Cappuccino sapiens

SOC는 항상 새로운 보안 위협에 대한 도전을 안과 밖에서 받고 있으며, 이러한 보안위협을 분석하고 판단하기 위한 기술을 연마하고 있습니다. 올해는 특히나 클라우드 서비스 도입과 팬데믹에 따른 업무환경의 변화로 인해 더욱 숨가쁜 한해를 보내고 있습니다.

로그수집 및 보안위협 분석을 담당하는 핵심 엔진인 SIEM은 이러한 업무환경의 변화에 따른 요구사항을 만족하기 위해, SOAR, UEBA, XDR의 기능을 포괄하는 개념으로 발전해 가고 있습니다.

 ※ SOAR: Security, Orchestration, Automation, and Response

 ※ UEBA: Entity Behavior Analytics

 ※ XDR: eXtended Detection and Response

또한, 많은 SIEM 벤더들은 클라우드 환경을 지원할 수 있도록 IaaS 형태로 서비스를 준비중에 있습니다. 이를 통해 사용자는 클라우드 환경에서 더욱 빠르게 적용하고, 확장성과 융통성을 갖춘 SIEM을 만나볼 수 있게 되었습니다.

※ Gartner named IBM a Magic Quadrant Leader

※ Forrester named IBM Security a Leader

※ IBM Qradar는 2020년 4분기 The Forrester Wave의 Security Analytics분야에서 최고 수준인 리더에 속하며, 측정지표에서 최고점수를 획득했습니다. 또한, Gartner의 Magic Quadrant에서 현재까지 11년 연속 SIEM 리더로 등재되었습니다.

※ IBM Cloud Pak for Security: 하이브리드, 멀티클라우드 환경에서 보안도구를 통합하여 통합된 데이터 관리·분석 및 가시성 확보로 보다 정확한 리스크 기반 의사결정을 하며, 클라우드 환경에 적합한 위협분석 기법 및 자동화 대응으로 보안위협에 대한 신속한 조치와 대응을 수행합니다.

최근에 랜섬웨어 사고에 대한 기사를 흔하게 접하게 됩니다. 보안 전문기관들은 향후더욱 치밀해지고 정교해진 랜섬웨어 공격이 증가할 것으로 예측하고 있습니다.

데이터 침해사고를 당하는 기업은 여러 이유로 인해, 침해사고에 대한 신고를 지연시키는 경우가 발생하기도 합니다. 최근 카스퍼스키 연구 보고서에 의하면, 데이터 침해사고를 당한 중소기업이 그 사실을 적극적으로 이를 알렸을 때, 그렇지 안은 경우 대비 경제적인 손실이 40% 감소하는 것으로 조사되었습니다.  

언론에 알려진 이후에 발생하는 피해금액이 155K 달러 인데 비해, 적극적으로 그 사실을 알렸을 때의 피해금액은 93K달러인 것으로 조사되었습니다.

※ 기사 참조 : SMBs that quickly disclose hacking face 40% less financial loss

사이버 간첩활동(Cyber-espionage)은 사이버 위협활동 보다 더욱 은밀하게 진행되고 있다는 보고가 있습니다. Verizon Threat Research Advisory Center (VTRAC)는 Cbyer Espionage Report (CER)를 통해 최근 7년간 (2014년~2020년)까지의 데이터 침해사고에 대한 분석과 연구결과를 통해 사이버 간첩활동에 대한 몇가지 의미 있는 데이터를 내놓았습니다..

경제적인 목적이 주된 동기가 되는 데이터 침해사고(67%~86%)에 반해, 사이버 간첩활동에서는 10%에서 26% 정도로 매우 낮게 나타났으며, 공격대상에 좀더 심각한 피해를 주기 위해 더욱 기민하고 고도화된 공격기법을 사용하는 것으로 나타났습니다.

주요 타깃은 공공기관이 31%로 가장 많았고, 제조 22%, 전문기관 11% 등으로 나타났으며, 기밀 데이터 및 중요 정보가 주요 타깃이었습니다. 공격기법은 멀웨어가 90%로 가장 많았고, 소셜 미디어 83%, 해킹 80%, 순으로 나타났습니다. 이는, 해킹 56%, 멀웨어 39%, 소셜 미디어가 29% 순으로 나타난 일반 사이버 침해사고와 다른 양상을 보이고 있습니다.

※ 참고: Verizon website.

기업의 데이터에 대한 중요성이 커짐에 따라, 외부로 부터의 침해사고 예방과 분석·대응 관점의 보안에서 데이터에 대한 보안(위조 및 변조, 정보 획득, 내부자 침입, 컴플라이언스 준수 등)이 비중을 더해가고 있습니다.

