Cappuccino sapiens

지난 6월 30일, IBM Security는 2020년도 “Cyber Resilient Organization Report”를 발간하였습니다. 지난 4월 부터 리서치 기관인 Ponemon을 통해 전 세계 3,400명의 IT 및 보안 전문가들을 대상으로 사이버 침해사고에 대한 탐지, 방지, 격리, 대응능력에 대해 조사를 진행했습니다.

보고서의 주요 시사점은 다음과 같습니다.

  - 26%의 기업이 전사적인 사이버 보안사고 대응계획 (CSIRP: Cyber Security Incident Response Plans)을 수립·운영

  - CSIRP를 수립·운영하는 기관은 침해사고에 대한 심각한 장애를 겪을 가능성이 낮음

  - 50개 이상의 보안 솔루션을 도입한 기업은 그 보다 적게 도입한 기업보다 탐지 능력 8%, 공격대응 능력 7% 더 낮게 나타남

  - 52%의 응답자는  클라우드 서비스가 사이버 레질리언스를 향상시킨다고 답변

  - 최근 2년내 51%의 기업이 사이버 침해로 인해 비즈니스에 심각한 장애를 경험

  - 45%의 기업은 랜섬웨어 공격에 대한 구체적인 실행계획 부재

기업들은 증가하는 보안위협과 진화하는 공격기술에 대해 효과적으로 탐지하고 대응하기 위한 방안으로 사이버 레질리언스의 필요성에 대해 공감하였습니다. 사이버 레질리언스는 사이버 침해사고 예방 및 대응을 위한 자동화, 머신 러닝, AI, 위협 인텔리젼스, 오케스트레이션 등의 기술을 도입하고, 강력한 개인정보 보호 체계를 구축함으로써 완성도를 높일 수 있다고 말하고 있습니다.  

※ 사이버 레질리언스: 조직이 사이버보안 침해를 당하더라도 목표한 성과를 지속적으로 달성할 수 있는 역량

※ 2020 Cyber Resilient Organization Report (Full Version)

※ 2020 Cyber Resilient Organization Report (Summary)

※ 웨비나 강의: Latest Findings from the Ponemon Institute’s Study on the Cyber Resilient Organization, 7월 22일 오전 12시(한국시간)

2017년에 발생한 워너크라이는 전세계 150개국 20만대 이상의 컴퓨터를 감염시켰으며, 이로 인해 통신사, 병원, 택배사, 자동차 공장 등 수 많은 기업의 IT 서비스와 전산시스템을 마비시켰습니다. 국내에서도 21개의 기업이 피해신고를 했습니다. 전문가들에 의하면, 사업지연으로 인한 피해를 금액으로 환산하면 약 800억 달러(9.5조)에 이른다고 말하고 있습니다.

3년이 지난 지금, 기업의 보안전략에 어떠한 변화가 있었을 까요? 2017년 당시, 피해를 당한 기기의 95% 이상이 윈도우 7에 대한 패치를 하지 않은 것으로 나타났습니다. 하지만, 지금도 일부 기업은 패치를 하지 않거나 기술지원이 종료된 운영체제를 사용하고 있는 것으로 조사되었습니다.

Ponemon Institute에 의하면, 65%의 기업이 시스템 패치에 적극적이지 않으며, 데이터 침해사고 중 57%는 부적절한 패치관리로 인해 발생한 것으로 보고하고 있습니다. 즉, 공격자는 이미 조직의 시스템에 잠입해 있다고 보아야 합니다. 이들은 보다 고도화된 기술을 통해 아직 패치되지 않은 시스템 또는 패치가 나오기 전의 시스템에 잠복해 있을 것입니다.

시스템 패치만으로는 날로 고도화되는 사이버범죄를 막기에는 역부족 입니다. 이를 막기 위해서는 좀더 적극적인 보안대책이 필요합니다. 사이버 레질리언스는 공격자가 언제 침투했고 어떠한 활동을 했는지를 인지하고, 조직으로 하여금 적절한 대응을 수행할 수 있도록 합니다.

조직은 사이버 레질리언스 전략을 수립하여 적이 이미 내부에 침투했다는 가정하에, 이를 단계적으로 제거할 수 있는 자동화된 통합 보안시스템을 구축할 필요가 있습니다. 또한, 네트워크, 운영체제, 그리고 물리장비 영역에 대한 보안을 강화하여, 전반적인 조직의 보안수준을 높여야 합니다.

