Cappuccino sapiens

지난 6월 3일, Verizon에서는 13번째로 Data Breach Investigations Research (DBIR)에 관한 보고서를 발간했습니다. 81개 기관이 참여했으며, 총 32,002개의 공격시도를 분석하여 3,950건의 데이터 침해사고를 밝혀냈습니다. 데이터 침해사고를 통해 분석한 주요 통계는 다음과 같습니다.

- 내부자 공격이 외부자에 의한 공격보다 많다고 생각하겠지만, 외부자의 공격이 70%로 상당히 높게 나타남

- 금전적 이득을 위한 공격이 86%로 대다수를 차지했으며, 스파성 해킹은 10%로 낮게 나타남

- 침해사고의 67%는 인증정보 탈취, 사회공학적 공격 (피싱, 비즈니스 이메일 악용 등), 오류로 인해 발생

- 랜섬웨어는 멀웨어 사고 중 27%를 차지하며, 기업의 18% 는 적어도 하나의 랜섬웨어를 차단

- 웹을 통한 공격이 43%로 지난해 대비 두배 이상 증가하였으며, 이중 80% 이상의 공격은 인증정보를 탈취하거나 무작위 인증시도 공격 이었음. 웹 취약점을 악용한 공격은 20% 보다 낮게 나타남

본 보고서를 통해 데이터 침해사고에 대한 흐름을 파악하고, 기업은 이를 통해 효과적인 보안투자를 계획 할 수 있습니다. 즉, 증가하고 있는 인증정보 탈취, 웹을 통한 공격은 그 만큼 공격자들에게 효과적이고, 성공 가능성이 높다는 것을 의미합니다. 따라서, 기업은 가장 많은 비중을 차지하는 3가지 원인 (인증정보 탈취, 사회공학적 공격, 오류)에 대해 잘 대처할 필요가 있으며, 이를 통해 효과적인 데이터 침해사고 예방체계를 구축할 수 있습니다. 또한, 지속적으로 발생하고 있는 랜섬웨어에 대한 예방은 물론, 침해사고 이후에 피해를 최소화하기 위한 대응체계 구축이 필요합니다. 

※ 보고서: Verizon’s 2020 Data Breach Investigations Report (DBIR)

기업의 보안체계가 강화되면서, 외부와의 접점에 있는 이메일 또는 SNS를 공략하는 피싱공격이 증가하고 있습니다. 피싱은 이메일에 악성코드를 첨부하거나 위조된 가짜 홈페이지로 유도하여, 인증정보인 크리덴셜을 탈취 또는 악성코드에 감염시켜 랜섬웨어 공격을 하게 됩니다.

 - 지난 3년간 국내 APT 공격은 40회(전세계 7위) 발생했으며, 피싱은 65%에 달함 (KISA, 2019)

 - 2013년 부터 2018년 까지 기업메일사기(BEC)  공격으로 전 세계에서 120억 달러 이상의 피해 발생 (FBI)

 - 피싱공격 주요 표적 사이트: Microsoft, PayPal, DHL, Dropbox, DocuSign, LinkedIn (Akamai 피싱공격의 위협 보고서, 2019)

피싱공격은 위험한 IP 주소 또는 위조된 도메인을 구분하고 차단하는 것만으로도 효과적인 방어를 할 수 있습니다. 시중에는 간단한 설정만으로도 피싱공격을 예방할 수 있는 무료 서비스가 있습니다. 그 중에서 Quad9을 소개합니다.

Quad9은 위협 인텔리전스를 제공하는 IBM X-Force, DNS 서버 인프라를 제공하는Packet Clearing House(PCH), 그리고 Global Cyber Alliance (GCA)가 공동으로 제공하는 무료 DNS 보호 서비스로, 피싱 사이트 또는 악성 IP주소 여부를 빠르게 판별하여 링크를 차단합니다.

