Cappuccino sapiens

IT기술의 의존도가 커짐에 따라, 인터넷에 연결되는 디바이스(IoT)는 지속적으로 증가하여, 2025년에는 약 559억개의 디바이스가 인터넷에 연결 될 것으로 예측하고 있습니다. 특히, 에너지, 의료, 제어시설 등의 산업제어시스템(ICS)에서 급진적으로 증가할 것으로 내다보고 있습니다. 이와 더불어 IoT에 대한 사이버 범죄도 증가하고 있습니다. 2020년도 IBM X-Force 위협 인텔리전스 지표에 따르면, 2018년 대비 ICS에 대한 공격이 2000%나 증가한 것으로 나타났습니다

IBM  X-Force Red팀은 지난해 IoT 취약점 연구를 통해 원격에서 특정 통신모듈에 접속하여 시스템을 공격할 수 있는 취약점을 발견하였습니다. 이 취약점을 이용할 경우, 패스워드와 같은 인증정보, 암호키, 인증서가 포함된 자바코드를 저장하고 실행할 수 있으며, 모듈의 탈취된 정보를 이용해 디바이스를 장악하거나 3G를 활성화하여 네트워크에 연결된 모든 디바이스와 네트워크를 통제할 수 있다고 밝혔습니다.

이와 같은 모듈은 자율주행, 의료, 에너지, 통신산업 등 전반에 걸쳐 사용되고 있으며, 실제로 이러한 취약점을 통해 공격이 진행된다면, 막대한 피해가 예상됩니다.

  - 의료 기기: 모니터링 장치의 판독 값을 조작하여 생체신호를 은폐하거나 패닉 오류를 만들 수 있습니다. 인슐린 펌프와 같은 입력 값에 따른 진료정보를 제공하는 장치에 대해서는 환자에게 과도한 약물 주입을 하도록 조작 할 수 있습니다.

  - 에너지 및 유틸리티: 스마트 미터기를 조작하여 비정상적인 비용 청구서를 생성할 수 있습니다. 도시 전체의 스마트 미터기가 장악될 경우, 대규모 정전이나 전력망 전체에 위험이 될 수도 있습니다.

 X-Force Red팀은 신규 IoT 보안취약점에 대응하기 위한 몇 가지 대응방안을 아래와 같이 제시하고 있습니다.

  - 최신 버전의 펌웨어 인지를 확인하고, 제조사의 가이드에 따라 최신의 패치를 적용합니다.

  - 저장된 또는 접근하는 데이터의 중요성을 판단하고, 적절한 보안대책이 적용되어 있는지 검토합니다.

  - 로그인 정보와 접근장치에 대한 모니터링을 통해 비정상적인 행위를 분석합니다.

  - 모든 IoT 기기들이 식별되고 관리되고 있는지 확인 합니다.

  - 주기적으로 취약점 분석을 진행하고, 모의해킹을 통해 취약점을 제거합니다.

자세한 내용은 IBM Security Intelligence 블로그 “New Vulnerability Could Put IoT Devices at Risk”을 통해 확인하실 수 있습니다.

스토커웨어(Stalkerware)는 누군가의 단말기에 설치되어 텍스트 메시지, 전화 기록, 웹 서핑 및 검색기록 등 모든 정보를 모니터링하는 앱을 말합니다. 스토커웨어로 인해 개인 또는 기업의 중요 정보가 유출될 위험의 소지가 있습니다.

스파이웨어나 멀웨어와는 다르게, 때론 이 앱은 사용자들의 행동(괴롭힘, 폭력 등)을 의도적으로 모니터링하기 위해 합법적으로 설치되어 운영되기도 합니다. 따라서, 안티 바이러스나, 안티 스파이웨어 제품 조차도 스토커웨어를 탐지하는 것은 쉽지 않습니다.

스토커웨어는 개인의 단말기 또는 회사에서 직원에게 제공된 단말기에서 발견할 수도 있습니다. 이러한 경우, 어떻게 처리해야 할까요? 멀웨어 전문가인 Lysa Myers는 “Don’t Remove Stalkerware Before Reading This Article”에서 스토커웨어를 발견했을 경우, 조심스럽게 접근할 필요가 있다고 이야기 하고 있으며, 다음과 같이 상황에 따라 직원과 소통할 것을 권고하고 있습니다.

1.     직원 개인의 단말인지 또는 회사에서 지불한 단말 인지에 따른 대응행동

회사 지불 단말이라면 보안대책(허가된 앱만 설치 등)이 적절하게 동작했는지 살펴보고, 해당 단말을 차단 한 후, 해당 직원과 감염된 단말에 대한 처리 방안(교체 또는 복구)에 대해 이야기 합니다. 개인 단말인 경우, 해당 직원과 함께 단말기 데이터를 보호하면서 조치할 수 있는 방안에 대해 논의할 필요가 있습니다.