  - 네트워크 영역 보호: 실시간 분석 및 보안위협 탐지

  - OS 및 S/W 영역 보호: 보안패치, 모든 특권 사용자 인증, 응용프로그램 및 데이터 무결성 등

  - H/W 영역 보호: 펌웨어 및 H/W에 대한 무결성 보장

※ 원문: Three years after WannaCry, what have we learned?

기업과 개인이 가장 두려워하는 사이버침해사고 유형 중 하나는 단연 랜섬웨어가 아닐까 합니다. 랜섬웨어 공격방식이 다양화되고 기술이 지속적으로 발전하는 이유도 그 만큼 돈벌이가 되기 때문입니다. 공격자는 랜섬웨어를 통해 거래가 불발되더라도, 다크웹을 통해 데이터를 거래함으로써 또 다른 이득을 취할 수 있기 때문에, 데이터 침해 공격만 성공하면 그간의 노력을 한순간에 보상받을 수 있습니다.

여러 보안 전문기관에서 발표한 랜섬웨어 관련 자료들을 통해 랜섬웨어 공격의 방향성에 대해 이해하고, 효과적인 대책이 어떤 것인지에 대해 알아 보도록 하겠습니다.

IBM 엑스포스(X-Force) 보안 연구소가 발표한 '2020 IBM 엑스포스 위협 인텔리전스 인덱스'와 데이터 보호 업체인 아크서브(Arcserve)의 랜섬웨어에 대한 연구결과에 따르면, 랜섬웨어 공격은 지속적으로 증가하고 있으며, 돈이 되는 곳이라면 정부기관도 마다하지 않고 공격대상이 되기도 합니다. 주요 공격대상은 상대적으로 보안이 허술한 유통·제조·운송분야로 나타났으며, OT 및 ICS 분야에 대한 공격과 소프트웨어 취약점을 이용한 공격이 증가한 것으로 나타났습니다.

  - 2019년, 100개 이상의 미국 정부기관에서 랜섬웨어 공격으로 데이터 침해사고 발생

  - 2018년 대비 2019년 랜섬웨어 공격이 2배 이상 증가

  - 2019년, 랜섬웨어 공격으로 인한 피해액이 75억 달러(한화 약 8조8613억 원)에 달함

  - 2008년 대비 2019년 OT 표적 공격이 2000% 증가 (하드웨어 취약점 조합 및 비밀번호 유포가 가장 많음)

  - 취약점 스캐닝 및 공격은 2018년 8%에서 2019년 30%로 크게 증가

CyberEdge 그룹은 랜섬웨어 공격을 당한 피해자의 데이터 복구가 증가하고 있는 것으로 분석했습니다. 이는 피해자가 해커와 거래를 통해 데이터를 복구한 것으로, 금전적 이득을 목적으로 한 랜섬웨어 시장이 더욱 커질 것으로 전망하고 있습니다.

  - 데이터 복구 증가: 2018년 49%, 2019년 61%, 2020.1Q기준 67%

  - 랜섬웨어 비용지불 증가: 2018년 39%, 2019년 45%, 2020.1Q 기준 58%

  - 랜섬웨어 감염 증가: 2019년 56%, 2020.1Q 기준 62%

CI Security의 CISO인 Michael Hamilton에 따르면, 특히 경기침체기를 겪고 있는 올해는 금전적인 이득을 목적으로 하는 랜섬웨어 공격이 두배 이상 증가하고, 상용화된 서비스로 조직적이며 더욱 영리하게 공격방식과 기술이 발전하여 피해자를 더욱 괴롭힐 것으로 전망하고 있습니다. 

전문가들은 랜섬웨어 공격에 대비하여, 다음과 같은 몇가지 조언을 하고 있습니다.

  - 지속적으로 IT시스템에 대한 취약점을 분석하고 취약점을 제거 할 것

  - 인공지능 및 머신러닝 기법을 이용하여 위협을 탐지하고 차단 할 것

  - 비즈니스 영속성을 보장하기 위한 데이터 백업 정책과 기술을 도입 할 것

  - 임직원들에 대한 보안인식 제고를 위한 지속적인 보안교육과 훈련을 실시 할 것

  - 특권 사용자에 대한 다단계 인증 및 멀티팩터 인증으로 인증방식을 강화하고 크리덴셜 정보를 보호할 거

※ 참고

 - 랜섬웨어, SW취약점 공격 크게 증가한다

 - Are ransom payers fueling ransomware?

