KISA-KISIA, ‘2022년 사이버보안 대연합’ 2차 보고서 발표
최근 10년 내 발생한 국내외 주요 사건 5개와 글로벌 해킹그룹 활동현황 분석
[보안뉴스 김영명 기자] 한국인터넷진흥원(KISA, 원장 이원태)과 한국정보보호산업협회(KISIA, 회장 이동범)는 사이버보안 대응체계 고도화의 일환으로 민간 주요기업과 사이버위협정보를 실시간으로 공유하기 위한 ‘사이버보안 대연합’을 운영하고 있다.
![[보안뉴스 / 11.21.] 글로벌 해킹그룹 공격 동향 살펴보니... ‘사이버보안 대연합’ 2차 보고서 발표](http://www.boannews.com/media/upFiles2/2022/11/724681002_9943.jpg)
[이미지=utoimage]
사이버보안 대연합은 탐지공유, 정책제도, 대응역량 등 총 3개분과로 나누어 운영 중이며, 지난 9월 1차 보고서 발표에 이어 최근 2차 보고서를 발표했다. 이번 2차 보고서는 최근 10년 내 발생한 국내외 주요 사건 5개를 분석해 대응방안을 소개하고 있다.
먼저 탐지공유 분과에서는 △‘글로벌 해킹그룹 동향보고서’(장영준 NSHC 수석) △‘IATinfect.exe, Shadow Force 그룹의 비밀 무기’(차민석 안랩 수석)에 대해 발표했다.
이어 대응역량 분과에서는 △‘Yanluowang Ransomware Gang 분석자료’(최재우 에스케어 이사) △‘2022년 주요 랜섬웨어 및 대응 방안’(김건우 안랩 실장) 등을 담았다. 정책제도 분과에서는 최수민 인하대 디지털혁신전략센터 연구원이 ‘일본의 위협정보 공유체계’를 분석했다.
![[보안뉴스 / 11.21.] 글로벌 해킹그룹 공격 동향 살펴보니... ‘사이버보안 대연합’ 2차 보고서 발표](http://www.boannews.com/media/upFiles2/2022/11/724681002_8491.jpg)
▲2022년 8월에 확인된 해킹 그룹별 활동 통계[이미지=KISA]
전 세계 6개 해킹그룹 활동 분석해보니
장영준 NSHC 수석이 발표한 <글로벌 해킹그룹 동향 보고서>에서는 올해 7월 21일부터 8월 20일까지 한 달간 수집된 데이터와 정보를 바탕으로 분석한 해킹 그룹(Threat Actor Group)의 활동을 요약했다. 그 결과 섹터A 그룹이 43%로, △섹터E 21% △섹터C 16% △섹터J 13% △섹터F 5% △섹터B 3%의 순이었다.
8월에 발견된 해킹 그룹들의 활동은 정부부처와 금융업 관계자 또는 시스템을 대상으로 가장 많은 공격을 수행했으며, 지역별로는 동아시아와 유럽 국가를 타깃으로 한 해킹 공격이 많았다.
섹터A 그룹 중 8월에는 △섹터A01 △섹터A02 △섹터A05 △섹터A06 △섹터A07 등 5개 그룹이 활동했다. 섹터A01 그룹은 중국, 영국, 브라질, 터키, 미국 등에서 금융, IT, 항공우주, 제조 분야 관계자에 암호화폐 거래소의 엔지니어 채용 문서로 위장한 악성코드를 배포했다.
섹터A02 그룹은 한국에서의 ‘업무연락’, ‘거래내역’ 등의 문서로 위장한 악성코드를 유포했으며, 한국의 인력 파견 기업의 웹 서버를 악용하고 있다. 섹터A05 그룹은 한국과 미국 등에서 NFT 보상 토큰 공지 내용으로 위장한 스피어피싱 이메일을 발송했다.
섹터A06 그룹은 홍콩, 영국, 미국, 인도, 중국, 이탈리아, 러시아에서 해킹 활동이 발견됐으며, 금융산업 관계자들을 대상으로 공격 대상이 관심 있어 하는 채용, 급여 협상, 수익 분배 등의 파일명으로 위장해 윈도 바로가기(LNK) 파일 형식의 악성코드를 유포했다.
