NoiseAware Blog

대전 토토

토토 사이트 골프 제로 - 자동차 게임 틀어 줘 -

토토 사이트 골프 제로 - 2025년 실시간 업데이트

한국인터넷진흥원 '중소기업 침해사고 피해지원 서비스 동향 보고서'공개
정보유출사고 침투 경로…'취약한 인증 및 세션 관리'가 1위,이어 SQL 인젝션
검증에 검증 '제로 트러스트'보안 강조·외부와 위협 정보 공유와 협력 강화

[서울=뉴시스]

[서울=뉴시스]송혜리 기자 = #온라인 전자세금계산서 서비스 '스마트빌'과 패션 오픈마켓 '가방팝'은 해커의 SQL 인젝션 공격을 받아 총 70만 건이 넘는 개인정보가 유출됐다.개인정보보호위원회는 이들에 총 2억원 상당의 과징금과 과태료 제제를 내렸다.보안 조치를 소홀히 하고,해킹 방지 대책을 제대로 마련하지 않았다는 이유에서다.

최근 사이버 위협이 증가하면서 기업 보안이 그 어느 때보다 중요한 이슈로 떠오르고 있다.

정보유출 사고가 발생하면 기업은 핵심 기술과 사업 전략이 노출돼 경쟁력을 잃고,지속적인 경영 위협과 경제적 손실을 입을 수 있다.특히 개인정보 유출 시 이용자 신뢰가 하락하고,개인정보보호법에 따른 과태료 부과 등의 추가적인 피해를 받게 된다.

이에 따라 보안 당국은 보안을 강화하는 것은 단순히 기술적인 문제를 넘어 조직 전체의 보안 문화 정착이 필수적이며,기업들은 최신 보안 기술을 적극 도입하고 직원들의 보안 의식을 지속적으로 높이는 노력을 기울여야 한다고 당부한다.

정보유출 침해사고 원인 1위 '취약한 인증 및 세션 관리'

한국인터넷진흥원(KISA)은 최근 발표한 '2024년 4분기 중소기업 침해사고 피해지원서비스 동향보고서'를 통해 '중소기업 침해사고 피해지원 서비스'에 신고 접수된 정보유출 침해사고 주요 원인과 대응 방안을 정리해 공유했다.

KISA가 해당 기간 동안 중소기업에서 발생한 정보유출 사고를 분석한 결과,해커들이 가장 많이 악용한 보안 취약점은 인증 및 세션 관리 미흡(33.3%)이었다.이어 SQL 인젝션(25%),접근 통제 취약점(19.4%) 순으로 나타났다.또 해커들이 탈취한 정보의 약 27.5%는 텔레그램이나 해킹 포럼 같은 외부 채널을 통해 유출된 것으로 확인됐다.

먼저,내부 시스템에 대한 접근 권한이 제대로 설정되지 않아 비인가 사용자가 중요 정보에 접근하는 사례가 빈번하게 발생했다.특히 관리 페이지가 외부에 노출되는 등의 문제로 인해 공격자가 쉽게 시스템에 침투할 수 있었다.

또 웹 애플리케이션의 입력 필드를 악용해 악성 SQL 명령어를 삽입하는 방식으로 데이터베이스에 접근하는 'SQL인젝션' 공격이 자주 발생했다.보안이 취약한 비밀번호 정책을 사용하거나,인증 과정에서의 허점을 이용한 '세션 하이재킹' 공격이 발생하는 경우도 많았다.

아울러 기업 내부에서 인증 및 접근 통제 정책이 제대로 수립되지 않았거나,보안 취약점을 점검하고 관리하는 체계가 부재한 경우 공격에 쉽게 노출됐다.특히,작은 기업일수록 보안 정책이 체계적으로 수립되지 않아 사고 발생 위험이 크다.

직원들의 보안 인식이 부족한 것도 주요 원인이다.피싱 공격에 속아 악성 링크를 클릭하거나,보안이 취약한 비밀번호를 사용하는 등의 실수가 사고로 이어지는 경우가 많았다.정기적인 보안 교육이 이뤄지지 않는 기업에서는 이런 문제의 발생 빈도가 높았다.

2024년 중소기업 침해사고 피해지원 서비스 통계(사진=KISA) *재판매 및 DB 금지

제로 트러스트 보안 모델 도입·위협 정보 공유와 협력 강화

KISA는 이번 보고서를 통해 보안 강화 전략을 공유했다.