 - 하루 평균 약 6천만개의 사이트 차단

 - 18개 이상의 위협 인텔리전스 제공자와 협업

 - 90개 국가에서 150개의 DNS Security server 운영

Quad9의 적용은 별도의 설치 없이, 다음과 같이 간단한 설정만으로 가능합니다. 

 1) 윈도우 제어판의 ‘네트워크 및 인터넷’ -> ‘네트워크 및 공유센터’ 선택

 2) 네트워크 인터페이스 설정 오픈 -> TCP/IPv4 설정 오픈

 3) DNS 서버 주소 사용 입력창에 ‘9.9.9.9’ 입력 <= DNS Security 서버

 4) 설정화면의 ‘확인’ 버튼 클릭

회사의 보안통제에서 벗어난 재택 및 원격근무 환경에서 Quad9은 효과적인 피싱 예방수단이 될 수 있습니다. 무료로 제공되는 Quad9에 대한 소개와 동작방법은 홈페이지 (https://www.quad9.net/)에서 확인 하실 수 있습니다.

※ IBM X-Force 전세계 133개 국가에서 하루 350만개 이상의 이벤트를 모니터링하고, 발생하는 최신 보안위협을 선별하여 핵심정보와 분석보고서를 제공합니다.

 - 하루 130만개 이상의 스팸과 피싱 공격 모니터링

 - 85만개 이상의 악성 IP 주소 리스트 관리

 - 11.3만개 이상의 문서화된 취약점 리스트 관리

 - 수백만개의 고유 악성코드 샘플 관리

 - X-Force Threat Intelligence Index 보고서 발간 (매년)

성과가 좋은 기업 55%는 전사 차원의 사이버보안 사고 대응 계획 (CSIRP, Cyber Security Incident Response Plan)을 수립 및 운영하나, 전체 기업 중 77%는 CSIRP와 기업의 업무환경이 서로 불일치 - IBM 조사 –

COVID-19과 같은 갑작스런 업무환경 변화를 빠르게 보안정책에 반영하여 기업의 업무환경과 일관성 유지 필요.

 - 원격근무를 위한 회사 또는 개인 단말기 (PC, 노트북, 태블릿, 스마트폰 등), 공개 Wi-Fi (자택, 카페 등) 환경에 대한 Zero Trust정책

     ※ 올해 2월 이후, 화상회의, 원격 접근, VPN 등의 솔루션 사용률이 84% 증가

 - 전사 IT시스템, 보안 시스템, 데이터 흐름변화에 대한 파악 및 감지

 - 보안업무 영역확대에 따른 보안팀의 업무변화 및 연속성 보장

 - 추가 보안위협에 대한 빠른 대응 및 조직의 서비스 복구 능력 향상

    ※ 펜데믹 기간, 스팸건수 60배 증가, WHO로 위장한 메일발송 등 정교화된 해킹기법 구사 

 - 보안 컴플라이언스 변화에 대한 모니터링 및 위반사항 적발

변화된 해킹기법 및 전략은 실시간 위협분석·탐지, 보안위협의 사내·외 확산 방지, 침해사고 발생시 신속한 의사결정 및 빠른 서비스 정상화 등 보안 운영절차와 보안 컴플라이언스 변경에 영향을 미치게 됨에 따라,

보안정책은 이러한 변화를 감지하고, 신속한 검토 및 변경, 그리고 일관된 적용이 수반되어야 함.

환경변화에 따른 탄력성 있는 보안정책 구현을 위해, 침해사고 예방 및 대응체계에 대한 운영프로세스의 단일화 및 자동화, 보안 컴플라이언스에 대한 변화 모니터링 및 위반점검 자동화를 구현하고, AI 등 첨단기술 도입을 위한 보안인력의 기술능력 배양이 필요.

