Cappuccino sapiens

최근 MBN김주하 앵커의 모습에 스크립트를 읽어 내려가는 음성을 덧씌운 가상의 캐스터, 일명 김주하 AI 앵커를 보고 놀람을 금하지 않을 수 없었습니다. Deep fake 기술로 저명인사를 가장한 fake news를 생산하기도 하지만, 이제는 AI를 통해 누군가를 대체할 수 있는 세상이 되어가고 있습니다.

올해 RSAC 컨퍼런스에서 머신러닝을 겨냥한 3가지 공격으로 회피공격 (evasion attack), 모델 탈취공격 (model stealing attack), 중독공격 (poisoning attack)에 대해 논의 한바 있습니다. 

머신러닝 및 AI기술이 보안에도 서서히 적용되는 시점에서, 앞서 언급한 3가지 공격이 보안에 적용될 머신러닝 및 AI에 어떤 영향을 줄 수 있을지 여겨 볼 필요가 있습니다.

- 회피공격은 머신러닝 분석능력 자체를 회피할 수 있도록 패턴을 착각하게 만들 수 있습니다.

- 모델 탈취공격은 머신러닝 및 AI의 분석 및 대응기법을 탈취하여, 보안AI를 연구하고 역공격을 감행할 수 있습니다.

- 중독공격은 머신러닝 및 AI가 학습하는 과정에서 잘 못된 정보를 입력하여 보안분석 및 대응의 오작동을 유발할 수 있습니다.

AI 도입을 통해 보안인력의 노동강도를 줄일 수는 있겠으나, 이를 운영할 수 있는 고급인력에 대한 준비와 보강도 필요할 것입니다.

Customer (또는Consumer) Identity and Access Management (CIAM)는 고객의 신원확인과 접속관리를 위한 시스템입니다. 언택트, 제로트러스트의 중요성이 커짐에 따라, CIAM에 대한 중요성이 커지고 있습니다.

CIAM은 큰 범위에서 IAM에 속하지만, 현재의 IAM이 기업의 임직원 및 협력사 등 내부직원을 위한 신분확인 및 접근통제에 국한하고 있어 고객을 위한 IAM(CIAM)을 구분할 필요가 있습니다

강력한 CIAM은 고객 등록, 셀프 계정관리, 동의 및 선호도 관리, SSO, MFA, 접근관리, 디렉토리 서비스, 데이터 접근 거버넌스 등의 기능을 제공하며, 고객이 접속하게 되는 디지털 환경(웹, 모바일, IoT 등)에 상관없이 안전하고 끊임없는 서비스를 제공해야 합니다. 또한, CIAM은 on-premise, private cloud, IDaaS 플렛폼 등 어느 환경에서나 동작이 가능해야 하며, 우수하고 강력한 보안환경을 제공해야 합니다.

The Forrester Wave는 2020년도 4분기 CIAM을 선정하였으며, IBM의 IAM 솔루션인 Security Verify Access를 포함해 두개의 제품을 Leader 그룹으로 선정했습니다. Forrester는 IBM의 IAM을 아래와 같이 평가하고 있습니다.

 - 폭넓은 인증 프로토콜 제공

 - FIDO2 및 바이오 인증 지원

 - IBM의 보안생태계는 물론 타사의 IAM 및 FDM 솔루션과 통합

 - 리포트 및 대시보드 기능 제공

IAM은 기업의 접근통제 정책과 잘 어우러지고, 기존 보안제품과의 수월한 통합을 제공하며, 제로트러스트를 구현하기 위한 새로운 기술을 장착하고 있어야 합니다. 또한, 하나의 장비를 통해 내부 직원 뿐만 아니라, 고객들의 신분확인 및 접근통제를 동시에 제공할 수 있어야 하며, 수만명이 넘는 관리대상을 원활하고 신속하게 처리할 수 있어야 합니다.

※ Forrester의 Wave는 소비자들에게 솔루션 트렌드와 도입시 선택기준을 위한 정보를 분기별로 제공하여 사용자들에게 보다 빠른 환경변화에 따른 선택 정보를 제공합니다.