2.     설치 이전에 발견된 것인지 또는 설치 이후에 발견된 것인지에 따른 대응행동

스토커웨어가 설치되기 전에 발견이 되었다면 즉시 해당 파일을 격리시키고, 만일을 대비해 파일과 탐지로그를 보관합니다. 스토커웨어가 설치 이후에 발견되었다면, 해당 직원에게 불안감을 주어 스스로 삭제하게 하는 일이 있어서는 안됩니다. 더 이상의 피해가 확산되지 않도록 해당 직원과 긴밀하게 협조하여 조치할 필요가 있습니다.

자세한 내용은 IBM Security Intelligence 블로그 “Don’t Remove Stalkerware Before Reading This Article”을 통해 확인하실 수 있습니다.

자동차, 기계, 옷 등 일정기간 그 쓰임새의 목적과 유효기간이 지나면 언젠가는 교체가 필요합니다. IT시스템 역시 예외는 아닙니다. 레거시 시스템이란 오래된 컴퓨터 시스템 또는 응용프로그램이나 아직도 현장에서 사용하고 있는 시스템을 말합니다.

레거시 시스템을 계속 사용하는 이유는 예산 부족, 중요한 레거시 응용프로그램에 대한 유지 필요성, 임직원의 새로운 시스템 사용 거부감 등 입니다. 이러한 레거시 시스템은 인해 조직의 전반적인 보안수준을 낮출 수 있습니다.

레거시 시스템은 잠재적인 보안취약점의 패치에 대한 문제를 가지고 있으며, MFA(Multi-Factor Authentication)이나 SSO(Single-Sign On) 등과 같은 새로운 보안기능과 호환되지 않을 수 있습니다. 보안이 상대적으로 약한 곳을 찾고, 끊임없이 공격을 시도하는 공격자에게는 좋은 먹잇감일 것입니다.

레거시 시스템을 교체하는 것은 시스템 전원을 뺏다가 꼽는 것처럼 쉬운 일이 아닙니다. 하지만, 기업이 새로운 서비스를 도입하고 그와 걸맞는 보안수준을 유지하고자 한다며, 반드시 고려해야할 부분입니다. 레거시 시스템을 교체하기 위해서는 종합적인 계획을 수립하고 철저한 준비과정이 필요합니다. 다음은 레거시 시스템 교체시에 고려해야 할 7가지 사항 입니다.

1.     레거시 시스템 교체 필요성 및 시점에 대한 인지

2.     데이터 마이그레이션 계획수립

3.     모든 데이터에 대한 백업 준비

4.     레거시 시스템을 위한 보안시스템 중단계획

5.     순차적, 단계적 이전을 통한 거부감 및 반발 최소화

6.     Roll Back필요시 방법과 대책

7.     종료 및 폐기되는 레거시 시스템에 대한 보안

7가지 사항에 대한 자세한 내용은 IBM Security Intelligence 블로그의 “Legacy Systems: Seven Things to Know When Sunsetting”에서 알아보실 수 있습니다.

Shellshock은 2014년 9월에 공개된 제로데이 취약점(CVE-2014-6271)으로, 당시 같은 해에 등장한 OpenSSL의 Heartbleed 취약점과 마찬가지로 업계에 큰 파장을 주었습니다. 운영체제 명령어 인젝션 타입인 Shellshock은 NIST의 취약점 평가시스템 CVSS (Common Vulnerability Scoring System)에서 10점 만점에 10점을 받을 정도로 심각한 취약점 이었습니다.

Shellshock은 Debian GNU/Linux의 bash 쉘이 갖는 취약점으로, CGI (Common Gateway Interface) 환경에서 함수 실행시 입력 값을 검증하지 않음으로써 내부 시스템 명령어 실행이 가능하고, 이를 통해 패스워드 파일과 같은 내부 정보를 유출하거나, 특권 사용자로 권한을 상승하여 시스템을 장악할 수 있습니다.

Bash 쉘의 이러한 버그는 30년 동안 존재하였으며, 2014년에 ShellShock 취약점이 발견된 이후, 많은 서버에서 지속적으로 발견되어 왔습니다. 현시점에서 Shellshock 취약점은 발견될 당시보다는 그 위력이나 위험성이 낮을 것입니다. 하지만, 이러한 취약점이 기업의 어느 서버에 존재하는 한, 여전히 기업의 네트워크를 통해 시스템에 침투할 가능성은 존재하게 됩니다.

ShellShock과 같은 취약점은 공격이 간단하면서 공격에 많은 비용이 들지 않기 때문에 공격자들이 선호하는 취약점입니다. NTT의 “Global Threat Intelligence Report”에 따르면, 공격자들은 효과가 있었던 몇 년 전의 보안취약점을 악용하고 있는 것으로 조사되었습니다. 2018년 10월부터 2019년 9월간의 데이터를 분석한 결과, 많은 기업에서 Shellshock과 Heartbleed 취약점에 의한 공격을 경험한 것으로 나타났습니다. 보안 취약점을 악용한 공격 분포를 보면 다음과 같습니다.

