Cappuccino sapiens

BEC (Business Email Compromise)는 기업의 이메일 계정을 도용하여 기업을 대상으로 사기행각을 벌이는 행위입니다. 개인의 이메일 도용을 말하는 EAC (Email Account Compromise)와 구분하지만, 엄밀히 말하면 같은 수법이라고 할 수 있습니다.

“2019 Internet Crime Report, FBI”에 따르면 ‘사이버 범죄가 점점 더 정교해 짐에 따라, 희생자들은 가짜와 진짜를 구분하는 일이 점점 더 어려워 지고 있다.’고 언급하며, 공격형태가 BEC로 옮겨가고 있고 새로운 골칫거리라고 말합니다. 2019년도에만 BEC공격에 대한 불만 건수가 23,775건에 달했으며, 피해액도 $1.7 billion (약 2.1조)이상으로 보고 있습니다.

BEC는 기존의 이메일을 위장하는 형식이 아닌 정당한 사용자로부터 발신된 메일이기 때문에 수신자가 진위를 판단하기는 쉽지 않습니다. BEC는 주로 탈취된 인증정보인 크리덴셜을 사용하여 내부 직원에게 송금을 요구하거나 민감한 자료를 요구합니다. 또는 외부 거래처를 대상으로 입금계좌가 변경된 가짜 인보이스를 보내기도 합니다. 

BEC를 예방하기 위해서는 송금이나 민감정보 요구시 수신자를 확인하거나 별도 승인과정을 거치도록 하고, 보안업무 절차 반영 및 임직원에 대한 보안교육을 통해 보완할 수 있습니다.

원격근무 또는 재택근무 등의 업무환경 변화에 따라, 회사의 자산에 접근하는 경로(외부 PC, 태블릿, 모바일 폰 등)와 접속환경(자택, 카페 등)이 다양해 지고 있으며, 이에 따라 단말기 보안을 포함해 인증정보에 대한 관리 또한 더욱 강화할 필요가 있습니다.

※ 보고서 다운받기: 2019 Internet Crime Report (https://pdf.ic3.gov/2019_IC3Report.pdf)

※ IBM Security: 통합 엔드포인트 보안관리 솔루션인 MaaS 360은 모든 단말(PC, 태블릿, 스마트폰, IoT 디바이스 등)의 멀티팩터 인증, 프로그램 및 데이터에 대한 보안관리(보안업데이트, 사용자 권한관리, 프로그램 사용 이력관리 등), 디바이스 보안관리 기능을 제공합니다. (MaaS 360웹사이트)

IBM Security는 14번째로 데이터 침해사고에 관한 보고서인 “2019 Cost of a Data Breach Report”를 발간하였습니다. 전세계 500개 기업을 대상으로 데이터 침해사고에 대해 조사하였으며, 특히 2019년도에는 장기간에 걸친 데이터 침해사고가 기업에 미치는 영향과 침해 이후에 발생하는 비용 손실을 다루고 있습니다. 주요 내용과 시사점은 다음과 같습니다.

- 전 세계 데이터 침해사고 비용: ‘18년 $3.6 M(약, 44.4억원) 대비 ‘19년 $3.92M(약, 48.4억원)으로 약 9%p 증가

- 전 세계 평균 데이터 침해사고 비용: $3.9 M(약 48억원)

  (대한민국 약41억원: 기술 55억원, 금융 49억원, 서비스 49억원 순)

- 데이터 침해 비용이 가장 높은 국가 및 분야: 미국 (평균 $8.19 M, 101억원) / 헬스케어 ($6.45 M, 79억원)

- 데이터 침해사고를 인식하는데 걸리는 평균 기간: 약 279일

- 공격 이후 데이터 침해사고 까지 걸리는 기간: 약 314일

- 연차별 데이터 침해사고 비용: 1년차 67%, 2년차 22%, 3년차 이후 11%

※ 보고서 다운받기: Cost of a Data Breach Report, 2019

COVID-19으로 인해 경기가 침체됨에 따라, 범죄의 양상은 사이버영역으로 비집고 들어 올 가능성이 농후해 보입니다. CSO Online의 영국 편집자인 Dan Swinhoe의 글 “Cybercrime in a recession: 10 things every CISO needs to know”에서 10가지 항목이 무엇인지 알아 보겠습니다.