  ※ 관련기사: 일관성 있는 보안 정책의 핵심 키는 '자동화'

※ IBM Resilient Incident Response Platform(IRP)은 인시던트 대응 프로세스를 조정하고 자동화하기 위한 업계 최고의 플랫폼입니다. 조직에 이미 구현된 보안 및 IT 기술을 쉽고 빠르게 통합하며, 중요한 인텔리전스 및 인시던트 컨텍스트 제공을 통해 복잡한 공격을 민첩하고 정확하게 차단합니다.  

COVID 19으로 인한 우리의 일상은 많은 변화를 요구하고 있습니다. 최근 여러 자료를 통해 언급되고 있는 앞으로의 변하게 될 모습들에 대해 모아 봤습니다.   

 - 근무환경의 변화 – 재택근무 및 화상회의 증가

 - 전세계 대형 컨퍼런스 및 세미나의 온라인 전환

 - 언택트 서비스 증가 및 가속화: 온라인 쇼핑, 실감형 키오스크, 비대면 서비스, 원격진료

 - 일상의 변화: 홈트레이닝, 홈트, 홈짐의 증가

 - 클라우드 서비스 가속화

 - 4차 산업혁명 가속화: Big Daga, AI, IoT, AR/VR

 - 사이버 레질리언스 개념 확장

이러한 변화는 새로운 정보기술과 서비스 도입을 요구하고 있으며, 이로 인한 보안 헛점을 고려하지 않을 수 없습니다. 기존의 IT보안은 성을 보호하는 해자 및 성벽을 구축하는 것과 같은 경계 방어 모델이었다면, 원격 및 재택근무는 이러한 모델을 적용하기에는 어려움이 있습니다. 즉, 다양한 외부 디바이스의 접속, 오픈 네트워크 환경으로의 접근, 접근통제  및 인증 정책의 변화, 보안인식 교육 확장, 경계보안 강화 등 회사의 보안은 기존의 통제범위를 크게 확장하고 있습니다.

제로 트러스트는 어떠한 것도 신뢰할 수 없다는 기본 개념으로 시작하여, 전통적인 사이버보안에 변화를 줄 수 있는 모델로 받아 들이고 있습니다. 제로 트러스트를 구축하기 전 사전작업이 필요합니다.

 - 모든 IT와 데이터 자산을 목록화

 - 데이터 분류 및 역할에 따른 접근권한 할당

 - 네트워크 영역별 분리 및 수평적 이동 금지

 - 알려진 취약점 제거

제로트러스트 구현을 위해 적용할 세가지 기술은 아래와 같습니다.

  - 다중인증 (MFA, Multifactor Authentication) 메커니즘: 디바이스, 코드 텍스트 등을 통해 기존의 패스워드 방식을 대체할 수 있는 기술로, 보다 안전한 인증기법 제공

  - SDN (Software Defined Networking) 기술: 통해 산재된 네트워크와 트래픽의 가시성  (Visualization)를 강화하고, 일관된 보안정책 적용

   - IAM (Identity and Access Management): 다양한 응용프로그램, 서버, 네트워크 인증 및 이기종 간의 인증을 통합관리하고, 사용자 인증에 대한 일괄적이며 빠른 적용 가능

  ※ 참고:  It’s Time to Take a Fresh Look at Zero Trust

※ IBM IAM: 인증, 권한 부여된 액세스 관리, ID 거버넌스 및 액세스 관리, 액세스 권한 부여, 디바이스에서 싱글 사인온 제공, 다단계 인증을 사용하여 보안 강화, 사용자 라이프사이클 관리 사용 및 권한 부여된 계정 보호 등의 작업을 수행할 수 있습니다.

2016년 대선 당시 러시아 해커의 개입과 북한 및 중국 등 국가의 지원을 받는 해커들의 활동이 미국의 중요 기반시설과 경제에 영향을 미치면서, 미국은 자국의 사이버 영역에 중대한 영향을 미칠 수 있는 사이버 공격에 대한 방어 전략을 수립하고 공감대를 형성하기 위해, 2019년 John S. McCain 미 국방수권법 (National Defense Authorization)에 따라 사이버공간 솔라리움 위원회 (Cyberspace Solarium Commission, CSC)를 설립 하였습니다.