- CVE-2014-6278 (GNU BASH, ShellShock), 60%

- CVE-2017-7269 (Microsoft Windows Server 2003 R2), 9%

- CVE-2018-1003 (Microsoft JET Database Engine), 4%

또한, '2020 IBM 엑스포스 위협 인텔리전스 인덱스' 보고서에 따르면 SW 취약점 스캐닝 및 취약점 공격 비율은 2018년 8%에서 지난해 30%로 급증한 것으로 조사됐으며, 해커들은 주로 마이크로소프트 오피스 및 윈도 서버 메시지 블록의 오래된 취약점을 악용한 것으로 나타났습니다.

제품 제조사는 CVE가 공개되기 이전에 패치된 버전을 빌드하며, 기업은 패치관리시스템을 통해 바로 업데이트가 가능합니다. 하지만, 여전히 많은 기업들이 적절한 패치관리시스템과 절차를 마련하고 있지 않으며, 여전히 잠재적인 보안취약점을 보유하고 있습니다.

기업은 보안위험분석을 통해, 취약점을 식별하고, 위험 우선순위에 따라 적합한 보안대책을 수립하여 대응할 필요가 있습니다. 보안위험분석 및 대책수립 단계는 다음과 같습니다.

- 잠재적인 취약점 진단을 통해 취약점을 식별합니다.

시스템 도입 및 업데이트, 네트워크 구조변경 등으로 인한 운영환경의 변경이 있을 경우, 그리고 주기적인 보안취약점 진단을 통해 취약점을 식별합니다. 대상은 네트워크, 시스템, DBMS, WEB/WAS, 운영체제, 응용프로그램, PC를 포함한 모든 IT시스템 및 S/W를 대상으로 합니다.   

- 취약점에 대한 심각도를 결정합니다.

취약점이라고 해서 모두 침해가 가능한 수준의 위험을 가지고 있는 것은 아닙니다. 시스템 및 운영환경에 따라, 취약점은 악용 가능한 수준으로 변경될 수 있어, 이에 대한 주기적인 모니터링이 필요합니다. 식별된 취약점을 모두 한꺼번에 제거하는 것은 과도한 자원(인력, 시간, 비용)낭비가 될 수 있으며, 서비스 운영에 영향을 줄 수도 있습니다. 따라서, 식별된 취약점에 대해 운영환경에 따른 심각도를 정하여 관리할 필요가 있습니다. 심각도는 기밀성, 무결성, 가용성에 따라 점수를 계산하기도 하며, 기업환경 및 서비스에 따라 합리적인 계산식을 사용해도 무방합니다.

- 잠재적인 보안영향에 대한 대응계획을 수립합니다.  

취약점 심각도(상, 중, 하)에 따라, 잠재적인 보안영향을 고려하여 단기, 중기, 장기적인 보안대책을 수립합니다. 취약점은 모두 제거하는 것이 바람직하나, 운영환경에 따라 기능을 대체 또는 운영환경 보완 등을 통해 취약점의 보안영향도를 낮 출 수도 있습니다.

암을 치료하는 방식은 직접적인 암을 제거하는 방식도 있지만, 적절한 식이요법과 약물치료를 통해 치료하는 방식도 있습니다. 잠재적인 보안취약점 역시, 식별하고 주기적인 모니터링과 영향도 측정을 통해 관리함으로써, 과도한 보안투자 없이 적절한 보안통제가 가능합니다. 다만, 이러한 보안취약점에 대한 진단, 심각도 측정, 보안계획 수립시 반드시 보안전문가의 의견을 청취할 필요가 있습니다.  

<참고자료>

1. Understanding the Shellshock Vulnerability

2. https://nvd.nist.gov/vuln/detail/CVE-2014-6271

3. https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6271

4. 2020 IBM 엑스포스 위협 인텔리전스 인덱스

5. Attackers still exploiting old vulnerabilities, says NTT report

4. 시사적 현안의 무기화

공격자들은 COVID-19 팬데믹과 같은 이슈를 이용해 사용자들의 관심을 유발하여 암호화 멀웨어를 다운받도록 유도합니다. 지난 6월, 슬로바키아 보안회사인 ESET는 COVID-19 추적앱으로 위장한 CryCryptor를 발견했으며, 이 멀웨어는 안드로이드 폰의 파일을 암호화하는 기능이 포함되어 있다고 밝혔습니다.

