Cappuccino sapiens

모바일 기기는 기존 PC에서 수행하던 인터넷 쇼핑, SNS, 은행업무 등 거의 모든 기능을 대체하고 있으며, 일부는 비즈니스 도구, 인사 및 업무관리 시스템 등 회사업무용으로 사용하기도 합니다. 기업은 업무의 생산성과 효율성을 고려하여, 직원들의 모바일 디바이스 사용을 확대해 나가고 있으며, 이와 더불어 보안에 대한 우려도 증가하고 있습니다.

 보안전문가들은 최근 2FA (Factor Authentication) 우회공격에 대해 우려하고 있습니다. 2FA는 기본적인 ID/Password 인증과 사용자의 폰으로 전달된 인증정보를 통해 재인증을 하는 방식을 말합니다. 2FA인증우회 공격은 안드로이드 폰에 심어진 악성코드를 통해 SMS로 전달되는 인증정보 또는 OTP 정보를 탈취하는 방식과 피싱사이트를 통해 사용자의 계정을 리셋하여 사용자의 SMS 인증정보를 가로채는 방식을 사용하고 있습니다.

카스퍼스키의 ”Top7 Mobile Security Threats in 2020“에 따르면, 모바일 디바이스에 대한 보안위협은 지속적으로 증하고 있으며, 다음과 같이 상위 7개 모바일 디바이스 보안위협을 정리하였습니다.

- 데이터 유출

- 안전하지 않은 Wi-Fi

- 네트워크 스푸핑

- 피싱 및 소셜 엔지니어링 공격

- 스파이웨어

- 약한 패스워드, 부적절한 다중인증 또는 부재 등 민약한 사이버 위생

- 부적절한 세션 핸들링, 패치 미흡 시스템, 암호 통제 미흡 등 빈약한 기술수준

모바일 보안을 위해 무조건 막고 통제하는 것은 바람직하지 않은 방향일 것입니다. 분명 IT기술을 도입함으로써 얻게 되는 생산성, 효율성, 편리성 등의 혜택이 있고, 이러한 장점들을 잘 살리면서 적정한 보안대책을 선택하고 적용할 필요가 있습니다.

- 응용 프로그램의 화이트리스트 기반 또는 블랙리스트 기반 통제

- 개인 모바일 기기의 사용 허가 또는 업무와 개인용 디바이스에 대한 분리

- 승인된 네트워크 사용 및 보안에 취약한 개방 네트워크(공공장소 또는 자택)의 사용 제한

- MDM, VPN등을 통한 모바일 디바이스 보호 및 응용프로그램 모니터링

COVID-19으로 인한 팬데믹 이후, 좀도둑과 사이버 세상에서의 해킹 건수가 증가하고 있는 것이 표면적으로 느껴지고 있습니다. 주말을 포함해 오늘 유독 많은 기사들이 해킹에 관한 기사들을 다루고 있습니다. 특히, 눈에 띄는 단어는 ”랜섬웨어 공격“ 입니다.

최근 랜섬웨어 공격은 보안이 상대적으로 취약한 병원, 행정시스템, 제조시설 등을 주요 타깃으로 하고 있으며, 단순히 데이터를 암호화하는 것 외에 데이터를 유출하여 기업을 협박하는 방식으로 진화하였습니다. 또한, 공격으로 부터 금전적인 이득을 취하려는 목적도 있으나, 군사시설 또는 주요 정보통신 기반시설의 산업기밀을 훔치는 첩보활동과도 연관되어 국가간 마찰을 빚기도 합니다.

랜섬웨어 공격은 당하고 난 이후에 어쩔 수 없었다는 허탈함 마저 들게 하곤 합니다. 랜섬웨어 공격에 대한 예방으로서 데이터 암호화, 백업, 화이트리스트 기반의 접근통제 방법들은 이미 많은 기업에서 고민하고 있을 것입니다. 또한, 사이버레질리언스를 통해, 사고 이후에 어떻게 빨리 회복하고 피해를 최소화 할 것인지에 대해서도 준비하는 기업들도 있습니다.

최근의 랜섬웨어 공격 패턴들을 보면, 해커들이 주요하게 노리는 공격 포인트는 다음과 같습니다.

1. 피싱공격

사용자의 이메일 또는 SNS 계정을 통해, 데이터 암호화를 위한 악성코드를 다운받도록 유도하는 방식으로 가장 흔히 사용되는 방식입니다. MS Word에 악성코드를 심어 전파하기도 합니다.  