GDPR에서는 DPO(Data Protection Officer, 데이터 보호 담당자)를 통해 기업의 데이터 보안전략에 대한 관리감독과 구현을 담당하도록 하고 있습니다. GDPR에서 요구하고 있는 DPO의 역할은 아래와 같습니다.

- 임직원을 대상으로한, 중요한 컴플라이언스 요구사항 교육

- 데이터 처리와 관련된 직원들에 대한 훈련

- 컴플라이언스 수행여부에 대한 감독과 잠재적인 이슈에 대해 적극적으로 대응

- GDPR 감독기관과 기업간의 접점으로서의 역할

- 데이터 보호 효율성 제고를 위한 적절한 노력

- 모든 데이터 처리행위 및 과정에 대한 종합적인 로그기록에 대한 모니터링

- 정보 주체에 대한 데이터 이용 및 삭제 등에 대한 처리내역과 개인정보 보호방안에 대한 공지

하이브리드 및 (멀티)클라우드 환경에서는 더욱 많은 데이터가 쌓이게 됨에 따라, 데이터에 대한 접근통제와 보안위협 분석, 그리고 가시성에 대한 중요성이 더욱 커지게 됩니다.

지난  11월 12일, 미국 국토안보부 산하 비밀경호국 요원 130여명이 COVID-19에 양성반응을 보였으며, 격리에 들어갔다는 소식이 있었습니다. 이는 비밀경호국 전체 인력의 10%에 해당하며, 백안관 안보에 타격이 있을 것이라는 우려가 제기되었습니다.

비밀경호국의 COVID-19에 대한 집단발병 예방대책과 요원들의 낮은 경각심에 대한 문제 뿐만 아니라, 감염에 따른 인력공백으로 인한 근무자들의 피로도 증가도 우려의 원인이 됩니다.

이러한 우려는 사이버 보안의 경호를 담당하는 SOC (Security Operation Center)에도 동일하게 적용됩니다. SOC의 요원들이 이러한 질병에 감염되어 격리될 경우, 침해사고 예방과 방어에 헛점이 발생할 수 있습니다.

Exabeam의 2020년 SOC 현황 보고서에 따르면, 회사는 SOC 직원 부족과 보안기술 격차로 인해 어려움을 겪고 있다고 말합니다.

 ※ source: https://www.helpnetsecurity.com/2020/06/17/soc-staff-shortages/

기업의 증가하는 IT서비스 대비 보안인력은 줄고, 업무 부담이 증가하고 있는 상황에서, 이러한 인력공백은 기업의 보안을 유지하는데 상당한 타격을 입힐 수 있습니다. 따라서, 기업은 뉴노멀 시대에 적합한 새로운 SOC 운영대책에 대해 고민이 필요한 상황입니다.

24년 베테랑 은행원이 지인의 부탁으로 메일을 실행시켰습니다. 메일은 악성코드를 포함하고 있었으며, 외부에서 내부 전산망에 접근 가능하도록 했습니다. 2017년 12월 부터 117회에 걸친 접속이 있었으며, 내부 데이터 유출을 시도한 것으로 전해졌습니다. 다행히 큰 피해는 없었지만, 조직은 보안 헛점을 들어내고 신뢰를 잃게 되었습니다.

최근 테슬라에도 이와 유사한 해킹시도가 있었습니다. 러시아의 해커는 내부 직원에게 접근해 100만 달러 조건으로 내부 시스템에 악성코드를 심어 줄 것을 부탁 받았습니다. 내부 직원은 바로 회사에 신고 했고, 회사는 FBI와 협조해 해커를 검거했습니다.

테슬라 정보보안 관리자인 크리스틴 레슬리는 직원들을 대상으로 실시한 주기적인 보안교육과 보안인식 제고가 조직의 보안에 큰 도움이 되었다고 말한 바 있습니다. 정보보호 기본 요소에 있어 직원은 기술과 절차와 함께 중요한 요소이며, 직원의 보안인식 제고를 통해 보안을 한층 강화할 수 있습니다.

※ 관련기사: [죄와벌]"클릭 한번만" 거절못한 은행원, 실형…무슨 일?

지난 9월, 독일 대학병원에서 수술 예정이었던 한 환자가 랜섬웨어 공격으로 병원시스템이 마비 되면서, 수술을 제때 받지 못해 사망하는 사건이 발생하였으며, 이는 랜섬웨어 공격으로 환자가 사망한 첫번째 사례로 기록되었습니다.