섹터A07 그룹은 러시아와 한국에서 활동했으며, 템플릿 인젝션(Template Injection) 기법을 사용하는 MS 워드(Word) 형식의 악성코드를 배포했다. 이 악성코드는 한국의 특정 대학 한국어교육원에서 작성한 문서로 한국의 특정 보안 솔루션으로 검증한 안전한 문서로 위장했다.
섹터B 그룹은 SectorB03 1개 그룹의 활동이 발견됐다. SectorB03 그룹은 체코, 필리핀, 태국, 베트남, 영국, 중국, 벨기에, 헝가리, 싱가포르에서 활동하며, 특정 비디오 채팅 앱 서버를 장악해 사용자가 정상으로 내려받은 설치 프로그램에서 다른 악성코드를 받도록 변조했다.
섹터C 그룹은 SectorC08, SectorC14 등 2개 그룹이 활동했다. SectorC08 그룹은 우크라이나, 미국, 러시아, 필리핀, 독일, 스웨덴, 스페인, 인도, 프랑스에서 활동했다. 이 그룹은 우크라이나 관련 문서로 위장한 MS 워드 형식의 악성코드에서 원격제어 도구를 사용했다.
섹터C14 그룹은 미국, 영국에서 활동이 발견됐는데 국방, 비정부기구(NGO), 정부간 국제기구(IGO) 등을 대상으로 SNS를 통해 사회공학적 기법을 사용했다. 이 그룹은 공격 대상을 피싱 사이트에 접속하도록 유도해 로그인 정보를 탈취하고 시스템 원격제어를 시도했다.
섹터E 그룹은 SectorE01~SectorE05 등 5개 그룹이 활동했다. SectorE01 그룹은 파키스탄, 루마니아, 인도, 중국에서 활동하면서 파키스탄 정부와 국방부 문서를 사칭해 MS 워드 형태의 악성코드를 유포했다. SectorE02 그룹은 우크라이나, 파키스탄, 싱가포르, 네덜란드, 방글라데시, 인도, 오스트리아, 러시아에서 MS 워드, RTF(Rich Text Format) 등 문서형 악성코드를 유포했다.
섹터E03 그룹은 공격 대상 시스템에 PE(Portable Executable) 형식의 악성코드를 설치하고 제어권을 탈취하는 전술을 사용했다. 섹터E04 그룹은 필리핀에서 발견됐으며, 회의록 PDF 파일의 바로가기(LNK) 형식 악성코드의 압축파일을 유포했다. 섹터E05 그룹은 가짜 웹사이트에서 공격 대상이 직접 안드로이드 악성코드 다운로드를 유도했다.
섹터F 그룹은 8월에는 SectorF01 그룹이 활동했다. 이 그룹은 중국, 홍콩, 튀르키에, 베트남, 이탈리아에서 규제 및 법률 위반 관련 자료와 마케팅 광고 등 제목으로 위장한 MS 워드 형식의 악성코드를 유포했다. SectorF 그룹은 이들을 지원하는 정부와 인접국의 정치, 외교, 군사 정보 수집 및 첨단기술 관련 고급 정보 탈취 목적이 있는 것으로 분석된다.
섹터J 그룹은 섹터J01, 섹터J04, 섹터J14, 섹터J20, 섹터J26, 섹터J31 그룹 등 6개 그룹의 활동이 발견됐다. 이들은 재화 가치가 있는 온라인 정보를 탈취하거나 특정 기업과 조직을 직접해킹한 후 내부 네트워크에 랜섬웨어 유포 또는 산업기밀을 탈취해 금전적 대가를 요구했다.
