÒ ¼ö ÀÖ´Ù.
¡â ¸ð¹ÙÀÏ À§Çù : 4°³ ±â¾÷ Áß Çϳª ºñÀ²·Î ¸ð¹ÙÀÏ ¸Ö¿þ¾î°¡ ¹ß°ßµÆ´Ù. 4°³ÀÇ Æ¯Á¤ ¸ð¹ÙÀÏ ¸Ö¿þ¾î±ºÀº ³ôÀº À¯Ç༺(Prevalence)À¸·Î ÀÎÇØ Ã³À½À¸·Î ÁÖ¸ñÀ» ²ø¾ú´Ù. ÀÌ´Â °ø°ÝÀÚµéÀÌ ¸ð¹ÙÀÏÀ» Ÿ±êÀ¸·Î »ï°í ÀÖÀ¸¸ç, À§ÇùÀÌ ÀÚµ¿ÈµÇ°í ´ÙÇü¼ºÀ¸·Î º¯ÈÇÏ°í ÀÖ´Ù´Â »ç½ÇÀ» º¸¿©ÁØ´Ù. º»°ÝÀûÀÎ ¿¬¸» ¼îÇÎ ½ÃÁðÀÌ µÇ¸é ¸ð¹ÙÀÏÀ» ÅëÇÑ ±¸¸Å°¡ È°¹ßÇØÁö°í IoT ÀåÄ¡°¡ Àα⠼±¹°ÀÌ µÉ °ÍÀ̱⠶§¹®¿¡ ´õ ¸¹Àº ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù.
¡â ³Î¸® ÆÛÁö¸é¼ ¿ìȸ ±â´ÉÀ» °¡Áø ¸Ö¿þ¾î : »óÀ§ ¸Ö¿þ¾î±ºÀÇ °¡Àå ÀϹÝÀûÀÎ ±â´ÉÀº °¨¿°µÈ ½Ã½ºÅÛÀ» ±â¹ÝÀ¸·Î ¸Ö¿þ¾î¸¦ ¡®´Ù¿î·Îµå¡¯, ¡®¾÷·Îµå¡¯, ¡®Á¦°Å¡¯ÇÏ´Â ±â´ÉÀÌ´Ù. ¶ÇÇÑ ¿ø°Ý ¾×¼¼½º ¿¬°áÀ» ¼³Á¤ÇÏ°í, »ç¿ëÀÚ ÀÎDzÀ» ĸóÇϸç, ½Ã½ºÅÛ Á¤º¸¸¦ ¼öÁýÇÏ´Â ¸Ö¿þ¾îµµ ¸¹ÀÌ ¹ß°ßµÆ´Ù. ÀÌ·¯ÇÑ Ã·´Ü ±â¼úÀº Ãֱ٠ǥÁØÀ¸·Î ÀÚ¸® Àâ°í ÀÖÀ¸¸ç, ÀÌ´Â ¸ðµÎ ÃֽŠ¸Ö¿þ¾îµéÀÌ Áö´ÉÀûÀÌ°í ÀÚµ¿ÈµÈ Ư¼ºÀ» °ÈÇÏ°í ÀÖÀ½À» Àß º¸¿©ÁØ´Ù.
¡â ·£¼¶¿þ¾î´Â ¾ðÁ¦³ª È°µ¿ÇÑ´Ù : »ó¹Ý±â¿¡ È°µ¿À» Áß´ÜÇÑ ÀÌÈÄ, ·ÏÅ° ·£¼¶¿þ¾î(Locky Ransomware)°¡ ²ÙÁØÈ÷ Áõ°¡ÇÏ°í ÀÖ´Ù. ´ë·« 10%ÀÇ ±â¾÷µéÀÌ ÀÌ¿¡ ´ëÇØ º¸°íÇß´Ù. ¶ÇÇÑ, 3ºÐ±â µ¿¾È ÃÖ¼Ò 22%ÀÇ Á¶Á÷µéÀÌ ¿©·¯ À¯ÇüÀÇ ·£¼¶¿þ¾î¸¦ ¹ß°ßÇß´Ù.
¡â »çÀ̹ö ¹üÁËÀÚµéÀº ¸ðµç ±Ô¸ðÀÇ Á¶Á÷À» ´ë»óÀ¸·Î »ï´Â´Ù : Áß¼Ò±â¾÷µéÀº º¿³Ý °¨¿°·üÀÌ ³ô¾Ò´Ù. »çÀ̹ö ¹üÁËÀÚµéÀº ´ë±â¾÷°ú µ¿ÀÏÇÑ ¼öÁØÀÇ º¸¾È ÀÚ¿ø ¹× ±â¼úÀ» º¸À¯ÇÏ°í ÀÖÁö ¾ÊÀ¸¸é¼ ³ôÀº °¡Ä¡ÀÇ µ¥ÀÌÅÍ ÀÚ»êÀ» º¸À¯ÇÑ Áß¼Ò±â¾÷µéÀ» ´ë»óÀ¸·Î »ï°í ÀÖ´Ù. µ¿½Ã¿¡ Ŭ¶ó¿ìµå äÅà ºñÀ²ÀÌ ³ô¾ÆÁö¸é¼ Áß¼Ò±â¾÷ÀÇ °ø°Ý ¹üÀ§´Â ºü¸¥ ¼Óµµ·Î Áõ°¡ÇÏ°í ÀÖ´Ù.