2. 원격 데스크탑 프로토콜 공격

원격근무로 인해 RDP (Remote Desktop Protocol)의 사용이 증가하고, 이를 악용한 랜섬웨어 공격이 헬스케어 분야에서 증가한 것으로 나타났습니다. 해커는 훔친 인증정보나 다크웹을 통해 인증정보를 구매하기도 하며, Brute force 방식으로 공격을 시도하고 있습니다.

3. VPN 취약점 공격

 VPN 또한 팬데믹 이후 원격근무로 인해 사용이 증가하였습니다. 해커는 알려진 취약점을 사용하여 패치되지 않은 VPN을 공격합니다. 지난달 일본에서는 히타치카세이 등 38개 기업의 VPN이 뚫렸습니다.

※ 참고: 3 Key Entry Points for Leading Ransomware Hacking Groups

최근 SOC가 고민하고 있는 현안

- 보안 사고유형 별 표준화된 대응 프로세스 부재
- 업무에 대한 성과관리 어려움
- 사고 대응 업무에 대한 데이터 공유 어려움
- 보안 사고 대응 시 외부 및 내부 협업 프로세스 부재
- 보안 인력 확보의 어려움과 인력 부재 시 업무 처리에 대한 이슈 발생(지연 또는 단절)

- 복잡한 컴플라이언스 대응의 어려움

조직의 57%가 사이버 공격을 확인하고 대응하기까지 걸리는 시간이 증가하고 있으며, 60%가 넘는 조직이 보안 사고의 피해와 심각성이 점점 더 커지고 있다고 우려 - ‘2019년 기업 사이버공격 대응 실태’ 보고서 -

SOAR란

다양한 보안위협에 대한 대응 프로세스를 자동화해 낮은 수준의 보안 이벤트는 사람의 도움없이 처리하고, 보안 사고 발생시 표준화된 업무 프로세스에 따라 직원이 쉽게 대응할 수 있게 도와주는 협업 솔루션으로,

보안 오케스트 레이션 및 자동화(Security Orchestration and Automation, SOA), 보안사고 대응 플랫폼(Security Incident Response Platform, SIRP), 위협 인텔리 전스 플랫폼(Threat Intelligence Platform, TIP)의 세 가지 보안대응 영역 제공

IBM, 리질리언트 SOAR 플랫폼(Resilient SOAR Platform)

현재 SOAR 분야에서 30개국 300곳 이상의 고객을 보유하고 있는 IBM Resilient는 OODA(Observe, Orient, Decide, and Act) 루프 방법론을 기반으로, 100가지가 넘는 보안 툴과 통합할 수 있어 기존 보안 환경과 사고대응 프로세스를 연결하는 중앙 허브를 형성하며, 이를 통해 침해사고대응 프로세스를 좀 더 빠르고 정확하게 처리할 수 있는 환경제공

SOAR를 도입하기 전 확인할 주요 사항

- 사람, 기술 그리고 프로세스를 통합해 다양한 사고 유형에 대한 유연한 대응이 가능한가

- 자동화를 통해 좀 더 신속하고 효과적인 사고 대응을 지원하는가

- 사고 대응 플랫폼의 효과를 추적하고 측정할 수 있는 시스템을 제공하는가

- 침해사고 법무팀, HR, 마케팅 또는 임원진 등과 업무공유 시스템이 있는가

- 팀에서 사람의 개입이 필요한 업무와 자동화를 결합한 사고 대응 워크플로우를 구축할 수 있는가

- 상황에 맞는 관련 위협 인텔리전스를 활용하는가
- 플랫폼에 개인정보보호 규정 및 데이터 침해 통보 워크플로우가 포함되어 있는가

※ 원문: "보안, 사고 대응에 초점을 맞춘다" SOAR의 효과와 도입 선택 기준

최근 사이버보안 회사인 Malwarebytes에 따르면, Malsmoke라는 해킹그룹이 성인사이트를 방문하는 성인들을 대상으로 악성코드 감염 공격을 시도하고 있는 것으로 전해졌습니다. 이 해킹그룹은 유명한 성인 사이트에 광고를 올리고, 방문자들이 클릭하는 순간 악성코드가 다운로드되도록 설계하였습니다. 특히, Adobe Flash Player (AFP) 또는 Internet Explorer (IE)의 취약점을 악용했습니다.

마이크로소트프사는 에지와 IE 11에서의 AFP를 2020년 이후 더이상 지원하지 않으며, IE 11도 2021년 8월 17일까지만 서비스를 지원한다고 선언한바 있습니다. AFP 역시 지난 6월 이후 더 이상의 보안업데이트를 진행하고 있지 않는 상황입니다.

