파이어아이(지사장 전수홍)가 최근 일련의 은행권 침해사고 대응 경험을 바탕으로 금융권 사이버 위협을 효과적으로 방어할 수 있는 대응 전략이 담긴 보고서를 발표했다.

파이어아이의 자회사 맨디언트의 컨설턴트들은 지난 해 언론을 떠들썩하게 했던 금융권 침해 사고를 대응하고 조사한 경험을 바탕으로 금융 서비스 기관들이 지능형 사이버 위협을 빠르게 대응하고 그로 인한 침해를 최소화 하는 데에 필요한 조치들을 발표했다.

맨디언트는 지난 2014년 파이어아이가 인수한 포렌식 전문 기업으로 사이버 침해 탐지 및 대응 분야에서 선도적인 보안 업체이다. 파이어아이는 지능형 위협에 대한 빠른 대응을 위해 필요한 세 가지 조치를 권고했다.

인증정보 관리=거의 모든 침해사고에서 인증정보가 탈취되고 악용됨에 따라 인증정보에 대한 적절한 보호 조치가 필요하다. 특히, 도메인 관리자 및 루트 권한 계정의 수를 줄이고, 로컬 관리자 계정 및 각종 권한 계정에 대해 암호 관리 솔루션을 사용해야 한다.

또한, 민감한 시스템 및 애플리케이션에 대한 원격 접근을 포함한 모든 접근에 대해 다중요소 인증 방식을 도입해야 하며, 인증정보가 악용되고 있는지 여부를 지속적으로 확인하기 위해 인증정보에 대한 감사를 진행할 것이 좋다. 이와 함께, 관리자 계정에 대한 지속적인 모니터링이 요구되며 관리자 활동에 대해 강력한 인증 절차를 거쳐야 한다.

망분리 시행=대부분의 금융 기관들이 망분리를 적절히 시행하지 않고 이에 대한 모니터링도 이루어지지 않고 있어 주의가 요구 된다. 진정한 망분리는 데이터를 한 시스템에서 다른 시스템으로 이동시키는 데 수동적인 절차가 필요한 것을 의미하며, 따라서 기업들은 망분리 과정에서 소요되는 비용과 공격자가 주요 자산에 접근하고 유출했을 시 발생할 손실을 비교하여 리스크 관리를 해야 한다.

데이터 분리=제품생산 관련 데이터와 같은 민감한 데이터를 테스트 및 QA시스템에 저장하지 않아야 한다. 테스트 및 QA시스템은 낮은 권한으로도 접근이 가능하며 안전하지 않은 환경이기 때문이다. 생산 환경을 제외한 환경에서는 랜덤화하고 익명화된 데이터를 사용해야 민감 데이터 유출 피해를 최소화할 수 있다.