"국가 사이버보안에 필요"…민간에 위협정보 빗장푸는 국정원·KISA

기관보유 사이버위협정보 유형·대상 확대제공

과기정통부·KISA 'K-사이버방역' 전략 추진 중

사이버위협대응 AI용 악성코드 특징정보 공개

국정원 공공 사이버위협정보 민간기업에 제공

한국산업보안한림원 "대·중소 공동 대응 기반"

[사진=게티이미지뱅크]

 

공공기관이 보유한 사이버위협 관련 정보를 민간기업과 공유해 국가 전반의 대응능력을 강화해야 한다고 국가정보원과 한국인터넷진흥원(KISA)이 한 목소리를 내고 있다.

9일 정보보안 산업·연구계에 따르면 두 기관은 실제로 공공·민간 부문의 사이버위협 대응 업무를 수행하며 각자 기관내에 축적된 정보를 최근 민간기업들과 공유하기 시작했다. 코로나19 사태 이후 가속화된 비대면 경제 체제로의 전환과 맞물려 더욱 고조되고 있는 사이버위협 우려와 최근 실제 확대되고 있는 피해양상을 효과적으로 억제하고 국가 사이버안전·안보 증진에 기여할 수 있을지 주목된다.

작년말 국정원은 국가배후 해킹조직에 의한 정보절취 심화, 금전갈취 피해규모 증가, 포스트코로나 시대 비대면 업무기반의 침투공격 기승, 산업기술정보의 전방위 절취 시도, 신기술에 특화된 해킹수법 등장 등을 올해 5대 사이버위협으로 예측했다.

올해 들어 사이버위협 정보를 민간 기업들과 공유하기 위한 플랫폼을 마련해 운영하면서, 다양한 수단으로 정보 공유에 나섰다. 국정원 관계자는 "해커들이 조직단위로 뭉쳐 범법행위를 저지르고 있다"며 "공공·민간이 협업하고 공조해 사이버위협에 공동대응해야 피해 예방을 효과적으로 할 수 있다"고 강조했다.

KISA도 과학기술정보통신부가 올해부터 2023년까지 6700억원을 투입하는 'K-사이버방역 추진전략' 일환으로, 침해사고발생시 사고원인 분석뿐아니라 지원기관 간의 실시간 상황파악과 통제 역량 확보, 인터넷데이터센터(IDC)·클라우드 기업을 포함한 협업체계 '사이버보안얼라이언스'를 구축해 민·관의 정보수집과 대응활동 간 협업을 강조하고 있다.
 

KISA, 민간 사이버침해사고 대응하며 축적된 악성코드 특징정보 공개…AI 기술 활용한 위협대응 '촉매' 기대

KISA는 지난 8일 사이버위협으로부터 안전한 인터넷 생태계를 조성하기 위해 '인공지능(AI) 기술에 활용할 수 있는 악성코드 특징정보'를 공개한다고 밝혔다. 이 정보는 KISA가 실제 침해사고 현장에서 수집·분석한 악성코드 특징정보를 6개 범주, 72종의 데이터로 분류·정의돼 있다.

이번에 KISA가 공개한 특징정보는 악성코드 파일의 해시값·리소스 등 '메타데이터', PDB경로·바이너리문자열·YARA룰 등 '정적(static) 정보', 파일·레지스트리·프로세스 영역의 행위 등 '동적(dynamic) 정보', 공격 전략·기술 등 'ATT&CK 매트릭스', 접속을 시도하는 URL·IP 등 '네트워크', PE이미지·윈도API호출순서·문서파일특징정보 등 '부가 데이터' 등으로 구성된다.

KISA는 이 6개 범주 72종의 특징정보 데이터, 예시 데이터와 설명을 제시했다. 수년간 침해사고를 분석하고 대응해 온 KISA의 노하우와 실제 발생했던 공격 정보를 반영했다. 보호나라 웹사이트를 통해 특징정보 예시를 열람할 수 있고, 민간의 산·학·연 관계자 요청에 따라 원천데이터(악성코드 샘플 IoC)와 특징정보 데이터셋을 제공한다.