사용자들이 취약한 AFP나 IE를 사용하는 한 이들의 취약점을 악용한 공격은 앞으로도 발생할 가능성이 높습니다. 따라서, 단말에서 사용하고 있는 응용프로그램의 최신 보안업데이트를 진행하고, 더이상 보안업데이트가 지원되지 않는 응용프로그램에 대한 조사 및 교체 등의 보안대책이 요구됩니다.  

※ 참조: Hacker group Malsmoke exploit Adobe, IE browser to target porn surfers

지난 수요일 사이버보안 전문기관은 팔로알토 네트웍스(이하, 팔로알토)의 PAN-OS에서 내부 네트워크로 부터 데이터를 유출할 수 있는 4가지 취약점을 발견했다고 밝혔습니다. PAN-OS는 팔로알토의 차세대 방화벽에 특화된 전용 핵심 소프트웨어로, 현재까지 9.x 버전이 출시되었습니다.

가장 심각한 취약점은 악의적인 사용자가 소프트웨어의 관리인터페이스를 통해 악성코드를 삽입하고, 최대권한(maximum privilege)을 획득 하는 것이며, 또 다른 버그는 관리자가 악의적인 링크를 클릭하게 하여 소프트웨어를 장악할 수 있다고 합니다.

KISA 보안공지에 따르면, 팔로알토의 PAN-OS 취약점은 이번 뿐만이 아니라, 지난해와 올해에도 공개된 바가 있습니다.

- 2020.6월, SAML 서명에 대한 검증이 미흡하여 보호된 자원에 접근할 수 있는 인증우회 취약점(CVE-2020-2021)

- 2019.7월, 파라미터에 대한 검증이 미흡하여 발생하는 원격코드 실행 취약점(CVE-2019-1579)

전세계 수천개의 기업에서 팔로알토의 방화벽을 도입하여 사용중에 있으며, 이러한 취약점은 자칫 국가간의 스파이 전쟁(espionage)이나 해킹으로 촉발 될 수도 있습니다.

보안제품의 보안성을 평가하고 인증하는 국제공통평가기준(CC, Common Criteria)이 있으나, 이러한 평가·인증제도가 모든 환경에서 보안을 보장해 주지는 않습니다. CC 인증 당시 밝혀지지 않은 잠재적인 취약점이 새로운 기술과 환경에 따라 새롭게 나타날 수 있습니다.

보안제품은 사용하는 용도와 주체에 따라, 어떠한 해킹툴 보다도 더 위험한 도구가 될 수 있습니다. 따라서, 기업의 보안팀은 보안제품 제조사, 협업 조직인 CERT 등과의 긴밀한 협업을 통해 최신의 보안이슈에 유기적으로 대응할 필요가 있습니다.    

※ 참조: PAN-OS vulnerabilities add to a torrid year for enterprise software bugs

영국의 도메인네임 등록기관인 Nominet 보고서 ‘Life Inside the Perimeter: Understanding the Modern CISO’에서, 절반이 넘는 52%의 CISO는 동료 임원들이 매출과 브랜드의 가치를 보호하는 역할로서 보안팀의 존재가치를 인정한다고 응답했습니다.

보안전문가들은 이 외에 기업에서의 CISO의 다양한 역할과 중요성에 대해 이야기 하고 있으며, 대표적으로 다음과 같은 10가지 사례에 대해 이야기 하고 있습니다.  

1) Bring better order to organizational data (조직 데이터 흐름 개선)

2) Identify policy and procedural lapses (정책 및 절차상의 오류 식별)

3) Spot superfluous spending (불필요한 지출 탐지)

4) Lend skills to Iintellectual Property protection (지적재산 보호)

5) Make security a selling point (기업가치 제고의 기회)

6) Build bridges (가교 구축)

7) Help out partners (파트너 지원)

8) Find, promote opportunities for standardization (표준화 기회 발굴 및 촉진)

9) Shape strategic plans (전략계획 수립)

10) Streamline regulatory controls (통제의 간소화)

국내의 CISO의 위치와 역할을 보면, 글로벌 보안전문가들의 시각은 확실히 국내보다는 앞서 있다는 느낌이 듭니다. CISO의 역할을 단순히 자산을 지키고 컴플라이언스를 준수하도록 관리·감독하는 역할로 국한할 것이 아니라, 기업의 가치와 매출향상을 위한 공동의 임원으로 인식을 전환할 필요가 있습니다.