COVID-19은 랜섬웨어 공격 흐름에 변화를 주었습니다. 팬데믹 이전에는 일반기업 대비 헬스케어 회사를 대상으로 한 랜섬웨어 공격이 크게 증가하는 추세였으나, COVID-19 팬데믹 이후 공격이 감소하였으며, 어떤 랜섬웨어는 병원을 공격하지 않도록 설계된 것들도 있었습니다. 공격자들은 규모가 큰 병원이나 헬스케어 센터를 공격대상으로 삼을 수 있으며, 희생자가 데이터 복구의 시급성을 필요로 할 경우에는 비용지불을 기대할 수 있을 것입니다.

5. 랜섬웨어 공격자들의 체포 수 증가

예전에는 개별적으로 암호화 멀웨어 공격을 시도하는 경우, 그럭저럭 정부당국의 감시를 회피할 수 있었습니다. 그러나 최근에는 사법당국이 랜섬웨어와 같은 보안위협 인텔리전스 공유 및 대응체계를 강화함에 따라 랜섬웨어 공격자들에 대한 체포 건수가 증가하였습니다.

6. 딥페이크 랜섬웨어

트랜드마이크로에 따르면, 랜섬웨어 뿐만 아니라 딥페이크와 관련된 컴퓨터 범죄가 지속적으로 증가할 것이라고 예측하고 있습니다. Malwarebytes 역시 랜섬웨어와 딥페이크가 조합된 “딥페이크 랜섬웨어“ 공격이 가능하다고 보고 있습니다. 

Malwarebytes는 저자이자 AI 전문가인 Paul Andrei Bricman와 함께 이러한 보안위협에 대한 가능성에 대해 논의하였으며, 그 중 한가지 가능성은 딥페이크 랜섬웨어 공격자가 웹사이트에 게시된 특정인물의 비디오로 가짜 비디오 생성하여, 돈을 지불하지 않으면 가짜 비디오를 공개하겠다고 협박할 수 있습니다.

다른 한가지 가능성은 공격자는 영상물과 랜섬웨어를 결합하여, 영상물에 접근하는 사용자의 컴퓨터를 감염시킬 수 있습니다. 이러한 공격은 2015년에 페이스북 사용자들을 유인하기 위해 제작된 “Hot Video“와 유사합니다.

Malwarebytes는 현재까지 실질적으로 이러한 공격이 발생한 사례를 없다고 밝혔지만, 이러한 공격이 발생할 경우 희생자의 명성에 치명적인 해를 가할 수 있을 것이라고 이야기 하고 있습니다. 

랜섬웨어 공격에 대한 대응전략

진행중인 공격을 탐지하는 것 만으로는 랜섬웨어 공격을 방어하기에 충분하지 않습니다. 다음은 추가적인 랜섬웨어 대응전략을 보여 줍니다.

1. 가시성 확보

IT환경에 대한 충분한 가시성을 확보하지 않으면 랜섬웨어 공격을 모니터링할 수 없습니다. 공격자들은 보안 취약점을 악용하여 끊임없이 시스템 접근권한 획득과 내부 네트워크로의 침투를 시도할 것입니다. 따라서, 자산관리시스템을 이용해 사용중인 모든 H/W 및 S/W를 파악하고, 인공지능이 결합된 네트워크 모니터링 솔루션을 통해 내부 네트워크에서 활동 중인 랜섬웨어와 같은 공격들을 감시합니다.

2. 보안인식 제고

많은 랜섬웨어 공격들은 사회공학기법을 이용한 피싱공격이나 IT 운영 실수를 악용하고 있습니다. 이러한 점을 감안하여, 임직원들에게 다른 사회공학 기술과 피싱공격에 대한 사례전파 및 모의훈련 등의 보안교육을 함으로써 이러한 보안위협을 상당히 감소시킬 수 있습니다.

3. 강력한 보안통제 구현

잘 훈련된 경우라도, 이메일이 정상적이라고 판단하여 피싱공격에 당할 수 있습니다. 따라서, 기업은 의심스러운 링크나 악성 도메인과 같은 보안위협을 자동으로 탐지하고 차단할 수 있는 스팸 방지 솔루션을 도입합니다. 또한, 절차적·관리적 접근통제를 수립하고 내재화하여 강력한 보안통제를 구현합니다.

4. 침해사고 대응계획 수립

랜섬웨어 공격자들은 기업의 방어막을 뚫기 위해 끊임없이 새로운 기술을 개발하고, 보안헛점의 기회를 엿보며 공격할 것입니다. 따라서,  보안사고에 대응할 수 있는 전문조직을 구성하고, 보안역량을 강화해야 합니다. 또한, 침해사고 대응계획을 수립하고 정기적인 운영 및 점검을 통해 보안사고 발생시 신속하게 대응할 수 있어야 합니다.