SectorJ01 그룹은 미국에서 발견됐으며, 송장 관련 파일로 위장한 XLL(마이크로소프트 엑셀의 추가 기능 파일) 형식의 악성코드를 사용, 다양한 정보를 C2 서버에 전송한다. SectorJ04 그룹은 오스트리아와 독일에서 발견됐으며, 의료·건강 관련 회사를 대상으로 피싱 메일을 전송하고, 이력서로 위장한 바로가기(LNK) 파일을 발송했다. SectorJ14 그룹은 프랑스, 미국에서 발견됐으며, 안드로이드 스마트폰 정보를 탈취하기 위해 크롬(Chrome) 웹 브라우저로 위장한 안드로이드 악성코드를 사용했다.
SectorJ20 그룹의 활동은 말레이시아, 미국, 중국, 네덜란드, 리투아니아, 불가리아, 나이지리아 등에서 발견됐다. 이 그룹은 스피어피싱 메일에 포함한 원드라이브(OneDrive) 링크를 전달해 바로가기(LNK) 파일 형식의 악성코드가 압축된 ISO 파일을 내려받도록 유도했다. SectorJ26 그룹의 활동은 미국, 독일, 프랑스에서 법률 회사·항공업체를 대상으로 청구서, 이력서 또는 법률 문서의 위장한 MS 워드 파일 형식의 스피어피싱 메일을 전달했다. SectorJ31 그룹은 독일, 헝가리, 네덜란드에서 발견됐으며, 해당 그룹은 공격 대상 조직의 개인 구글 계정 자격증명 획득 후, 노출된 VPN 서버 인증을 통해 시스템 내부에 접근했다.
![[보안뉴스 / 11.21.] 글로벌 해킹그룹 공격 동향 살펴보니... ‘사이버보안 대연합’ 2차 보고서 발표](http://www.boannews.com/media/upFiles2/2022/11/724681002_977.jpg)
▲쉐도포스 그룹 침해가 확인된 기업[이미지=KISA]
쉐도포스 그룹, 확인된 랜섬웨어 중 90% 이상이 ‘IATinfect’
차민석 안랩 수석은 <iatinfect.exe, shadow=”” force=”” 그룹의=”” 비밀=”” 무기=””>를 소개했다. 사이버공격은 완전 자동화가 아니며 상당 부분 사람에 의해 진행된다. 공격자는 본인에게 익숙한 공격 방식을 선호하며, 어떤 공격자는 10년 넘게 같은 방법을 사용한다. 2013년부터 한국에서 활동하는 Shadow Force(쉐도포스) 그룹도 독특한 공격 방식으로 알려져 있다.
쉐도포스 그룹은 우리나라 기업과 기관을 목표로 하며, 2015년 9월 트렌드마이크로는 한국 미디어 관련 회사를 공격했다는 분석보고서를 최초로 공개했다. 안랩은 2020년 3월 ‘Operation Shadow Force’ 분석보고서를 공개했지만, 그 당시 어떤 위협그룹의 소행인지 확인되지 않아 하나의 캠페인으로 소개했다. 그 이후 2년이 넘게 한국 이외에서 감염 보고나 추가 관련 보고서가 공개되지 않고 있다. 올해 7월 KRCert는 ‘TTPs#7 SMB Admin Share를 활용한 내부망 이동 전략 분석’을 통해 쉐도포스의 추가 침해사고 분석 내용을 공개했다.
쉐도포스 그룹은 생소하지만 10년 동안 꾸준히 활동하고 있다. 이들은 중국어 도구를 주로 사용하며 악성코드에 멜로디(Melody), 시링크스(Syrinx), 윈에그드롭(WinEggDrop) 등 제작자 이름도 남긴다. 악성코드 내에 자신들의 닉네임을 남기며 국가 후원을 받는 것으로 추정되는 위협 그룹과는 다르지만 한국만 공격 중인지, 왜 한국만 공격하는지는 확인되지 않았다.
피해 시스템은 보통 윈도 서버이며, KRCert에 따르면 SMB/Admin Share를 통해 내부 전파가 이뤄지는 것으로 알려졌다. Htran은 해킹을 위한 파일 업로드와 다운로드, 파일 실행, 계정 생성 및 삭제, 로그 삭제 등 다양한 기능이 있는 도구다. SQL 관련 파일에서 aio.exe 파일을 내려받은 기록이 있어 공격자는 SQL 서버 장악 이후 aio.exe 파일을 내려받은 것으로 추정된다.