※ 참조: 10 value-adds that CISOs can deliver

          따져보면 비즈니스 능력자!··· CISO가 창출할 수 있는 10가지 추가 가치

최근 공격동향을 보면, 해커들은 많은 자원(시간, 비용, 노력)을 필요로 하는 제로데이 공격 대신 쉽고 빠른 그리고 저렴한 방식을 이용하는 것으로 알려졌습니다. 즉, 기존에 해킹된 크리덴셜을 구매하거나, 이메일 또는 SNS 등을 통한 피싱 공격을 통해 인증정보 탈취 및 악성코드 감염을 유발합니다. 또는, 기업의 기존 보안취약점 패치 미흡한 부분을 찾아 공격하기도 합니다.

보안업체인 ImmuniWeb 조사에 따르면, 전세계 398개 보안업체가 노출한 데이터 631,000건 중 개인정보가 포함된 데이터는 50%를 차지했으며, 인증정보를 포함한 데이터는 30%, 그리고 백업과 관련된 데이터는 15%로 나타났습니다.

노출된 데이터 중 29%는 약한 패스워드(8자리 미만, 조합규칙 미사용)를 사용하고 있었으며, 41%는 다른 침해 시스템에서 사용된 암호를 재사용 였습니다. 또한, 5,100개의 인증정보는 성인 콘텐츠 사이트 등록시 업무용 이메일을 사용한 것으로 나타났습니다.

많은 비용을 들여 첨단기술을 적용한 보안장비를 도입하고 화려한 보안기능과 서비스를 통해 보안을 하는 것은 오히려 쉬울 수 있습니다. 가장 기본적인 정보보호 준수사항을 지킬 때 더욱 시너지를 발휘할 수 있습니다.

※ 참조: Cybersecurity Companies Expose Sensitive Data Online

COVID-19으로 인한 팬데믹은 우리의 일상을 변화시키고, 이는 사이버 공격 또한 촉진시켰습니다. 특히, 부동산, 은행, 기업 디지털 데이터 등 돈이 될 만한 곳을 타겟으로 하는 랜섬웨어 공격은 급속하게 증가하고 있습니다.

최근 연구조사에 따르면, 미국내 랜섬웨어 공격은 전년 상반기 대비 109%나 증가했으며,  1분기 통계만 비교했을 때 대규모 데이터 침해사고는 273%나 증가한 것으로 나타났습니다. IBM의 ‘2020 Cost of a Data Breach report’에 따르면, 랜섬웨어는 다른 사이버공격보다 증가 폭과 피해금액이 크며, 랜섬웨어 공격당 평균 피해 금액은 4.44백만달러를 지불한 것으로 나타났습니다.

랜섬웨어 공격은 이메일, SNS 등을 이용한 피싱이나 악성코드에 감염된 사이트 방문시에 시스템 감염으로 인해 이루어 지는 만큼, 외부 채널에 대한 안전성을 재확인 할 필요가 있습니다. 랜섬웨어 공격에 대비하기 위해 기본적으로 제로 트러스트 (Zero Trust)와 데이터 암호화개념을 도입할 필요가 있습니다.

제로 트러스트는 기본적으로 그 어떠한 접근에 대해서도 신뢰하지 않는 다는 개념에서 출발하며, 데이터에 접속을 원하는 어떤 것이든 적절한 인증절차를 통해 신원을 확인하는 것을 말합니다. 시스템의 복잡성 증가, (멀티)클라우드 사용 증가, 재택근무 환경 등으로 인해 운영환경과 접근하려는 개체가 불명확해지는 상황에서 랜섬웨어와 같은 보안위협을 줄일 수 있는 가장 합리적인 방안으로 대두되고 있습니다. 

암호화(Encryption)는 정보보호의 핵심요소 기술로, 이메일, 메시지, 영상, 음성 등 거의 모든 데이터를 보호하기 위한 용도로 사용하고 있습니다. 데이터는 DB, 클라우드, 기기 등 다양한 매체에 산재되어 있으며, 일반 데이터와 중요하고 민감한 데이터가 섞여있어, 관리 부주의 및 데이터 침해로 인한 유출 사고의 발생빈도가 높습니다. 랜섬웨어 공격자가 데이터를 유출하여 협박하더라도, 기업의 중요 데이터와 민감한 고객정보 등이 암호화되어 있다면 안심하셔도 됩니다.

추가적으로 데이터 백업을 통해 랜섬웨어 공격으로 인한 손실된 데이터를 빠르게 복구할 수 있습니다. 다만, 최근 랜섬웨어 공격은 백업된 데이터 까지 찾아 암호화시키는 사례가 발생하고 있어, 데이터 백업시스템과의 온·오프라인 접근통제 방안 등 추가 대책도 고려할 필요가 있습니다.

※ 관련기사: Ransomware Attacks: How to Protect your Data With Encryption