※ 원문: 6 Ransomware Trends You Should Watch for in 2020

랜섬웨어 공격은 불법적으로 기업의 네트워크에 침입하여 데이터를 암호화하고, 이를 볼모로 금전적인 이득을 취할 목적으로 수행하고 있으며, 이로 인한 기업의 데이터 손실 및 유실 뿐만 아니라 금전적으로도 상당히 심각한 피해를 주고 있습니다.

미국의 디지털 보안 및 데이터복구 회사인 Datto는 랜섬웨어로 인해 발생한 서비스 정지 등에 따른 기업의 피해는 년간 7천5백억달러(약 8조9천억원)에 달한다고 합니다. 그 외의 자료에 따르면, 랜섬웨어로 인해 기업은 시간당 평균 8천 5백달러의 손실(Govtech 조사결과)과, 크립토 멀웨어 사고당 65.645백달러의 비용손실이 발생한다(Coveware조사결과)고 이야기 하고 있습니다. 최근 스마트 기기 제조사인 가민은 랜섬웨어 공격을 당했으며, 8월 5일, 데이터 복구조건으로 해커에게 1천만 달러를 지불했다고 밝혔습니다.

랜섬웨어 공격은 새로운 상품개발을 저해하고 금전적인 피해로 인해 기업운영에 막대한 차질을 가져오고 있습니다. 따라서, 기업은 이러한 랜섬웨어 공격을 잘 이해하고 대응할 필요가 있습니다. 우선적으로 최근에 발생한 랜섬웨어 공격을 통해 변화된 공격패턴을 이해하는 것이 중요합니다. 여기서는 2020년에 발생한 랜섬웨어 공격을 통해 6가지 주요 공격특성에 대해 살펴보고, 대응방안에 대해 알아 보고자 합니다.

1. 데이터 탈취 및 공개 협박

최근 몇 년까지만 해도 데이터 백업은 랜섬웨어 공격자의 데이터 랜섬을 묵살하고, 추가 비용없이 데이터를 복구함으로써 빠르게 서비스를 정상화하는 랜섬웨어 공격 대응기법 중 하나였습니다. 하지만, 최근에 와서는 데이터백업만으로는 랜섬웨어에 대한 공격에 대응할 수 없는 사건들이 발생하고 있습니다.

2019년 11월, 컴퓨터 장애를 해결해주는 Bleeping Computer의 웹사이트에 2십만명 이상의 직원을 보유한 보안인력회사의 네트워크에 Maze 랜섬웨어 공격이 발생했다는 글이 올라왔습니다. 공격자는 해당회사의 데이터를 암호화하기전에 외부 서버에 복사하고, 돈을 지불하지 않으면 데이터를 온라인에 공개하겠다고 협박하였습니다. 이러한 공격수법은 기존의 데이터 백업을 통한 복구를 무색하게 하였습니다.

이후 다른 랜섬웨어 역시 데이터 백업을 우회하고 랜섬을 거부하는 희생자를 협박하는 방식으로 진화를 해오고 있습니다. 이들 멀웨어 갱단들은 Maze의 데이터 유출과 데이터 공개 협박이라는 방식을 따랐으며, 올해 3월과 4월에 미국의 제조사와 헬스케어 회사를 공격할 때 이와 같은 수법을 사용했습니다.

2. 서로 다른 랜섬웨어와의 협업 증가

Maze는 암호화 멀웨어를 통해 이익을 극대화했다고 할 수 있을 정도는 아니었습니다. 랜섬웨어 군들은  몇몇의 변종들이 컴플라이언스를 준수하지 않는 기업의 데이터를 유출하고 위협하는 방식으로 진화했습니다. 2020년 6월 초 Bleeping Computer에 따르면, 보안회사인 KeLa는 한 건축회사의 데이터가 ”Maze News” 데이터 유출 웹사이트에 추가된 것을 발견하였으며, 훔친 데이터는 Maze의 공격에 의한 것이 아닌, LockBit RaaS (Ransomware-as-a-service) 플랫폼에 의해 감염된 데이터라고 전했습니다. 공격자들은 데이터 유출 플랫폼을 공유하고 덜 완성된 랜섬웨어 실행자들의 경험을 얻기 위해 LockBit와의 협업을 결정했다고 밝혔습니다.

3. 다른 유형의 멀웨어와 공조

랜섬웨어와 다른 형태의 멀웨어간의 공조는 탐지를 더욱 어렵게 하고 공격의 성공률을 높이게 됩니다. 이러한 공격형태는 2020년 상반기에 나타났습니다. 지난 3월, Bleeping Computer는 윈도우 시스템 성능향상 유틸리티를 다운받을 수 있는 포털을 통해 멀웨어가 유포되고 있음을 발견하였습니다. 일단 프로그램을 다운받으면 ”file2.exe” 파일과 함께 데이터를 암호화하는 ”coronavirus ransomware” 파일이 자동으로 다운로드 됩니다. 이 멀웨어는 ”file1.exe”파일과 함께 패스워드 유출 멀웨어를 배포하는 Kpot이라는 멀웨어에 랜섬웨어 멀웨어를 추가한 것으로, 감염된 컴퓨터로 부터 데이터를 훔친 후, 공격자가 미리 장악한 서버에 데이터를 전송합니다.      

