- 버전
- 다운로드 19
- 파일 크기 3.58 MB
- 파일 수 1
- 생성 날짜 2022년 11월 16일
- 마지막 업데이트 2024년 2월 13일
[금융보안원] 2023년 디지털금융 및 사이버보안 이슈 전망(2022.11)
금융보안원에서 발간한
2023년 디지털금융 및 사이버보안 이슈 전망입니다.
업무에 참고 바랍니다.
○ 자료명 : 2023년 디지털 금융 및 사이버보안 이슈 전망
○ 발간일 : 2022년 11월
○ 주관부처 : 금융보안원
I. 사이버 공격 경로로 악용될 수 있는 엔데믹 취약점
1. 이슈 분석
- 제로데이 등 고위험 보안 취약점을 이용한 사이버 공격 우려 심화
제로데이 취약점은 제조사나 개발자가 인지하거나 공식적인 패치를 배포하기 전에 발견된 보안 취약점으로 최근 이를 악용한 공격이 증가하고 있다. 특히 원격코드실행(Remote Code Execution). 권한 상승(Privilege Escalation) 등이 가능한 고위험 보안 취약점을 이용하는 사이버 공격에 대한 우려가 심화된다.
- 취약점을 선제적으로 식별하고 방어하기 위해 버그바운티 적극 활용 필요
구글과 MS 등 글로벌 빅테크 기업은 자사 제품 및 서비스의 보안 취약점을 선제적으로 찾아내기 위해서 버그바운티(Bug Bounty)를 활용하고 있으며, 보안기업 및 관련 연구기관에서도 취약점 연구에 적극 투자해야 한다.
이와 관련하여 국내 금융권도 모바일 애플리케이션과 보안 프로그램 등 사용 중ㅇ니 소프트웨어의 보안 취약점을 신고 받는 등의 버그바운티 운영이 필요하다.
2. 전망 및 대응 전략
- 보안 취약점 모니터링 및 최신 패치의 신속한 적용 등이 중요
사용하는 소프트웨어와 관련하여 발표되는 보안 취약점 동향을 모니터링하고 최신 보안 업데이트 발표 시 이를 신속하게 패치 할 필요가 있음. Log4)의 경우와 같이 취약점의 영향을 받는 시스템 수가 많고 광범위한 패치가 필요하면, 엔데믹 취약점(Endemic Vulnerability)으로 잔존하여 위협이 될 가능성이 높다. 이에 지속적인 주의와 관심이 필요하다.
- 보다 효과적인 보안 취약점 관리를 위한 제도 수립도 고려할 필요가 있음
국내에서도 취약점 관리를 위해 버그바운티를 운영하나, 수집된 취약점 조치 및 공개에 대한 체계화·정형화된 공식 절차는 미비하다.
취약점 제보의 촉진과 공급업체의 취약점 완화 동기 부여 등 효과적인 취약점 관리를 위해 미국-EU 등에서 운영 중인 체계적 취약점 공개(Coordinated Vulnerability Disclouure, CVD) 제도의 수립도 고려할 필요가 있다.
II. 랜섬웨어, 피싱 앱 등 사이버 위협의 끝 없는 진화
1. 이슈 분석
- 최근 랜섬웨어 공격이 활발해지면서 한국형 랜섬웨어도 지속 탐지
22년 상반기 중 가장 활발했던 사이버 위협은 랜섬웨어로 최근 다중 갈취(Multi extortion)로 수법이 진화했다. 랜섬웨어 공격 증가는 서비스형 랜섬웨어(RaaS)의 보편화로, 국가 배후 공격 그룹의 활동 증가 등에 기인한 것으로 보인다. 이에 귀신(Gwisin) 랜섬웨어 등 국내 기업만을 노리는 랜섬웨어도 지속적으로 유포하고 있다.
- 전화 수신 위장 등으로 기능을 강화한 보이스피싱 악성 앱
보이스피싱에 사용되는 악성앱은 전화 발신 가로채기 외에도 전화 수신 위장 등으로 기능을 강화한다.
2. 전망 및 대응 전략
- 디지털 금융의 발전 이면에 사이버 보안 위협도 진화 중
사이버 위협은 오픈뱅킹·간편송금 등 디지털 금융 서비스, 개방과 연결을 특성으로 하는 디지털 금융 환경, 디지털 기술 등을 역이용하여 진화할 것으로 전망된다. 코드 난독화, 지능화된 우회 기법, 내부 이동(Lateral Movement) 및 잠복 등 탐지를 무력화하여 대응을 지연시키기 위한 방식도 계속해서 개발된다. 이에 대응하기 위해서 최신 사이버 위협 트렌드를 반영한 침해사고 대응 훈련 실시와 정보공유 체계에 적극 참여하여 관련 시스템 고도화 등 노력이 필요 하다.
- 제로 트러스트로 보안 패러다임 전환 필요
재택·원격근무 등으로 변화하는 업무 환경 진화하는 사이버 위협 등에 대응하기 위해 최소 권한 접근과 보안 가시성 확보 등에 기반한 제로 트러스트(Zero Trust)로 보안 패러다임 전환 필요
더 자세한 내용은 금융보안원에서 발표한 자료를 확인하시기를 바랍니다.