1. 사이버 범죄는 경기침체 시기에 번성한다.

 - 2009년 경기 침체 후 2년동안 사이버 범죄 활동 40% 증가

 - 2008년 미국의 인터넷 사기 33% 증가

 - 2008년 이후 경기침체기를 겪은 브라질, 스페인의 사이버 범죄 활동 증가

2. 피싱은 여전히 공격의 핵심일 것이다.

  - COVID-19 동안 수많은 피싱이 시도되고 있음

3. 비즈니스 이메일 침해(Business email compromise)는 지속적으로 증가할 것이다.

 - 랜섬웨어로 돈을 벌기에 가장 쉬운방법으로, 기업 임원의 크리덴셜은 다크웹에서 쉽게 찾을 수 있음

 - 손상된 비즈니스 이메일 사기가 125억 달러에 달함

4. 해킹툴은 지속적으로 저렴해 질 것이다. 

  - 경기침체기에 해킹 툴 가격은 더 많은 구매자를 끌어들이기 위해 더 낮아짐 

5. 더욱 많은 사람들이 해킹툴을 이용할 것이다.

  - 나이지리아, 온두라스와 같은 국가에서 젊은이들이 사이버 범죄에 가담

6. 내부 위협은 증가한다.

  - 2000년 닷컴 붕괴시 내부자 위협활동이 급격하게 증가

7. APT 그룹은 더욱 활발히 움직일 것이다.

  - 국제적 제제 중 외화를 벌기 위해 지적재선을 훔치는 정부 주도의 해킹그룹 활동 증가

8. 경기침체기 동안 제조사들의 위협은 증가한다.

  - 아웃소싱 업체의 부도시 기존 어플리케이션의 업데이트, 보안취약점 등이 존재하게 됨

9. 보안예산은 삭감될 강능성이 크다.

  - 경기 침체기 동안 예산은 거의 증가하지 않음

10. CISO는 리더가 되어야 한다.

 - 가장 기본적인 보안교육, 직원 사기진작, 적절한 보상 등으로 장기적인 보안태세 필요

※ 원문: '불황 속 사이버 범죄는 증가한다' CISO가 알아야 할 10가지 사항

Cybercrime in a recession: 10 things every CISO needs to know

사이버 공격은 IT발전과 사업환경의 변화에 따라 공격대상과 기법이 변합니다. 이는 마치 금맥에 따라 광부가 모이고, 지형이나 환경에 따라 금을 캐는 형태와 도구가 변하는 것과 같습니다.

1980년대는 공격형태가 단순한 Brute force, Default/weak passwords, Backdoors, War dialing 등 이었으며, 주요 공격 대상은 메인프레임, 중요 기반시설, 모뎀과 통신 장비 등이었습니다.

1990년대에는 Overflows, Remote code, command injection 등 기술적으로 난이도가 있는 공격들이 나타나고, 공격 대상은 IoT device, 개인용 컴퓨터, 인터넷 서비스로 변하였습니다.

2000년대 이후에는 크리덴셜, S/W 취약점 , 공급 체인, APT,  Ransomware 등 기존 공격기법들의 조합과 복잡한 기술을 사용하고 있으며, 주 공격 대상은 모바일 디바이스가 되고 있습니다.

카스퍼스키의 “IT security economics in 2019“를 통해, 전 세계 23개국, 약 5천 여명의 기업인을 대상으로 조사한 기업의 사이버 보안에 관한 결과를 발표하였습니다. 몇가지 인상적인 통계가 있어 공유합니다.