2020년 5월, 보안솔루션 회사인 Group-IB는 PwndLocker랜섬웨어군의 후속 버전인 ProLock를 발견하였습니다. 이 공격은 두 종류의 초기 접근 벡터 중 한나를 선택하고, 공격 대상의 RDP(Remote Desktop Protocol) 서버에 접근하기 위해 약한 인증정보를 공격하였습니다. 어떤 경우에는 Qakbot를 문서에 심어 보내기도 했으며, 이후 프로세스 인젝션 기술을 실행하거나 .BMP 또는 .JPG파일에 숨겨진 ProLock 페이로드를 불러오기 위해 explorer.exe를 사용하는 등 다양한 전술을 시도했습니다.

※ 원문: 6 Ransomware Trends You Should Watch for in 2020

암호화(Encryption)는 정보보호의 핵심요소 기술로, 이메일, 메시지, 영상, 음성 등 거의 모든 데이터를 보호하기 위한 용도로 사용하고 있습니다. 데이터는 DB, 클라우드, 기기 등 다양한 매체에 산재되어 있으며, 일반 데이터와 중요하고 민감한 데이터가 섞여있어, 관리 부주의 및 데이터 침해로 이한 유출 사고의 발생빈도가 높습니다. 데이터 침해사고는 기업의 중요 데이터와 민감한 고객정보 등을 유출시킴으로써, 기업의 비용손실은 물론, 신뢰도 저하 및 고객 이탈, 그리고 법적인 문제에 휘말릴 수 있습니다.

중요한 데이터를 다루는 기업은 당연히 암호화를 통해 데이터를 보호할 것입니다. 하지만, 2019년도 Ponemon의 “Global Encryption Trends Study”에 따르면, 암호화 전략을 채택한 기업은 45% 정도에 지나지 않습니다. 올바른 암호화 전략은 암호화를 통한 데이터 보호 뿐만 아니라, 컴플라이언스 준수에도 도움이 됩니다.

암호화 전략

최근 Forrester의 연구에 따르면, 데이터와 분석 기반의 비즈니스는 전세계 GDP 보다 최소 7배 빠른 성장을 보인 것으로 나타났습니다. 즉, 데이터의 수집·분석·가공·분배를 통한 경제적 가치는 그만큼 높다는 것을 의미합니다. 이러한 데이터 생명주기에 의한 경제적 가치를 달성하기 위해서는 무엇보다도 데이터의 안전성이 전제되어야 합니다.

따라서, 민감한 데이터를 다루는 기업은 데이터를 안전하게 보호할 수 있는 기술을 적용하고, 규제당국이 요구하는 컴플라이언스를 준수함으로써 책임을 다할 필요가 있습니다.

하지만, 보안 전문가들은 아직까지도 많은 기업들이 데이터를 효과적으로 보호하기 위한 충분한 기술과 역량을 보유하고 있지 않으며, 일반적인 보안전략 수립은 잘 하고 있으나 데이터 암호화 전략 수립에 있어서는 이해도가 부족하다고 보고 있습니다.

데이터 암호화 전략은 민감정보를 포함한 중요 데이터 암호화, 강력한 접근제어 구현, 암호화 키의 안전한 관리 등의 기술적인 부분과 데이터 보호를 위한 컴플라이언스 준수를 포함하고 있습니다.

데이터 보호

데이터 암호화는 침해사고로 인한 데이터 유출시에 최후의 수단으로서 데이터를 무용지물로 만들어 버리는데 그 목적이 있습니다.

데이터 보호의 시작은 데이터가 어디에 있는지 파악하고, 보호 할 데이터를 식별하는 것입니다. 고객 및 재무정보와 같은 데이터는 식별이 용이하지만, 일부 데이터는 그렇지 않은 경우도 있습니다. 지난 10년간 개인정보 및 민감정보에 대한 많은 변화를 겪으면서 많은 기업들이 여전히 데이터 식별에 어려움을 겪고 있습니다.

민감한 데이터를 식별한 이후, 데이터의 안전한 암호화 및 관리방안에 따라 암호화 전략을 실행합니다.