이원태 KISA 원장은 "이번 자료 공개가 국내 정보보호 기업의 사이버위협 대응능력 향상과 글로벌 경쟁력 강화의 계기가 되길 기대한다"며 "앞으로도 최신 정보통신기술(ICT)을 접목한 악성코드 분석체계를 통해 랜섬웨어 등 국내 유입되는 대량 악성코드를 신속히 분석하고 유관기관에 공유하는 등 '국가 사이버방역'에 앞장서겠다"고 말했다.

KISA는 기업들이 침해사고현장에 기반한 원천데이터 수집, 주요 특징정보 분석·도출, 동종기업 간 상호 정보·기술 교류와 사이버위협 대응을 위한 AI 기술 활용이 어려웠다고 진단하고, 이를 해소하기 위해 이번 특징정보 제공에 나섰다고 밝혔다. 향후 사이버위협이 증가하고 있는 모바일 악성앱 등으로 관련 정보 공유 분야를 확대하겠다고 예고했다.
 

국정원, 공공기관 200여곳 사이버위협정보 민간에도 공개…"기간통신·정보보호분야 희망기업에 연내 순차 제공"

이미 국정원은 국가사이버안전센터에서 공공기관 200여곳을 대상으로 운영해온 '국가사이버위협 정보공유시스템(NCTI)'의 정보를 민간기업에도 확대 제공하고 있다. 올해부터는 명확한 비공개 사유가 없는 경우 정보를 원칙적으로 공유한다는 방침을 마련해, 조직화·고도화된 사이버위협 피해를 예방하기 위해 움직이고 있다.

국정원은 작년 10월 국가사이버안전센터·방위사업청·방위산업진흥회와 공조해 13개 방산업체와 '사이버위협정보공유 협약'을 맺고, 인터넷기반으로 별도구축한 정보공유시스템(KCTI)의 아이디·패스워드 등 접근권한을 방산업체들에게 부여했다. NCTI에 축적된 해킹공격 유형, 관련 IP, 최신악성코드 등 사이버위협정보가 KCTI에 자동 전송되는 방식이다.

국정원이 긴급 위협정보나 사고조사 결과를 민간에 개별 제공한 사례는 있었지만, KCTI와 같은 별도 시스템을 통해 지속 제공하는 사례는 처음이었다. 당시 국정원은 이에 대해 국내 방산업체 핵심기술에 대한 해킹공격이 지속 확대되고 있다고 판단해 내린 '선제조치'라고 설명하고, 추후 국가핵심기술 보유기업, 보안·포털 기업으로 정보제공 범위 확대를 예고했다.

올해 4월 초 국정원은 정보공유 원칙·절차 등 자체기준을 마련해 시행에 들어갔고, 사이버위협정보 공유 대상을 공공기관 290곳, 방산업체 14곳으로 늘렸다는 점과, 연내 정보공유 대상을 더 확대한다는 방침을 밝혔다. 연말까지 희망하는 제약·바이오, 핵심기술, 기간통신, 정보보호 분야 기업과 30여개 방산업체 등에 사이버 위협정보를 순차 제공하기로 했다.

4월 20일 한국산업보안한림원이 국정원 산업기밀보호센터와 함께 중소기업 보안지원을 위한 '상생협력TF'를 발족했다. 월말께 한림원 회원사(포스코·삼성·현대·SK·LG·한화·효성 등 제조 7대그룹 42개사)가 KCTI로 사이버위협정보를 제공받기 시작했다. 이에 한림원은 산업기밀보호센터와 대·중소기업을 아우르는 사이버공격 공동대응 기반이 마련됐다고 평가했다.

국정원은 민간기업 대상 위협정보제공 서비스와 별도로, 사이버보안관제·위협트래픽분석 분야 전문가로 강사진을 구성해 민간기업 사이버역량 강화를 위한 사이버보안교육 프로그램도 활성화할 계획이라고 밝혔다. 이 교육내용을 국민 보안의식을 향상시키기 위한 교재로도 제작해 활용하겠다고 예고했다.