※ 참조: IBM Named a CIAM Leader in the Forrester Wave Report

National Cybersecurity Awareness Month (NCSAM)은 미국 DHS (Department of Homeland Security)와  National Cyber Security Alliance (NCS)가 2003년 10월부터 매년 국가의 사이버보안 인식제고를 위해 진행해 오고 있으며, 올해로 17회째를 맞고 있습니다.

올해 NCSAM의 주제는 “Do Your Part. #BeCyberSmart.”로 각자 주어진 역할과 영역에서 사이버보안을 위해 최선을 다해 달라는 의미를 담고 있습니다. 10월 한달 간은 매주 사이버보안과 관련된 다양한 주재로 캠페인을 진행하고 있으며, 주요 내용은 아래와 같습니다.

- October 5 (Week 1): If You Connect It, Protect It

- October 12 (Week 2): Securing Devices at Home and Work

- October 19 (Week 3): Securing Internet-Connected Devices in Healthcare

- October 26 (Week 4): The Future of Connected Devices

 ※ 참조: NATIONAL CYBERSECURITY AWARENESS MONTH (NCSAM)

IT 및 보안전문가인 Mark Stone은 최근 IBM SecurityIntelligence 블로그 “Cybersecurity Awareness: 6 Myths And How To Combat Them”이라는 글을 통해 기업이 사이버보안 인식제고에 있어 잘 못 이해할 수 있는 6가지 사례에 대해 이야기 하고 있습니다.

1. IT 기술로 사이버보안 인식제고 영역을 대체할 수 있다.

2. 보안업데이트는 충분히 통제되고 있다.

3. 현재 사이버보안 인식제고는 충분하다.

4. 사이버보안 위협원(해커)은 막을 수 없다.

5. 컴플라이언스를 준수하면 사이버보안 인식제고는 걱정하지 않아도 된다.

최근 테슬라는 랜섬웨어 공격을 성공적으로 방어하여, 주변의 랜섬웨어 공격으로 인한 금전적인 피해를 입은 기업의 사례와 대조를 보이고 있습니다. 테슬라 정보보안 관리자인 크리스틴 레슬리는 직원의 보고에서 부터 시작되었으며, 이는 직원들을 대상으로 실시한 보안교육과 인식제고의 노력으로 인한 것이라고 설명하였습니다.

사이버보안 인식제고는 가장 기본이 되면서, 가장 효과적인 사이버 방어체계 요소라고 할 수 있습니다.

IBM Security의 년간 보고서 “Cost of a Data Breach Report”에 따르면, 최근 6년간의 데이터 침해사고로 인한 지출 비용은 약 10% 증가한 것으로 나타났습니다. 반면, 최근 524건의 데이터 침해사고를 분석한 결과, 2020년의 데이터 침해사고 지출 비용은 지난해 보다 약간 적은 것으로 나타났습니다. 기업들의 데이터 침해사고 지출 비용을 절감할 수 있는 방안에 대해 알아 보도록 하겠습니다.

침해사고 대응 자동화 및 역량강화

SIEM, AI, 머신러닝, SOAR 등을 도입하여 기존의 침해사고 대응인력들이 할 수 있는 업무를 자동화하고, 대응팀 직원에 대한 교육·훈련을 통한 역량강화로 침해사고 비용을 절감할 수 있습니다.

- 침해사고 대응 자동화를 구축한 조직($2.45M)은 그렇지 않은 조직($6.03M) 대비 $3.58M 적게 지출

- 침해사고 대응팀의 역량을 강화한 조직($3.29M)은 그렇지 않은 조직($5.29M) 대비 $2M 절약

침해사고 대응기간 단축

데이터 침해사고 비용에 영향을 미치는 요소는 직접적인 피해금액 뿐만 아니라, 침해사고 분석 및 대응을 위한 기간, 고객 이탈, 컴플라이언스 위반관련 배상 및 벌금 등 간접적인 비용도 포함하고 있습니다. 따라서, 침해사고 이후에 빠른 대응과 서비스 복구 능력이 비용에 중대한 영향을 주게 됩니다.

2020년 침해사고 생명주기는 200일이 조금 미치지 못했으며, 이때 평균 비용은 $3.21M 이었습니다. 침해사고 생명주기가 200일을 넘게 되면 비용은 $4.33M로 약 30% 증가하는 것으로 나타났습니다.