기업에서 보안을 강화하는 가장 효과적인 방법 중 하나는 '제로 트러스트(Zero Trust) 보안 모델을 도입하는 것이다.'신뢰하지 말고 항상 검증하라(Never Trust,Always Verify)'는 원칙에 기반한 이 보안 모델은 사용자와 단말을 지속적으로 검증·인증하고 최소 권한만 부여해 내부와 외부의 위협을 차단한다.

과학기술정보통신부는 이를 도입할 수 있도록 가이드라인을 제공하며,이중인증(MFA),네트워크 세분화,실시간 모니터링,데이터 접근 제어 등을 포함한 기술적 구현 방안을 제시하고 있다.

아울러 보안 위협에 신속히 대응하기 위해서는 유관 기관 및 업계 내 다른 기업들과 최신 보안 동향과 취약점 정보를 공유하는 것이 중요하다.이를 통해 보안 사고를 사전에 방지하고,토토아뜰리에실질적인 대응책을 마련할 수 있다.

기업들은 보안 관련 네트워크에 적극 참여하고,보안 세미나와 워크숍 등을 통해 실제 사고 사례와 대응 방안을 공유하며 공동 방어 체계를 구축할 필요가 있다.

서버 보안을 위해서는 ▲최신 보안 패치 적용 ▲사용자 권한 관리 ▲관리자 계정 보호 ▲원격 접속 보안 이 네가지를 기억하면 된다.

운영체제(OS)나 소프트웨어의 보안 패치를 제때 적용하지 않으면,해커들이 알려진 취약점을 악용할 가능성이 커진다.자동 업데이트 설정을 활성화하고 정기적으로 패치 이력을 점검해 모든 시스템이 최신 상태를 유지하도록 해야 한다.

또 모든 계정은 필요한 최소한의 권한만 부여하는 원칙(Least Privilege Principle,POLP)을 따르도록 하고,관리자 계정은 해커들의 주요 공격 대상이므로 강력한 비밀번호 정책(대문자,소문자,숫자,특수문자 포함 12자리 이상)을 적용해야 한다.특히,이중 인증(MFA)을 활성화해 계정 정보가 유출되더라도 추가적인 보안 장치를 마련하는 것이 중요하다.

가상사설망(VPN)을 사용해 원격 접속을 보호하고,SSH 키 인증을 활용해 비밀번호 기반 접근을 최소화하는 것이 바람직하다.

정기적인 보안 교육 실시·KISA 정보보호 서비스 활용

보안 교육과 인식 강화도 동반돼야 한다.

직원들이 보안 위협에 대해 경각심을 갖고 적절히 대응할 수 있도록 정기적인 보안 교육을 실시하도록 한다.이때 교육 내용은 피싱 공격,랜섬웨어 감염 예방,악성코드 대응 방법 등을 포함하며,실제 사례를 기반으로 한 시뮬레이션 훈련을 통해 학습 효과를 높일 수 있다.

아울러 보안 인식을 높이기 위해 정기적인 캠페인을 진행하는 것도 효과적이다.예를 들어 "의심되는 링크는 클릭하지 마세요" "안전한 비밀번호 관리 방법" "의심스러운 이메일 식별법"등의 주제를 바탕으로 사내 포스터,무료 슬롯버프이메일 뉴스레터,퀴즈 이벤트 등을 활용하면 직원들의 관심을 유도할 수 있다.

이를 통해 이메일·파일 다운로드 시 주의가 필요하다는 인식을 확산시켜야 한다.

출처가 불분명한 이메일이나 파일은 해킹의 주요 수단이 될 수 있으므로,의심스러운 이메일은 열지 말고 즉시 삭제해야 한다.또 이메일에 포함된 링크는 반드시 마우스를 올려 주소(URL)를 확인한 후 클릭해야 하며,첨부 파일 중 실행 파일(EXE,SCR,VBS 등)은 절대 실행하지 않는 것이 안전하다.다운로드한 파일은 실행 전 반드시 보안 프로그램으로 검사하고,공공 와이파이 환경에서는 파일 다운로드를 피해야 한다.

마지막으로 KISA 정보보호 서비스를 활용하는 것도 방법이다.

KISA는 보안이 취약한 중소기업을 위해 중소기업 보안 취약점 점검,홈페이지 보안 강화,랜섬웨어 대응 가이드 제공,중소기업 침해사고 피해 지원 등을 제공한다.

보안 전문 인력이 부족한 중소기업을 위해 웹 취약점 점검·보안 강화 도구(내서버돌보미,사이버대피소 웹공격 방어)를 제공해 안전한 홈페이지 운영을 지원한다.또 만약 기업이 사이버 공격을 당했을 경우,KISA는 원인 분석 및 재발 방지 컨설팅,보안 교육 등을 지원하여 피해를 최소화할 수 있도록 돕는다.