COVID-19으로 인한 팬데믹 이후 사이버 보안위협은 크게 증가(71%) 하였으며, 특히 금전적인 이익을 챙길 수 있는 랜섬웨어 공격은 상반기 대비 50% 증가하였습니다.  또한, 최근 랜섬웨어 공격은 보안이 상대적으로 약한 의료기관을 주요 표적으로 삼고있습니다 (2분기 2.3%에서 3분기 4%로 1.7%p 증가).

 ※ Source: 체크포인트 & 디멘셔널 리서치, ”코로나 바이러스가 기업 보안에 미치는 영향“, 6월 3일

의료기관은 의료정보 및 진단결과, 질병관리, 영상정보 처리 등을 위한 EMR, OCS, PACS 시스템 활용도 증가와 기존 폐쇄망의 개방에 따라, IT  보안위협은 물론, 의료기기의 랜섬웨어 공격에 노출되어 있습니다.

랜섬웨어 공격에 대한 모니터링, 분석, 탐지, 차단 등 예방시스템과 전 시스템의 이중화와 백업 등을 통한 대응 시스템 구축에는 막대한 자원(예산, 인력 등)이 필요하며, 이는 과도한 투자일 것입니다. 적정한 보안솔루션을 도입하는 것 외에, 랜섬웨어 공격을 효과적으로 예방 및 대응하기 위한 방안으로는 어떤 것들이 있을까요?

#랜섬웨어 공격 모의 훈련 (Table-top exercise)을 통한 인식제고

의료기관은 랜섬웨어 공격의 원인이되는 이메일 피싱 훈련을 통해, 임직원의 보안인식을 높이고, 랜섬웨어 공격 발생시 시스템 및 데이터 백업복구 등을 통해 서비스 다운타임(Downtime)을 최소화하는 훈련을 실시합니다.

시스템 #보안패치를 통한 사이버 공격에 대한 면역력 강화

해커들은 상대적으로 시간과 노력이 덜 들면서, 성공 가능성이 높은 알려진 보안취약점(CVE)을 사용하는 경향이 있습니다. 따라서, 운영중인 시스템에 대한 보안패치를 함으로써, 알려진 취약점을 차단하고 공격에 대응할 수 있습니다.

얼마전, 미국 재무부는 북한 해킹그룹 등 제재 대상에게 랜섬웨어 몸값을 지불하는 것은 국가안보 이익을 위협하는 행위라고 경고한바 있습니다. 보안 전문가들 사이에서는 랜섬웨어 몸값이 지불되는 현상이 위협을 더욱 키고 있다고 보고, 정부가 적극적으로 나서 랜섬웨어 몸값을 지불하지 못하도록 하는 규제가 필요하다는 입장도 있습니다.

지난 십 여년의 과거를 돌아 보면, 개인정보의 오·남용을 통한 금전적 이득을 차단함으로써,  개인정보 침해사고를 줄여왔던 사례를 떠올리게 됩니다.

재택근무의 확산에 따라, 출근을 준비하는 대신 회사의 시스템에 로그인을 하게 됩니다. 아이는 학교에 가는 대신 온라인 강의 시스템에 접속합니다.

최근 인터넷 접속통계에 따르면, COVID-19으로 인한 팬데믹 이후 안전하지 않은 클릭수가 754%나 증가했다는 보고가 있었습니다.  또한, 여러 보안전문기관들을 통해 컴퓨터 해킹 330% 증가, 스팸건수 36% 증가, RDP (Remote Desktop Protocols) 공격 32백만건 발생, 월평균 1,185건의 피싱공격 발생 등 사이버 공격이 증가했다는 내용의 보고가 있었습니다.

업무환경 변화 및 사이버 공격에 대응하기 위해 보안시스템을 무한정 늘릴 수만은 없습니다. 보안시스템에 대한 즉흥적인 투자는 차후에 보안기능 간의 중첩, 관리비용의 증가 등으로 이어질 수 있어 신중할 필요가 있습니다.

기업은 근무환경에 따른 보안정책 변경, 필수 보안솔루션 도입 등을 통해 조직의 보안강도를 서서히 높이고, 이를 체득화 할 필요가 있습니다. 특히, 임직원들에 대한 보안교육을 통해 가장 기본적인 보안절차를 준수할 수 있도록 하여야 합니다. 보안교육을 통한 인식제고는 많은 비용을 지불하지 않으면서도 가장 효과적인 보안강화 수단입니다.