Htran은 aio.exe를 통해 다운로드 되는 파일 중 iatinfect.exe 혹은 iat.exe 파일 이름의 Pemodifier는 윈도 실행 파일을 변조한다. 보통 사용자가 자주 실행하는 파일을 변조하며, 사용자가 이 파일을 실행할 때 쉐도포스와 같은 악성코드가 함께 로딩된다. 마지막으로 화면 캡처나 키로깅 기능을 가진 프로그램으로 사용자를 감시한다.
쉐도포스 그룹의 침해가 확인된 기업은 △IT 운영관리(Htran, Pemodifier, Wgdrop 등을 이용한 공격, 2014년 9월) △의료(VAN 관리 프로그램 패치해 Wgdrop B형 실행, 2015년 1월) △언론사(Shadowforce 변형 접수, 2015년 5월) △운송(Shadowforce, Pemodifier 발견, 2015년 7월) △외식(Wgdrop A형과 시스템 관리 프로그램 변조해 Wgdrop B형 실행, 2015년 8월) △정치기구(ShadowForce 변형 신고, 2019년 3월) 등이다. 하지만, 실제 피해를 당한 기업은 더 있으며, 확인되지 않은 감염 사례가 30건 이상 존재하는 것으로 알려졌다.
공격자는 PE 파일 변조 프로그램 Pemodifier를 즐겨 사용한다. Pemodifier로 지정한 EXE 파일을 변조해 특정 DLL 파일을 로드하는 도구다. 2014년 9월부터 올해 2월까지 총 34개 변형이 확인됐으며 파일명은 30개 이상에서 iatinfect.exe를 사용했다.
파일 길이는 3만1,744~103만6,288바이트 정도이며, 2020년 이후 발견된 변형은 파일 길이가 100KB 정도다. 제작자 이름은 다른 악성코드도 제작한 WinEggDrop이지만, 파일 내부에는 다른 제작자의 별명인 Syrinx도 포함됐다. 현재까지 iatinfect.exe나 iat.exe 파일이 발견된 경로는 △C: Intel △C: PerfLogs △C: Windows System32 △C: Windows logs △C: Users [사용자계정] desktop 등이다. iatinfect.exe 파일은 32비트·64비트 버전이 있다.
지금까지 발견된 변형의 프로그램 정보는 ‘PE File Infector V1.0 Built 06/25/2014 By WinEggDrop’ 등 15개다. 2020년 4월 이후 발견된 변형의 파일 이름은 iatinfect.exe로 같지만, 프로그램 정보를 표시하지 않는다. 프로그램 정보를 출력하지 않는 변형도 주요 문자열을 암호화하지 않아 ‘infect IAT OK’ 등의 의심스러운 문자열을 파일에서 찾을 수 있다.
공격자는 사용자가 신뢰하는 프로그램을 주로 패치하며, 현재까지 확인된 파일명은 armsvc.exe, cissesrv.exe, cpqrcmc.exe, EmSvr_Mail.exe, ImageSAFERSvc.exe, mstsc.exe, NCleanService.exe, npesvc.exe, sqlservr.exe 등이다.
보통 악성코드는 윈도가 시작될 때 자동으로 실행되지만, 이 그룹은 사용자가 특정 프로그램을 실행할 때 악성코드가 함께 로드돼 발견이 더 어렵다. iatinfect.exe로 패치된 파일은 헤더 내에 ‘Syrinx′s Victim’ 문자열이 추가된다. 시스템에서 iatinfect.exe나 iat.exe 파일이 발견되면, 이 그룹의 공격을 받았을 가능성이 크다.
쉐도포스 그룹은 2013년부터 활동하며 10년 가까이 같은 파일명의 도구를 사용하고 있다. 쉐도포스 그룹은 한국에서 꾸준히 활동하고 있어 공격자의 변하지 않는 습관을 이용하면 침해 사실을 더 빠르게 파악할 수 있다. 따라서 다양한 위협 그룹의 특징이 공유돼야 한다.