- 암호화 키는 안전한 장소에 데이터와 분리하여 저장

- 각 산업 분야별 적합한 키 교체 모범 사례를 반영한 주기적인 암호화 키 교체

- 디바이스 데이터 보호를 위해 하드웨어 기반 Self-Encryption 기법 적용

- 세부적인 데이터 접근 및 삭제를 위해, 매체, 파일, 데이터베이스간의 계층적 암호화

- 외부와 공유되는 개인정보를 익명화하기 위해 데이터 마스킹 및 토큰화 기술 사용

데이터 암호화 외에 데이터 접근제어와 모니터링을 통해 권한이 부여된 특권 사용자에게만 접근을 허용하며, 데이터에 대한 빠르고 안정적인 접근을 보장합니다.

보안위협 대응을 위한 암호화

대부분의 보안전문가들은 데이터 침해사고와 랜섬웨어 등의 보안위협에 대해 인지하고 있으며, 기업의 최우선 과제 역시 이러한 보안위협을 차단하는 것입니다. 하지만, 여전히 이러한 공격들은 유효하며, 지속적으로 발생하고 있습니다.

지속적으로 증가하는 랜섬웨어 공격과 데이터 침해사고를 막기 위해, 기업은 많은 투자와 노력을 기울이고 있습니다. 하지만, 끊임없이 취약점을 연구하고, 호시탐탐 운영 실수 및 오류 등의 공격기회를 노리는 해커들의 공격을 100% 막는 다는 것은 불가능에 가까운 일입니다.

데이터 침해사고를 완벽하게 차단하지 못하는 것에 회의적일 필요는 없습니다. 보호하려는 데이터를 암호화함으로써 침해사고 발생시 데이터를 무의미하게 만든다면, 그러한 보안위협에 대한 대응방안으로 충분할 것입니다. 즉, 암호화는 클라우드 및 온프레미스 환경에 산재한 데이터를 내·외부의 공격으로부터 보호하며, 민감한 고객의 데이터를 안전하게 지킬 수 있는 필수 불가결한 선택입니다.

컴플라이언스 준수를 위한 암호화

국가와 정부 그리고 산업 컨소시엄이 개인정보 보호의 중요성을 인식함에 따라, GDPR(Global Data Protection Regulation), CCPA(California Consumer Protection Act), ISMS-P(Information and Privacy Security Management System), PIA(Privacy Impact Accessment) 등과 같은 컴플라이언스를 제정하고 있으며, 지키지 않을 경우 무거운 벌금을 부과하도록 하고 있습니다.

하지만, 기업의 입장에서는 어떤 데이터가 어떤 컴플라이언스에 저촉되는지, 침해사고시 신고조항이나 규제 미준수에 따른 법적책임 등에 대한 요건들은 전부 이해하고 준수 하기란 만만치 않은 일입니다.

암호화는 여러 보안 컴플라이언스에 대한 미준수를 해결하는데 도움을 줍니다. 중요하고 민감한 데이터가 도난 당했을 경우, 데이터를 무용지물로 만듦으로써, 데이터 보호라는 컴플라이언스 요건을 충족시킬 수 있습니다. 추가적으로, 협력사 또는 지사와의 데이터 공유시 민감한 데이터의 마스킹 처리 또는 토큰화 등과 같은 방법을 통해 컴플라이언스 요건을 준수할 필요가 있습니다.

맺음 말

암호화 전략을 수립하고 적용하기 위해서는, 데이터를 파악하고 민감한 데이터를 식별하며, 데이터의 규모나 중요성에 따라 적정한 암호화 솔루션을 도입할 필요가 있습니다. 또한, 개인정보보호법, 정보통신망법, 신용정보보호법, 의료법 등 많은 법적인 요구사항 분석을 통해, 조직과 비즈니스에 적합한 최적의 보안정책 수립과 운영이 동반되어야 합니다.

※ 원문: Encryption: Protect your most critical data

최근 발간된 IBM Security의 “2020 Cyber Resilient Organization Report (이하, 보고서)”에 따르면, 기업의 67%는 지난 12개월 동안 사이버 공격이 심각한 수준으로 증가하고 있다고 응답했습니다. 또한, 지난 2년동안 1천개 이상의 레코드 유출사고를 경험한 기업이 53%에 달할 정도로 파급력 역시 높아졌습니다.

양적 및 질적인 침해사고의 증가에 따라, 새로운 IT기술과 서비스 도입을 통해 디지털 트랜스포메이션을 준비하는 기업은 기존의 단순 침해사고 방어 체계에서 사이버 레질리언스로의 전환을 고려하고 있습니다. 즉, 보안위협에 대한 예방과 대응, 방지, 복구능력을 향상시키고, 조직문화에 완전히 보안을 융화하는 방향으로 진화를 시도하고 있습니다.

사이버 레질리언스를 구현하기는 쉽지 않으나, 조직에 적합하고 올바른 프레임워크를 선택하여 적용한다면, 그에 대한 충분한 가치는 누리실 수 있을 것입니다.

사이버 레질리언스 란?