- 2019년 상반기, 약 4천건의 데이터 침해사고 발생, 40억명 이상의 사용자 데이터 침해

- 전세계 IT 기업은 증가하는 보안위협을 위해 약 460조원 지출

- 38% 이상의 기업은 그들이 직면한 보안위협에 대해 정확이 인지하지 못하고 있음

- 사고 중 가장 많은 비용이 드는 멜웨어 감염(약 34억원)임에도, 12%의 대기업만이 이를 염려하고 있음

- 66% 기업(중소기업 포함)은 IT 전문가 증원 또는 양성을 위해 노력하고 있음

- 내부 SOC를 운영하는 기업은 데이터 유출로 인한 재정적인 피해를17.4억원에서 8.4억원으로 감소시킴

- 데이터 보호책임자를 보유한 34%의 기업은 데이터 유출시 재정적인 피해를 입지 않음

※ 원문: IT security economics in 2019, Kaspersky

지난해 Harald Bluetooth왕의 아들 Sweyn Forkbeard의 이름 딴 SweynTooth IoT 취약점(업보?)이 싱가폴 보안전문가에 의해 공개되었습니다. 취약점은SDK(Software Development Kit)를 이용해 블루투스 기기에 BLE (Blooth Low Energy) 기능을 구현하는 공정에서 취약한 소프트웨어 라이브러리가 탑재되면서 존재하게 됩니다. BLE는 IoT 장비의 근거리 통신시 배터리 절약을 위해 고안된 기술로 많은 IoT기기들에서 사용되고 있습니다. 스웨인투스 취약점은 기기간 보안 페어링을 우회하여, 임의의 기기가 통제권을 장악할 수 있으며, 접속기기 정지, 제어, 내부 데이터 유출 등을 수행 할 수 있습니다.

스웨인투스 취약점이 있는 IoT기기는 혈당계측기, 흡입기, 심박조율기 등 많은 의료장비에서도 사용되고 있으며, 해커는 근거리 영역에서 이러한 취약점을 이용한 공격을 시도할 수 있습니다. 환자의 생명을 위해 할 만큼 치명적이지는 않지만, 환자의 건강을 관리하고 보호하는 의료기관의 입장에서는 문제가 심각해 질 수 있습니다.

스웨인투스 취약점은 관련 장비를 업데이트하여 해결할 수 있으나, 상대적으로 보안이 취약한 의료시설은 의료기기에 대한 보안진단 절차를 마련하고, 주기적으로 보안취약점 진단 및 제거, 보안대책 수립 등을 통해 전반적인 보안수준을 높여야 합니다.

관련기사: Take a Bite Out of Sweyn

기업의 보안은 모니터링 대상 시스템, 데이터, 보안시스템의 증가 뿐만 아니라 복잡한 보안시스템간 연계, 증가하는 보안직원간 소통곤란 등으로 어려움을 겪고 있습니다. 그러면서도  보안관제센터(SOC)에 더욱 의존적이면서 보이지 않는 효율성에 대해 고민하고 있습니다. 더구나, “뉴 노멀“시대의 환경에서 SOC는 새로운 국면에 직면해 있습니다.

SOC룸에는 여러 모니터 요원들과 분석가들이 모여 근무하고 있어 마치 콜센터를 연상시키게 됩니다. 직원이 질병에 감염됐을 경우, SOC자체를 폐쇄해야 하는 상황이 발생할 수 있으며, 이로 인해 모든 중추적인 보안업무가 마비될 수도  있습니다. 그렇다고, 콜센터 요원들과 같이, 원격에서 이벤트 모니터링이나 분석업무를 진행할 수도 없는 상황입니다.

보안전문가들은 차세대 SOC는 개방적, 통합적, 유연한 보안 플랫폼이 되어야 하며, SOAR (Security Orchestration, Automation and Response)를 적용해야 한다고 말하고 있습니다. SOAR를 도입함으로써, 보안직원간 유기적인 협업, 통합된 운영절차, 그리고 자동화를 통한 관제기술의 고도화로 SOC의 생산성 및 효율성을 증가시키고 침해사고 응답시간을 단축시킬 수 있습니다.

-        가상의 SOC는 물론 내·외부 보안전문가와 끊임없는 분석·협업이 가능합니다.

-        중앙 집중화된 케이스 관리로 효율성을 극대화 합니다.

-        개방된, 표준화된 구조설계로 다양한 보안시스템간 협업과 가시성을 극대화합니다.    

※     Source: Why Security Orchestration, Automation and Response (SOAR) Is Fundamental to a Security Platform

※     IBM Cloud Pak for Security는 SOAR를 Cloud에 구현하고 있으며, 심도있는 데이터 분석과 오케스트레이션을 통해 보안위협에 대한 빠른 분석과 대응을 가능하게 합니다.