![[보안뉴스 / 11.21.] 글로벌 해킹그룹 공격 동향 살펴보니... ‘사이버보안 대연합’ 2차 보고서 발표](http://www.boannews.com/media/upFiles2/2022/11/724681002_6798.jpg)
▲Yanluowang Ransomware[이미지=KISA]
얀루오왕 랜섬웨어 갱, 미국 기업을 주된 표적 삼아
최재우 에스케어 이사는 에서 얀루오왕 랜섬웨어 갱(Yanluowang Ransomware Gang)이 미국 기업을 표적으로 공격을 일삼고 있다고 밝혔다. 얀루오왕 랜섬웨어 갱은 지난해 8월 시만텍(Symantec)이 최초로 언급했으며, 미국 기업을 표적으로 활동하고 있다. 지난해에는 랜섬웨어 공격 이후 피해자가 가상화폐를 지급하지 않으면 DDoS 공격도 했다. 올해는 랜섬웨어 공격 이후 가상화폐를 주지 않을 경우 고객 데이터를 공개한다고 위협했다. 이 그룹은 랩서스(Lapsus$)의 하위 조직으로 분석되며, 금융, IT 서비스, 제조, 컨설팅 및 엔지니어링 회사도 공격했다.
이들은 올해 5월 시스코(Cisco)를 침해했다고 주장하기도 했다. 이에 시스코는 8월에 대변인을 통해 공격자들이 시스코의 자료를 다크웹에 공개했다고 인정했다. 다만 시스코는 공개 발표에서 “자사 제품과 서비스, 민감한 고객 데이터나 직원 정보, 지적 재산이나 공급망 운영에는 영향이 없다”고 밝혔다. 이들은 올해 6월 다국적 소매기업 월마트(Walmart)의 컴퓨터 4~5만대를 암호화하고 데이터를 유출했다고 주장했다.
얀루오왕 랜섬웨어 갱 해킹그룹은 최근 파이어아이, 마이크로소프트, 시스코와 같은 보안 기업을 무력화하는 공격을 수행했다. 기업이 공격에 대응하기 위해서는 고도화된 보안 기술과 함께 밝혀진 공격을 빠르게 대응하기 위한 인텔리전스 도입, 알려진 취약점에 대한 빠른 공격 표면관리, 자동화 체계의 도입이 필요하다. 사이버 하이진(Cyber Hygiene)이 고려된 취약점 점검·대응, 공격표면 자동화 점검·조치, 동종 업계 공격 동향 수집, 사전 방어체계 구축, 유명 공격그룹에 대한 TTP 대응 전략 수립을 통해 고도화된 방어체계 수립이 필요하다.
얀루오왕 랜섬웨어 갱은 지난해 10월에 처음 발견됐으며, 미국에 기반한 기업의 표적 공격에 자주 사용되는 랜섬웨어 유형이다. 얀루오왕 TOR(The Onion Router, 익명 네트워크) 유출 페이지에 따르면 배후 공격자들은 지난해 10월부터 6개 이상 분야에서 기업에 피해를 입혔다.
![[보안뉴스 / 11.21.] 글로벌 해킹그룹 공격 동향 살펴보니... ‘사이버보안 대연합’ 2차 보고서 발표](http://www.boannews.com/media/upFiles2/2022/11/724681002_1500.jpg)
▲공격자가 탈취한 Isass.dmp에서 추출한 계정 정보[이미지=KISA]
한글 사용하는 ‘귀신’ 등 국내 활동 중인 4개 랜섬웨어
김건우 안랩 실장은 <2022년 주요 랜섬웨어 및 대응방안>을 통해 올해 국내에 유포 중인 랜섬웨어 중 △매그니베르(Magniber) △록빗 3.0(LockBit 3.0) △귀신(Gwisin) △파고(FARGO) 등 4개 조직이 활발한 공격을 수행하고 있다고 소개했다.
먼저, 매그니베르는 주로 타이포스쿼팅(typosquatting) 공격으로 알려진 도메인의 오탈자로 잘못 방문하는 사이트, 불법 사이트, 광고 링크로 유포된다. 불특정 다수가 타깃이며, 저작권 사칭, 입사 지원서 등으로 위장한 이메일로 유포된다.