 - Ransomware perspectives: The shape of things to come

일반적으로 의료정보에는 환자의 진료정보는 물론, 주민번호, 은행계정, 신용카드 정보 등 거의 모든 개인정보를 포함하고 있어, 해커의 입장에서는 일반정보 보다 훨씬 가치가 있으며, 공격 대상이 되기도 합니다. 보안업체인Trustwave에 따르면, 다크웹에서 은행계정 및 신용정보가 레코드당 5.40달러인데 비해, 의료정보는 레코드당 250달러에 거래되고 있다고 밝혔습니다.

2020 Verizon 보고서에 의하면, 의료시스템에 대한 피싱 및 소셜 엔지니어링 공격은 지속적으로 증가하고 있는 추세이며, 의료정보 침해사고는 피싱 공격과 크리덴셜 정보 탈취를 위한 악성코드 감염으로 2019년 대비 두배나 증가한 것으로 나타났습니다.  

 - 데이터 침해사고는 2016년 대비 2019년에 3배 증가

 - 2020년, 의료정보 침해사고는 71% 증가, 이중 43%는 피싱 및 악성코드 감염에 기인

 - 컴퓨터 해킹 중 70%는 외부자에 의한 소행, 55%는 범죄조직에 의한 소행

 - 밝혀진 침해사고 중 86%는 금전적인 목적

 - 약 90%는 취약한 패스워드 또는 훔친 크리덴셜 정보를 이용한 무작위 대입공격(Brute-force attack)

해커는 금전적인 이득을 취하기 위해 보안에 취약한 부분을 공략하여 성공할 때까지 끊임없이 공격을 시도할 것입니다. 의료정보를 보호하기 위한 기업의 보안대책에 대해 알아보겠습니다.

균형 있는 침해사고 예방 및 대응 시스템 구축
조직은 언제든지 침해사고를 당할 수 있으며, 이때 무엇을 준비해야 할 것인지에 대한 대책이 필요합니다. 침해사고는 실시간으로 발생하게 되며, 초기에 이를 탐지하고 적절하게 대응하지 못할 경우, 30%의 추가 대응비용이 발생합니다. 따라서, 침해사고 분석, 탐지 및 대응, 사후관리 기능이 균형 있게 다루어 지고 있는지 검토가 필요가 있습니다.    

 - 의료분야의 침해사고 탐지와 대응은 전체적으로 향상되었으나, 수개월 동안 파악되지 않은 침해사고가 25% 이상 (Verizon 2020 Report)

보안 컴플라이언스 준수 이상의 보안강화
의료보안을 위한 컴플라이언스에는 HIPAA (Health Insurance Portability and Accountability Act), HITRUST (Health Information Trust)  등이 있습니다. 고객들은 의료정보를 다루는 기관이 정확하게 보안 컴플라이언스를 준수하는지에 따라, 해당 기관에 대한 신뢰성을 판단하려 할 것입니다. 하지만, 컴플라언스는 최소의 보안 요구사항을 제시하는 것으로, 각 기관의 운영환경에 적합한 보안대책을 강구하고, 지속적인 보안역량(인력, 기술, 재정)을 키워야 합니다.

사이버 침해사고 대응 모의 훈련을 통한 보안인식 제고
보안인식이 결여된 직원들로 인해, 침해사고가 발생하기도 합니다. 최근에 발생하고 있는 피싱공격은 아주 간단한 보안인식 문제로 인해 발생하고 있습니다. COVID-19 보조금 지원 등과 같은 피싱메일은 아주 매력적인 아이템 입니다. 이러한 직원들을 위해, 피싱메일 모의훈련과 같은 침해사고 대응 훈련을 통해 직원들의 보안인식을 일깨워 줄 필요가 있습니다.

원격근무로 업무환경이 전환되고, 직원들 또한 개인정보는 물론 환자정보를 다루게 됨에 따라, 직원들의 재택근무환경에 대한 보안과 직원들의 보안인식에 대한 비중이 커지고 있습니다. 업무환경 변화에 따른, 조직의 변화된 운영환경을 정확히 진단하고, 적절한 보안대책을 강구할 필요가 있습니다.

※ 원문: 3 Ways to Flatten the Health Data Hacking Curve

COVID-19 감염 숫자는 국내를 비롯해 전세계에서 특정 지역과 집단에 국한하지 않고 꾸준히 나타나고 있습니다. 직원이 감염될 경우, 사업장은 일시적이지만 폐쇄라는 조치와 함께 더욱 강력한 예방대책을 강구해야 하는 긴장감 속에서 경영을 하고 있습니다. 일부 기업은 중장기적인 대책으로 재택근무와 병행하거나 재택근무 환경으로 전환하는 방안을 고려하기도 합니다.