클라우드 이전 및 전문지식 배양

클라우드 구성오류는 빈번한 데이터 침해의 원인이 되며, 이와 관련한 공격이 19%를 차지하고 있습니다. 또한, 많은 기업들이 클라우드로 이전하는 동안 데이터 침해사고를 경험하고 있으며, 평균 침해사고 비용보다 $0.27M 많은 $4.13M를 지출 하는 것으로 나타났습니다.

클라우드 이전은 서비스의 운영 효율성 뿐만 아니라 보안성을 강화할 수 있는 방안이 됩니다. 클라우드를 통해 가시성을 강화하고 보안시스템의 복잡성을 낮춤으로써, 침해사고에 대한 생명주기를 줄일 수 있습니다. 클라우드 이전에 대한 준비가 충분하지 않은 기업의 경우, 전문 MSS (Managed Security Service)를 통해 도움을 받을 수도 있습니다.

※ 관련기사: 3 Biggest Factors in Data Breach Costs and How To Reduce Them

팬데믹으로 달라진 일상은 재택이나 원격근무 형태의 업무환경은 물론 사람간의 접촉을 최소화하는 형태로 변하고 있습니다. 온라인 장보기, 음식 주문배달 등의 서비스가 급속도로 증가하고 있으며, 금전과 관련된 공과금 납품, 입·출금 등의 은행업무 또한 기업들의 디지털 전환으로 인해 빠르게 바뀌어 가고 있습니다.

최근 미국에서는 이러한 금전적인 거래를 사용하는 사람들을 공격하는 Scam사건이 발생했습니다.

스캐머는 은행앱 사용자에게 이메일을 통해, 계좌의 돈이 이체될 예정이라는 가짜 이메일을 보내 관심을 유발했으며, 사용자는 이메일에 있는 연락처로 (가짜)은행직원과 통화하여 (악성)앱을 추가로 설치한 후, 자신의 계좌에서 돈이 빠져나간 사실을 뒤늦게 알게 되었습니다.

이러한 방식으로 Cincinnati라는 여성은 $1,600를 도난 당했으며, 지난 여름에는 Mark Fisher라는 남성이 $3,400를 이와 유사한 방식으로 도난 당했습니다.

기업의 보안이 강화되면서, 사이버공격은 직접적으로 기업환경을 공격하기 보다, 재택근무환경이나 직원 그리고, 언택환경에 익숙하지않은 사용자들을 타깃으로 삼고 있습니다.

따라서, 기업은 서비스 또는 업무 시스템의 보안수준 강화 뿐만 아니라, 직원들과 서비스 사용자들을 위한 보안인식 제고 캠페인이나 프로그램을 강화할 필요가 있습니다.

 ※ 참고: Cash App scam strikes again; woman loses $1,600

랜섬웨어 공격에 사용되는 멀웨어는 기업의 보안을 우회하기 위해 기술적으로 더욱 정교해 지고 발달하고 있으며, 이러한 잘 만들어진 멀웨어는 해커들의 기업에 대한 보안분석과 멀웨어 개발에 필요한 수고를 덜어 주고 있습니다.

MaaS는 새로운 보안기술을 우회하고 보다 강력한 암호화를 사용하는 등 공격을 위한 전문기술을 모두 위탁하는 서비스 형태를 말합니다. 따라서, 전문성이 없어서도 쉽게 공격 타깃에 따른 멀웨어 서비스를 선택적으로 이용할 수 있습니다. MaaS는 악성코드를 주문제작은 물론 제로데이 취약점, 난독화 서비스, 익스플로잇 킷, 스팸 네트워크까지 선택적으로 구매하여 사용할 수 있습니다.

모바일 보안위협 전문기업인 ThreatFabric은 최근 226개의 안드로이드 앱에서 사용자의 인증정보를 훔치는 Alien이라는 새로운 멀웨어가 등장했다고 전했습니다. 랜섬웨어 공격을 위한 첫번째 단계는 사용자의 인증정보인 크리덴셜을 수집하고, 이들 중 공격이 가능한 유효한 계정을 검증하게 됩니다. Alien 멀웨어는 패스워드, 연락처, SMS 메시지 등 사용자와 휴대폰 정보유출은 물론, 화면잠금 기능, 원격제어 등의 기능까지 제공하는 것으로 알려졌습니다.