귀신 랜섬웨어는 국내 기업의 감염 사례가 다수 확인됐다. 이 랜섬웨어는 msi 형태로 실행 시 특별한 값을 넣어야 하며, 안전모드로 재부팅 후 암호화를 진행해 솔루션을 우회한다.
파고 랜섬웨어는 GlobImposter 랜섬웨어와 함께 관리가 취약한 MS-SQL 서버로 유포되고 있다. 패치가 안 된 시스템에 취약점 공격 등으로 공격에 성공하면 닷넷으로 만든 악성파일을 생성한다. 이후 볼륨 섀도 복사본 삭제 후 MS-SQL 프로세스를 종료하고 암호화한다.
랜섬웨어 초기 침투 경로로는 이메일, 웹 브라우저, 소프트웨어 및 OS 취약점, 관리 취약점, 공급망 등으로 구분된다. 최근 감염 사례로, A업체는 지난해 11월경 다수의 서버가 Lockis에 감염됐고, B업체는 올해 1월 기업 내부 시스템이 Darkside에 감염됐다. C업체는 올해 7월에 LockBit 3.0에 감염돼 시스템 계정 탈취 및 다량의 데이터 유출과 함께 수백대가 감염됐다.
랜섬웨어 대응방안으로는 △노출 최소화 △DMZ 내 시스템 취약점 점검 △계정·비밀번호 관리 △보안 솔루션 사용 △중요 데이터·로그 백업 △불법 사이트 방문 금지 △감염 후 재발 방지 등의 조치를 취하는 것이 중요하다.
![[보안뉴스 / 11.21.] 글로벌 해킹그룹 공격 동향 살펴보니... ‘사이버보안 대연합’ 2차 보고서 발표](http://www.boannews.com/media/upFiles2/2022/11/724681002_9101.jpg)
▲일본의 사이버보안협의회 구성[자료=KISA]
일본, ‘사이버보안 전략’ 기반 공격 대응 소통 채널 강화
최수민 인하대 디지털혁신전략센터 연구원은 <일본의 위협정보 공유체계>라는 보고서를 통해 일본의 사이버보안 대응방식에 대해 소개했다. 일본은 2000년대 초반 국가적 차원에서 ‘e-Japan 구상’을 발표하고, IT 기본법을 제정하면서 사이버보안에 적극적으로 대응했다. 일본은 ‘e-Japan 구상’에 따라 ‘고도 정보통신 네트워크 사회 형성 기본법’을 제정했고, 2005년 4월에는 NISC(National Information Security Center, 정보보안센터)를 설립해 사이버보안 정책 추진을 총괄하고 있으며, 5월에는 IT 전략본부 내 ‘정보보안 정책회의’를 설치해 국가 사이버보안 기본 전략을 수립했다.
정보보안 정책회의는 2005년 12월 IT 기본법의 정보보안 시책에 따라 ‘중요 인프라 정보보안과 관련된 행동계획’을 발표했다. 정보공유 체계는 주체별 역할을 명확히 하고 기능을 활용했다. 정보제공은 인프라 사업자에서 주요기반 분야의 정보공유분석기능인 셉터(CEPTOAR)를 통해 소관 부처에서 공유했다.
일본은 2013년 사이버보안 거버넌스를 강조한 ‘사이버보안 전략’을 발표했다. 사이버보안 전략의 주된 내용은 △새로운 정보화 서비스, 방위, 에너지 산업 등 그동안 주요 기반사업자로 속하지 않았던 분야에 안전기준 책정 및 평가, 정보공유 체제의 심화 및 확충 등 요구 △IT 장애정보 및 공격·위협·취약성 등에 관한 정보는 주요기반 사업자와 셉터 간 지속된 정보 공유 △업종간 정보공유가 어려운 표적형 공격 정보는 비밀유지 계약을 기초로 하는 정보공유 체제를 심화·확충 △주요기반 사업자의 담당 부처에 대한 신속한 보고 및 관계기관과의 정보공유는 개인정보 배려 후 촉진 △주요 기반 사업자의 CSIRT(Computer Security Incident Response Team, 컴퓨터 보안 사고 대응팀) 간 사이버 공격 대응능력 강화 등을 포함하고 있다.