사이버 공격에 대한 미국의 전략적 접근 방안을 개발할 목적으로 설립된 CSC는 미국 국가정보 담당 부국장, 국토안보부 차관, 국방부 차관, FBI 국장 등 국가의 핵심 기관의 실무자들이 주요 멤버로 활동하고 있습니다.

올해 3월 CSC는 그 결과 보고서 (CSC Final Report)를 발표 하였으며, 심층적인 사이버 억제력 전략을 위해 6개의 큰 틀(80개의 권고사항)로 구성하고 있습니다.

  1. 사이버공간을 위한 미국 정부의 구조와 조직 재편

  2. 규범과 비군사적 도구 강화

  3. 국가의 회복력 증진

  4. 사이버 생태계 재구성

  5. 민간부문과 사이버 보안협력 운영

  6. 군사 기기의 보존과 도입

특히, 5번 항목인 민간부문과의 사이버 보안협력은 공공과 민간의 협력을 통해 사이버침해로 부터 국가의 회복력(Resilience)을 높이는데 중점을 두고 있으며, 다음과 같이 네 가지 항목으로 구분하고 있습니다.

  1. 사이버 억제력 (Focus on Deterrence) 강화

     - 사이버공간의 책임성 있는 이용을 촉진

     - 사이버공격으로 인한 이익 부정

     - 미국을 상대로한 사이버공격자에 대한 비용 징수

  2. 계적인 중요 기반시설에 대한 지원

     - 정부의 사이버 위협 및 공격정보 공유

     - 사이버 공격의 예방과 대응에 대한 정부의 적극적인 지원

  3. 사이버 위협에 대한 상황인식 유지

     - 보안인식 제고를  위한 공공 및 민간의 정보공유

     - 공공과 민간의 사이버위협 정보 및 협력을 위한 협의체 구성

  4. 민간과공공영역의 사이버 방어노력의 통합

     - 공공과 민간의 통합 사이버 공동 대응센터 구축

     - 공동 대응 절차 및 체계 구축

 ※ 관련자료: What Enterprises Can Expect Following the Cyberspace Solarium Commission Report

 ※ 관련자료: Cyberspace Solarium Commission (CSC), https://www.solarium.gov/home

※  IBM Resilient 보안 오케스트레이션, 자동화 및 대응(SOAR): 사이버 복원성을 촉진하고 보안 인시던트에 대해 보호하며 인시던트 대응 속도를 개선합니다. (IBM Resilient Site)

경제가 어려워 질 수록 사이버 공격이 증가한다는 통계가 있었 듯, 최근에 여러 보안 전문기관을 통해 그러한 결과가 수치로 나타나고 있습니다. 맥아피에 따르면, COVID-19 Pandemic 동안 클라우드 기반 서비스에 대한 사이버 공격이 6배 이상 증가하였으며, 구글과 마이크로 소프트 또한 동일한 기간에 금융, 컨설팅, 헬스케어 등의 분야에 이메일 피싱과 랜섬웨어 공격이 증가했다고 보고하고 있습니다.

기업이 네트워크 시스템에 대한 보안을 강화함에 따라, 해커는 외부에 노출되어 있으며 외부와 직접적인 채널을 갖는 이메일을 통한 공격 기법을 선호하고 있습니다. 이메일은 서비스 인증계정으로 사용할 뿐만 아니라, 동일한 이메일 계정을 여러 소셜 계정에서도 사용하고 있기 때문에, 한번 이메일 계정 크리덴셜이  유출되면 연쇄적으로 피해를 볼 수 있으며, BEC (Business Email Compromise)로도 악용될 수 있습니다.