  - 웨비나 온라인 강의: Why Security Orchestration, Automation and Response (SOAR) is at the Core of the IBM Cloud Pak for Security Platform: 2020년 6월 4일(수) 오전 11시(서울시간 6월 5일(목) 밤 12시)

외부로 부터 업무망과 내부 데이터에 대한 접근허용은 편리한 업무환경을 제공하는 반면, 데이터 보안에 대한 위험은 증가한다. 기업은 자원에 대한 접근허용 영역과 수준을 적절히 정의하고, 자원에 접근하는 모든 단말의 보안을 구현 및 통제함으로써 보안위협을 감소하여야 한다.

NIST는 기업의 원격업무를 위한 안전한 보안환경 구현을 위한 가이드 (SP 800-46 Rev.2)를 발표한바 있으며, 가이드에서 제시하고 보안위협과 보안대책은 다음과 같다. 

< 보안위협 >

-       취약한 물리적 보안환경: 카페, 자택 등 비통제 지역, 분실 또는 도난 가능성  등

-       안전하지 않은 네트워크: 카페, 자택, 핫스팟  등 네트워크

-       중요 내부자원 접근허용: 민감한 정보로의 접근경로를 통한 자원 유출 가능

< 보안대책>

-       제로 트러스트 개념에 기반한 외부 접근통제 계획 수립

-       단말기 접근, 재택 및 원격근무 환경에 대한 보안정책 구현

-       외부로 부터 접근 가능한 서버에 대한 접근제어 및 보안통제 강화

-       멜웨어 감염, 분실 및 도난, 해킹 등 보안위협 예방 및 차단을 위한 단말기 보안

※ SP 800-46 Rev.2: Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security

(멀티/하이브리드) 클라우드 도입에 따라 데이터에 대한 관리포인트가 많아지고, 서비스의 확장에 따라 관리해야 할 새로운 데이터도 증가하고 있습니다. 이와 더불어, 정교해 져가는 사이버 공격으로 인해 데이터 유출에 대한 위협은 점점 더 커져가고 있습니다.  

기업은 보안에 많은 투자를 하고 있다고 생각할 수 있습니다. 그럼에도 불구하고, 지속적으로 발생하고 있는 침해사고 및 데이터 유출에 대해 불안감은 지울 수 없을 것입니다. 전문가들은 데이터 보호를 위해 다음의 5가지 항목을 언급하고 있습니다.

1. 컴플라이언스 준수는 기본, 기업의 환경에 적합한 보안환경 구축하기
   - HIPAA 인증제도에도 불구하고, 2019년 매일 1.4 건의 의료 데이터가 유출(추정) 됨
2. 민감한 데이터 식별 및 중앙 집중식 데이터 보안 시스템 구축하기
   - 데이터 가시성 확보, 데이터 암호화, 비즈니스 연속성 관리, DevSecOps 적용, 위협정보 공유 등
3. 데이터 책임성 할당하기
   - 2018년, 67.9%의 기업이 CDO (Chief Data Officer)가 있었으나, 제 역할을 못하는 것으로 조사됨
4. 알려진 보안약점 모니터링 및 패치 하기
   - 2019년 침해사고 중 51%가 알려진 보안약점을 악용한 공격으로 조사됨
5. 데이터 접근정책 설정 및 접근행위 모니터링 하기
   - 내부자 위협에 따른 전세계 평균 비용은 약 141억원($11.45M)에 달함

본 글은 아래의 블로그 내용을 기반으로 작성하였습니다.  

 - 원문: Five Common Data Security Pitfalls: Do You Know How to Avoid Them?

※ IBM Security: Guardium은 개인정보에 대한 암호화, 접근권한 감사, 접근기록 감사, 접근통제 및 DB 취약성 평가 등을 통해 법적 규제를 충족하고 고객 및 개인정보를 보호하는 데이터 보안 솔루션입니다.

자료다운 받기: 개인정보 암호화(Guardium Data Encryption), 접근기록 모니터링(Guardium Data Protection)