멀웨어 서비스의 사용이 용이해지고, 강력한 멀웨어의 등장은 보안팀을 더욱 긴장하게 만듭니다.

 ※ 참고: New 'Alien' malware can steal passwords from 226 Android apps

최근 미국의 IT회사인 ActionPoint의 조사에 따르면, 신용조합 CEO와 관리자 100명 이상을 대상으로 조사한 결과, 80%가 보안과 컴플라이언스를 신용조합이 당면하고 있는 주요 과제라고 응답했습니다. 또한, 40%는 사이버공격에 취약하며, 적절한 대응을 할 수 있을지 의구심이 든다고 답변했습니다. 이러한 이유는 올해들어 피싱공격과 해킹위협이 600%증가하는 등 급속도로 증가하고 있는 사이버공격과도 관련이 있습니다.

기업의 임원진이 조직의 보안수준을 신뢰하지 못하거나 보안에 대한 ROI를 불신하는 이유는, 이들이 보안에 대한 관심을 가지고 있지 않거나, CISO 또는 보안팀과의 충분한 소통이 없기 때문입니다. 보안조직은 모든 보안활동에 대한 투명성과 가시성을 통해 분명하게 조직의 ROI와 현재의 보안상태에 대해 임원진에 어필할 필요가 있습니다.

 ※ 참고: 40% of credit unions feel vulnerable to cyberattacks

 ※ 참고: "보안, 사고 대응에 초점을 맞춘다" SOAR의 효과와 도입 선택 기준

※ IBM, 리질리언트 SOAR 플랫폼(Resilient SOAR Platform)

현재 SOAR 분야에서 30개국 300곳 이상의 고객을 보유하고 있는 IBM Resilient는 OODA(Observe, Orient, Decide, and Act) 루프 방법론을 기반으로, 100가지가 넘는 보안 툴과 통합할 수 있어 기존 보안 환경과 사고대응 프로세스를 연결하는 중앙 허브를 형성하며, 이를 통해 침해사고대응 프로세스를 좀 더 빠르고 정확하게 처리할 수 있는 환경을 제공합니다.

지난 17일 금융감독원은 ‘전자금융감독규정시행세칙’ 을 개정하고 금융사의 상시 재택근무를 다음달 부터 허용하고, 그 동안 장애가 되었던 망분리 제도를 개선하겠다고 밝혔습니다. 이에 따라, 전산센터와 같은 핵심업무를 제외한 콜센터 업무를 포함한 임직원들은 상시 원격접속이 가능하게 되었습니다.

많은 기업들이 재택근무 형태로 전환을 함에 따라, 보안에 대한 우려도 상당히 커지고 있습니다. 팬데믹 이후 사이버 공격은 증가했으며, 특히 상대적으로 취약한 재택환경의 보안 헛점(운영환경, 단말, 인식 등)을 악용해 기업으로 침투를 시도도 증가하고 있습니다.

지난 21일, 트랜드마이크로는 Windscribe VPN installers를 통해 백도어가 배포되고 있다고 보고했습니다. Windscribe VPN은 저렴하게 사용할 수 있는 VPN으로 온라인 또는 앱마켓을 통해 자유롭게 다운로드하여 사용할 수 있습니다. 전문가들은 Windscribe VPN을 다운받을시 공식 사이트나 앱마켓을 통하지 않을 경우 위험하다고 경고하고 있습니다.  광고나 동영상 등을 통해 링크된 웹 등의 기타 경로를 통해 프로그램을 다운받을 경우, 백도어와 같은 악성코드가 포함된 가짜 프로그램을 다운받을 수 있습니다.

최대 보루였던 금융권 마저도 재택·원격 근무를 받아들이면서, 우리의 일상은 물리적 건물이 상징하는 회사라는 개념에서 탈피하여, 일하는 장소와 상관없이 소통하는 회사의 개념으로 전환하고 있는 듯 합니다. 이와 더불어, 기존의 보안의 틀 역시, 특정 장소에 국한하는 물리적인 영역에서 논리적인 영역으로 확대되어, 이에 대한 보안대책이 필요한 상황입니다.