재택근무 환경으로 전환시 기업의 데이터는 물론 개인정보 및 고객정보 등 민감한 데이터 또한 재택근무 중인 직원의 단말에서 다루게 되며, 이는 해커들의 중요한 공격대상이 되기도 합니다. 해커는 데이터 유출 및 랜섬웨어 감염은 물론 기업망으로의 2차 전파를 통한 기업 시스템 장악 등의 피해를 줄 수 있습니다.

미국의 경우, 현재 전체 인구 중 절반이상이 재택근무를 하고 있으며, 지속적으로 그 수는 증가 할 것으로 보고 있습니다. IBM Security는 최근 약 2천명의 재택근무자를 대상으로 설문을 진행했으며, 재택근무 환경에서의 보안에 대해 어떻게 느끼고 있는지에 대한 결과를 발표하였습니다. 주요 내용은 다음과 같습니다.

잘 하고 있지만, 아직은 부족

  - 93%는 원격으로 근무하는 동안 회사는 개인정보 보호에 대해 잘하고 있다고 응답

  - 52%는 개인용 PC를 업무용도으로 사용하거나, 보안이 보장되지 않은 장비를 사용하는 경우도 있음

  - 45%의 직원은 적절한 보안교육을 받은 적이 없음

정보보호 정책 및 개인정보 보호에 대한 인식 부족

  - 42% 이상이 고객정보 또는 개인정보를 다루는 업무를 하고 있으나, 절반이상은 재택근무 환경에서 개인정보 보호, 패스워드 관리 등 적절한 보안교육을 받지 못함

보안이 검증되지 않은 개인 디바이스 사용

  - 재택근무를 시작한 인원 중50% 이상은 회사업무를 위해 개인용 PC 사용

  - 재택근무자 61%는 회사로 부터 보안이 검증된 장비를 지급받지 못함

부적절한 패스워드 관리

  - 66%는 재택근무환경에 적합한 패스워드 관리 정책 부재

  - 35%는 기존 패스워드를 그대로 사용하고 있음

※ 원문: Employees are worried about cyber threats in their home office environments

갑작스런 재택근무로 전환하는 경우, 회사의 보안정책과 접근통제 영역이 완전히 적용되지 못함으로 인해, 재택의 보안헛점은 회사의 보안위협으로 부메랑처럼 돌아 올 수도 있습니다. Quad9*과 같은 무료 DNS 보호 서비스를 사용 할 수 있지만,  모든 보안문제를 해결해 주지는 못합니다. 이러한 경우, 간단한 설정만으로도 많은 외부의 보안위협을 차단할 수 있는 방법에 대해 소개하고자 합니다.

 ※ Quad9: IBM 보안팀과Packet Clearing House(PCH), Global Cyber Alliance (GCA)가 함께 운영하는 무료 DNS 보호 서비스로, 피싱 사이트, 악성 IP주소 등을 빠르게 판별하여 링크를 차단합니다.

1. 운영체제, 웹브라우저 등 모든 시스템 및 응용프로그램을 최신 버전으로 업데이트 합니다.

   업데이트만 잘해도 해킹의 90%를 막아 줄 수 있습니다. 자동 업데이트 기능을 통해 수시로 업데이트를 확인하는 번거로움도 해결 할 수 있습니다.

2. 운영체제에서 제공하는 침입차단시스템(Firewall)이 제대로 동작하고 있는지 확인합니다.

OS Firewall을 활성화하고 접근권한을 설정함으로써, SMB(Server Message Block)와 RPC(Remote Procedure Call)를 차단하여 공격자의 내부 침투를 억제할 수 있습니다.

3. 브라우저 추가 기능(add-ons) 및 윈도우 호스트 파일을 점검하고 불필요한 서비스 및 내용을 삭제합니다.

   추가 브라우저 기능에 악성코드가 포함되어 실행될 수 있으며, 공격자는 윈도우 호스트 파일의 DNS를 조작하여 URL Redirection 공격을 실행할 수 있습니다.

4. Wi-Fi 관리계정에 대한 보안을 강화합니다.

   네트워크 칩입으로 크리덴셜 및 데이터를 탈취할 수 있습니다. 관리자의 ID/Password를 권장길이 및 조합규칙을 적용해 강화하고, 주기적으로 허용된 접속자인지를 확인 합니다.