일본은 2015년에 ‘사이버보안 기본법’을 제정했다. 사이버보안 기본법은 ‘사이버보안’을 ‘전자적·자기적 방식, 기타 사람의 지각으로는 인식할 수 없는 방식으로 기록되거나 정보의 누설, 멸실 또는 훼손의 방지, 안전관리 조치와 정보 시스템과 네트워크의 안전성·신뢰성 확보를 위해 필요한 조치를 마련하고 상태를 유지·관리하는 것’으로 정의했다. 또한, 사이버보안 시책은 국민 권리를 침해하지 않는 수준에서 시행하며, 다음을 포함한 관련 시책을 강구하도록 했다.
첫 번째, ‘국가 행정기관 등에서의 사이버 시큐리티의 확보’에서는 국가 행정기관, 독립행정법인 및 지정법인의 사이버보안 기준 수립, 행정기관의 정보시스템 공동화(共同化), 정보시스템의 부정한 활동 감시와 분석 등에 관한 정보공유와 필요한 시책을 주문했다. 두 번째, ‘중요 사회 기반사업자 등의 사이버보안 확보 촉진’에서 국가는 중요 사회 기반 사업자 등의 사이버보안 기준 수립, 사이버보안 훈련, 정보공유, 적극적인 대처를 촉진했다. 세 번째, ‘민간사업자 및 교육연구기관 등의 자주적인 대처 촉진’에서 국가는 민간과 교육연구기관 등에 사이버보안 중요성의 관심과 이해 증진, 관련 정보와 조언을 제공해야 한다고 했다. 네 번째, ‘다양한 주체의 연대 등’에서 국가는 관계부처 간, 국가, 지방공공단체, 사이버 관련 사업자 등 다양한 주체가 연대해 사이버보안 대처 방안을 강구하기로 했다. 다섯 번째, ‘범죄 단속 및 피해 확대 방지’에서 국가는 사이버보안 관련 범죄 단속 및 피해 확대 방지를 위해 시책을 마련하기로 했다. 여섯 번째, ‘일본 안전에 중대한 영향을 미칠 우려가 있는 사상에 대응’에서 국가는 일본 안전을 위협하는 사상에 대응하기 위해 관계기관 간 연대강화와 역할을 분담하기로 했다.
일본 정부는 사이버보안 시책을 종합적이고 효과적으로 추진하기 위해 ‘사이버보안 전략본부’를 설립했으며, △사이버보안 전략의 수립 및 추진 △국가 행정기관, 독립행정법인 및 지정법인의 사이버보안에 관한 대책 마련과 시책의 평가, 그 밖에 해당 기준에 따른 시책의 추진 △국가 행정기관, 독립행정법인 또는 지정법인에서 발생한 사이버보안 침해사고에 대한 시책의 평가 △그 외에 사이버보안 시책 조사심의, 부처 통합 계획, 관계기관의 경비 견적 방침, 지침 작성·평가, 시책의 추진 및 종합조정 등의 역할을 한다.
일본은 2005년 중요 인프라 정보보안과 관련된 행동계획을 통해 셉터의 역할을 정비하고, CEPTOAR-Council(주요 인프라 연락협의회)을 창설했다. CEPTOAR-Council은 △내각관방이 제공하는 정보 취급에 관한 결정, 기밀유지 및 외부로의 정보제공에 관해 구성원 간 규칙이 있으며 △긴급 시 구성원 및 외부와의 연락이 가능한 창구를 설정했다.
일본은 ‘중요 인프라의 정보보안 대책에 관한 제4차 행동계획’에 이어, 올해 6월에는 기존 행동계획을 보완해 ‘중요 인프라 사이버보안과 관련된 행동계획’을 발표했다. 여기서는 주요 인프라를 14개 분야로 규정하고, 이를 보호하기 위한 대응방안을 제시했다.