사이버 레질리언스는 사이버공격 또는 IT 시스템에 악영향을 주는 어떠한 이벤트가 발생했을 경우, IT 시스템을 지속적으로 운영할 수 있는 대응능력을  말합니다. 이는 기존의 침해사고 예방, 탐지, 대응기능을 포괄하며, 모든 사이버 이벤트에 대한 대응능력을 갖추는 것을 의미합니다. 따라서, 사이버 레질리언스는 기존의 침해사고 대응능력을 점진적으로 향상시키면서, 조직문화, 기술역량, 보안정책 및 절차를 현대화함으로써, 지속적으로 변화하는 사이버 침해사고에 대한 대응능력을 극대화 하는 것 입니다.

사이버 레질리언스 구축

디지털 트랜스포메이션을 선도하는 기업들은 진화하는 사이버 공격을 방어하기 위해 침해사고 대응 자동화, 클라우드 서비스 도입, 솔루션들간의 상호작용을 개선하고 있습니다. 또한, 사이버 공격 발생시 효과적인 협업과 업무 연속성을 강화하기 위해, 사이버 공격별 특성을 반영한 위협 모델링을 설계하고 전사가 참여하는 침해사고 대응 계획을 수립합니다.

다음은 사이버 레질리언스 구축시 기업이 고려할 중요한 4가지 영역인 예방 (Prevention), 탐지 (Detection), 방지 (Containment), 그리고 대응 (Response)에 대해 알아 보겠습니다.

1. 예방 (Prevention)

응답기업 중 56%가 사이버공격에 대한 예방 건수를 사이버 레질리언스에 대한 척도로 측정하고 있다고 할 정도로, 대다수의 기업들이 침해사고 예방영역에 가장 많은 비중으로 투자를 해오고 있습니다. 리더그룹에 속한 기업들의 경우 자동화, 인공지능 및 머신러닝을 도입함으로써, 조직의 침해사고 대응능력을 향상시키고 있으며, 보안위협 및 취약점 진단, 설정관리 등을 위한 자동화 솔루션을 도입하여 가시성을 향상시키고 직원을 단순업무로 부터 고급업무로 전환하고 있습니다.

2. 탐지 (Detection): 침해징조를 빠르게 식별

침해징조를 적시에 빠르게 탐지함으로써 침해사고로 이어질 수 있는 공격을 차단하고, 이로 인한 비용을 최소화 합니다. 하지만, 탐지 시스템 및 절차의 복잡성은 때론 악의적인 행위를 정확하게 식별하는데 장애가 되기도 합니다.

보고서에 따르면, 기업의 30% 정도는 50가지 이상의 보안 솔루션과 기술을 사용한다고 응답했습니다. 50개 이상의 보안 솔루션을 사용하는 기업은 그렇지 않은 기업보다 8% 낮은 공격탐지 능력을 보여주고 있습니다. 보안 솔루션들간의 상호 호환성 및 사용환경의 복잡성은 탐지 효율성과 속도를 저해하는 결과를 보여주고 있습니다.

자동화된 솔루션을 통해 다양한 보안 솔루션들과 플랫폼을 통합하고, 응용프로그램과 데이터에 대한 가시성 향상을 위해 노력합니다. 이는 전반적인 운영의 복잡성을 감소시키고, 보안팀이 보다 효과적이며 올바른 결정을 하도록 지원 합니다.

3. 방지 (Containment): 신속한 치료를 위한 절차와 워크플로우

최고의 성과를 내는 기업들은 상대적으로 침해사고에 더 잘 대응하고 35% 더 많은 사건을 처리하는 것으로 나타났습니다. 이들간의 가장 큰 차이점은 사이버보안 침해사고 대응계획의 수립 및 검토, 적용, 이행점검 여부였습니다. 대략적으로 성과가 좋은 기업은 43%, 그렇지 않은 기업은 20% 정도만이 이에 해당되었습니다.

따라서, 사이버보안 침해사고 대응계획 수립은 물론, 침해사고 방지 및 대응절차를 포함하는 플레이북을 개발하여, 사이버 공격 방지를 위한 시간을 줄이고 영향력을 최소화 합니다.

4. 대응 (Response)

분석능력의 향상은 침해사고 예방과 대응에 더 많은 시간을 할애할 수 있도록 합니다. 즉, 자동화된 솔루션의 도입은 보안팀의 침해사고 예방 및 탐지능력 뿐만 아니라, 대응능력 역시 향상시키는 효과가 있습니다.

전반적으로 사이버 복원력이 뛰어난 조직은 IT보안 운영의 모든 측면에서 경쟁업체보다 우수한 성과를 내고 있습니다. 사이버 레질리언스는 강력하고 상호협력적인 조직문화를 구축하고, IT기술과 보안운영 성능 향상을 위한 현명한 투자를 통해 달성할 수 있습니다.

※     원문: Build a Roadmap for Cyber Resilience