5.  Wi-Fi SSID를 외부에서 보이지 않도록 숨깁니다.

   Service Set Identifier (SSID)는 Wi-Fi를 쉽게 찾기 위해 기본적으로 이름이 공개됩니다. 가정에서 사용하는 경우, 숨기기 기능을 이용하여, 외부에서 보이지 않도록 합니다.

  ※ 원문: 5 steps to make sure hackers cannot access your home network, files

러시아 해킹 그룹인 Evil Corp는 최근 재택근무 중인 직원들의 PC를 악성코드에 감염시킨 후 기업의 네트워크에 침투하는 방식으로, 미국의 주요 31개 기업에 랜섬웨어 “WastedLocker” 공격수행하고 데이터를 유출하였습니다. 31개 기업에는 Fortune 500대 기업도 포함되어 있는 것으로 알려졌습니다.

침해사고를 최초로 보도한 시만텍의 분석결과에 따르면, 해킹과정은 다음과 같습니다.  

- 해커는 약 150개의 웹 사이트를 해킹한 후, 방문할 사용자를 기다림 (워터링 홀 공격)

- 재택 근무자가 해당 웹 페이지에 방문하는 동안, 윈도우를 업데이트하라는 경고 메시지 띄움

- 사용자가 업데이트 메시지를 클릭하는 순간, 랜섬웨어가 포함된 웹 사이트로 리다이렉트

- 사용자 PC는 악성코드 및 렌섬웨어에 감염

- VPN을 통해 회사 네트워크에 접근시, 회사망 및 시스템 감염

Evil Corp는 최근 전세계 40개 국가에 있는 은행들로 부터 100만 달러 이상의 금전적인 이득을 취했으며, 광범위하게 랜섬웨어 공격을 수행하는 전문 해커 집단입니다. 이번 공격에 사용된 WastedLocker는 미국기업과 정부 서비스를 대상으로 한 특화된 해킹도구의 확장판으로, 기업의 VPN을 사용하는 재택 근무자 만을 노렸습니다.

시만텍에 따르면, 이 해커 집단은 수십년의 경력을 가지고 있으며, 단순히 미국의 기업 뿐만 아니라, 향후 더 큰 기업에 더 큰 피해를 줄 수 있다고 강조 하고 있습니다.

  ※ 원문: Russian Criminal Group Finds New Target: Americans Working at Home

사람간의 접촉을 최소화하기 위한 방안으로 비대면 및 비접촉을 뜻하는 언택트(Untact)는 뉴노멀 시대의 핵심 키워드로 자리잡고 있습니다. 금융, 유통, 교통 등의 거의 모든 분야에서 무인화, 셀프 서비스, 자동화 개념을 적용한 언택트 서비스를 도입하고 있습니다.

특히, 금융분야에서는 계좌개설, 대출상담, 공과금 납부 등 여러가지 비대면 서비스를 활발하게 출시하면서, 은행원을 만나지 않고도 거의 모든 업무를 진행 할 수 있습니다. 이러한 언택트 기술의 구현과 서비스 확산이 가능한 이유중의 하나는 스마트 폰과 같은 모바일 단말기기의 보급과 발전이라고 할 수 있습니다.

 - 미국의 모바일 기기를 통한 은행거래는 2019년 대비 75% 증가, 올해 초 대비 50% 증가 (FBI)

모바일 단말기기의 활용성이 증가하면서, 이에 대한 보안위협 또한 증가하고 있습니다. 악성코드가 포함된 앱을 다운로드시 감염되어 개인정보 뿐만 아니라 금융정보 등의 데이터가 유출되거나, 소셜엔지니어링 또는 피싱 등의 공격을 통해 크리덴셜 정보가 유출되기도 합니다.

 - 모바일 뱅킹 앱 사용자 대상 정보(계정정보, 크리덴셜 등)탈취 공격시도 증가 (FBI)

모바일 디바이스 사용시 보안을 강화하기 위한 몇 가지 방안은 다음과 같습니다.

- 다중인증기법 (MFA, Multi-Factor Authentication) 사용

- 모바일 디바이스를 통한 모든 전송데이터에 대한 암호화

- 단일 모바일 디바이스에서만 사용 가능한 인증기법 (지문인식, 얼굴인식 등) 사용

- 모바일 보안 컴플라이언스 또는 회사 모바일 보안정책 준수

※ 참고: The Security Risks of Contactless Payment, FBI warns of increased hacking risk if using mobile banking apps