¡â Áß¿äÇÑ SCADA ½Ã½ºÅÛ : ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷(Apache Struts) °æ¿ì¿Í °°ÀÌ ´ë¿ë·® °ø°Ý ¿Ü¿¡ ÀϺΠÀ§ÇùµéÀº Á¶Á÷µéÀÌ ¹ß°ßÇÏÁö ¸øÇ߰ųª Á¶Á÷¿¡ ½É°¢ÇÑ ÇÇÇظ¦ °¡Á®¿Ô´Ù. ´Ù¾çÇÑ Á¾·ùÀÇ SCADA(Supervisory Control and Data Access) ½Ã½ºÅÛ¿¡¼ ÃßÀûÇÑ ÀͽºÇ÷ÎÀÕ Áß 1°³¸¸ÀÌ À¯º´À²(Prevalence)ÀÇ 1/1000 ÀÓ°è°ªÀ» ³Ñ¾úÀ¸¸ç, ±â¾÷ÀÇ 1% À̻󿡼´Â ¾Æ¹« °Íµµ °üÂûµÇÁö ¾Ê¾Ò´Ù. SCADA ±â¹Ý ½Ã¼³¿¡ ´ëÇÑ °ø°ÝÀº ½É°¢ÇÑ ÇÇÇظ¦ ¹ß»ý½Ãų ¼ö Àֱ⠶§¹®¿¡ ÀÌ °°Àº Åë°è ÀÚ·á´Â ¸Å¿ì Áß¿äÇÑ Àǹ̸¦ °¡Áø´Ù.
½ÇÇà °¡´ÉÇÑ ÀÎÅÚ¸®Àü½º ¹× ÀÚµ¿ÈµÈ º¸¾È ÅëÇØ ÀÚµ¿ÈµÈ °ø°Ý¿¡ ´ëÀÀ
À̹ø 3ºÐ±â °á°ú´Â Æ÷Ƽ°¡µå·¦ÀÌ °ð ¹ßÇ¥ÇÒ 2018³â À§Çù Àü¸Á°ú »ó´ç ºÎºÐ ¸ÆÀ» °°ÀÌ ÇÏ°í ÀÖ´Ù. Æ®·»µå ¹× À§Çù µ¥ÀÌÅÍ ¸ðµÎ, ÇâÈÄ ¹ß»ýÇÒ ¼ö ÀÖ´Â »õ·Î¿î À¯ÇüÀÇ °ø°ÝÀ» ¿¹ÃøÇÏ°í ÀÖ´Ù. »çÀ̹ö ¹üÁË Ä¿¹Â´ÏƼ´Â Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â ´Ù¾çÇÑ °ø°ÝÀ» âÃâÇϱâ À§ÇØ ÀÚµ¿È¶ó´Â ÃֽŠ±â¼úÀ» ½Å¼ÓÇÏ°Ô Àû¿ëÇÏ°í ÀÖ´Ù.
°í±Þ À§Çù Á¤º¸ °øÀ¯ ¹× °³¹æÇü ¾ÆÅ°ÅØó¸¦ ±â¹ÝÀ¸·Î º¸¾È ¹× ³×Æ®¿öÅ· ±¸¼º ¿ä¼Ò¸¦ ÀÚµ¿ÈÇÏ°í »çÀü ÁÖµµÀûÀÎ ¹æ¾î ¹× ´ëÀÀ ½Ã½ºÅÛÀ¸·Î °áÇÕÇÑ º¸¾È ÇÁ·¹ÀÓ¿öÅ©¸¸ÀÌ ÇâÈÄ º¸¾ÈÀ» Ã¥ÀÓÁú ¼ö ÀÖ´Ù. ²÷ÀÓ¾øÀÌ ÁøÈÇÏ´Â °ø°Ý ¸éÀ» ¹æ¾îÇϱâ À§Çؼ´Â ±âÁ¸ ÀÎÇÁ¶ó¸¦ À¯ÁöÇÏ¸é¼ ÃֽŠ±â¼úÀ» ¿øÈ°ÇÏ°Ô Àû¿ëÇÒ ¼ö ÀÖ´Â ¿ª·®À» ¹ÙÅÁÀ¸·Î ÃֽŠº¸¾È Àü·« ¹× ¼Ö·ç¼ÇÀ» ½Å¼ÓÇÏ°Ô ±¸ÇöÇÏ´Â À¯¿¬¼ºÀÌ ¿ä±¸µÈ´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>