일본은 2018년 12월 사이버보안기본법 일부를 개정해 ‘사이버보안협의회’ 설립 및 사이버보안 정보공유 활성화를 위한 법적 환경을 마련했다. 사이버보안기본법 제12조 6항에서 정부는 사이버 시큐리티 전략 시행에 필요한 자금을 확보하기 위해 매년 국가 재정 범위에서 예산에 반영하는 등 실시에 필요한 조치를 강구, 노력하도록 명기했다. 사이버보안협의회 가입 등 관련 기관에 등록해 정보공유도 무료로 진행된다.
일본의 주요 인프라 소관 부처는 규정이 있거나 정보제공원의 승낙이 있는 경우를 제외하면 ‘행정기관이 보유한 정보의 공개에 관한 법률’에 따라 비공개정보로 구분한다. 다만, 해당 정보가 보안 취약점이나 프로그램 버그 등의 정보를 입수하고, 다른 문제의 우려가 있을 경우, 사이버 공격의 발생·공격 예고로 다른 주요 인프라 사업자의 중요 시스템이 위험에 노출된다고 인정될 경우, 주요 인프라 사업자의 사이버보안에 효과적이라고 생각되면 예외가 있다.
사이버보안협의회에 참여한 사업자가 안심하고 정보를 제공할 수 있도록 정보제공원이 정보제공 의무와 범위 설정 등 법적 의무사항을 규정에서 명확하게 제시한다. 정보를 공유하는 구성원은 기밀유지를 준수하며, 설정된 정보의 공유범위는 무단 변경을 금지한다. 정보제공 사업자는 협의회를 통해 대응방안에 대한 조언 및 현황에 대한 피드백을 획득하며, 정보제공의무가 적용되는 경우는 ‘대규모 사이버공격’과 ‘정보제공원이 동의한 경우’ 등으로 한정한다.
‘조기경계정보’는 취약성 또는 트래픽 모니터링 등으로 얻은 위협정보나 그 대책 등을 중요 인프라 사업자 등을 대상으로 JPCERT/CC가 제공하는 정보 서비스다. 조기경계정보는 각 조직 내 정보보안을 추진하는 목적으로 활용한다.
![[보안뉴스 / 11.21.] 글로벌 해킹그룹 공격 동향 살펴보니... ‘사이버보안 대연합’ 2차 보고서 발표](http://www.boannews.com/media/upFiles2/2022/11/724681002_3641.jpg)
▲<2022 사이버보안 대연합 보고서 발간 보고서(2차)> 표지[자료=KISIA]
일본은 사이버보안협의회에서 운영하는 중요한 위협정보를 수집하는 사용자 한정 포털 사이트(CISTA: Collective Intelligence Station for Trusted Advocates)를 운영한다. CISTA는 협의회 가입자만 접속 가능하며, 구체적인 공유방식이나 표현규격 등은 공개하지 않는다.
일본의 사이버보안협의회는 올해 4월 ‘사이버공격에 관한 정보의 공유·공표 가이던스 검토회’를 열었다. 검토회에서는 사이버 침해사고 기업은 일반 소비자에게는 가해자가 되는 상황에서 정보 공유와 공표 지침이 필요하다고 설명했다. 일본은 피해 정보를 공격에 사용된 ‘악성코드’나 유관 부처나 공공기관에서 제공하는 ‘기술정보’와 피해내용이나 피해조직이 어떠한 대처를 했는지 등의 ‘컨텍스트 정보’로 구분했다. 컨텍스트 정보는 피해 조직이 공표하거나 공표 전 미디어로 보도되는 경우도 있다.
사이버공격에 관한 정보의 공유·공표 가이던스는 기술정보와 컨텍스트 정보를 구분해 피해조직을 특정하는데 연결되지 않는 정보는 조기에 공유하는 것을 목표로 하는 접근법이다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
</iatinfect.exe,>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 11.21.] 글로벌 해킹그룹 공격 동향 살펴보니... ‘사이버보안 대연합’ 2차 보고서 발표](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