 ※ BEC: 기업의 이메일 계정을 도용하여 임직원 또는 거래관계의 기업 등을 대상으로 사기행각을 벌이는 행위

구글은 최근 보고서를 통해 인도에 기반을 둔 여러 해킹 서비스 기업(Hack-for-hire firms)들이  WHO (World Health Organization)를 위장하여 미국, 영국, 바레인 등에 위치한 금융, 컨설팅, 헬스케어 분야의 고위층을 대상으로 한 이메일 계정 크리덴셜 탈취시도가 있었다고 보고하고 있습니다.

해커는 WHO에서 보낸 이메일인처럼 위장하기 위해, COVID-19 관련 정보와 공격자의 웹사이트로 유도하는 링크정보를 포함하며, 공격자의 웹사이트는 구글계정 크리덴셜과 전화번호를 입력하도록 하는 가짜 구글 인증 사이트로 위장하여 정보를 탈취합니다.

이메일 계정 크리덴셜 탈취 공격은 보안 키 (Secret key)나 바이오 인증 등을 포함한 MFA (Multi-Factor Authentication), 피싱 차단 솔루션, 임직원 보안교육 등 보안을 강화함으로써 예방할 수 있습니다.

※ IBM Cloud Identity: 싱글사인온(SSO), MFA, ID 관리를 통해 보안성을 강화하고 생산성을 향상시킵니다. 다수의 커넥터가 함께 제공되어 SaaS 앱을 빠르게 이용하고, 사전 작성된 템플리트로 사내 앱을 손쉽게 통합하고 통제할 수 있습니다.

디지털 코인으로 인한 익명성이 강화되고 다크웹 등 암시장이 확대되면서, 해커의 활동은 금전적인 이득을 위해 더욱 대담해 지고 있습니다. 돈만 주면 무엇이든지 하는 해킹 서비스(Hack for Hire) 또한 전문적이며 조직화 되어 가고 있습니다.

ACM (Association for Computing Machinery)은 지난해 10월, 해커들을 고용하여 미리 만들어 놓은 가상의 계정을 해킹하도록 요청했으며, 어떻게 해커들이 접근하는지에 대한 연구를 진행했습니다.

- 대부분의 해킹 서비스는 러시아어로 광고를 하고 있으며, 러시아어로 거래

- 비용은 메일계정 서비스 업체의 보안수준에 따라 다르며, 건당 23달러에서 500달러 정도

- 대부분의 공격방식은 사용자에 피싱메일을 발송하여 위장된 사이트로 클릭을 유도

- 사용자를 유도하기 위한 발신지로 구글, 개인, 정부, 은행 등으로 위장

- 계정리셋 요청을 통한 계정 탈취, 법원 출두 등 긴급한 내용을 통해 악성코드 다운로드 공격수행

- 사용자가 링크를 통해 계정을 리셋할 경우, SMS 기반의 2FA를 우회할 수 있음

해킹 실험결과에서와 같이, 현재 많이 패스워드 방식을 보완하기 위해 많이 사용하고 있는 패스워드와 SMS통한 인증기법 또한 해커에 의해 충분히 뚫릴 수 있음을 보여주고 있습니다. Secret Key나 바이오 정보를 통한 인증방식 등 보다 안전한 인증방식으로 전환할 필요가 있습니다.   

※ 관련기사: Hack for Hire (https://queue.acm.org/detail.cfm?id=3365458)

※ IBM Cloud Identity: 싱글사인온(SSO), 다중 요소 인증, ID 관리를 통해 보안성을 강화하고 생산성을 향상시킵니다. 다수의 커넥터가 함께 제공되어 SaaS 앱을 빠르게 이용하고, 사전 작성된 템플리트로 사내 앱을 손쉽게 통합하고 통제할 수 있습니다.

어제는 기업의 이메일 계정을 사칭한 BEC (Business Email Compromise)에 대해 알아봤습니다. 놀랍게도 이와 관련된 사건들로 인해 국내의 업체들이 피해를 보는 사건들이 있었습니다. KOTRA의 '2018/2019 무역사기 발생 현황 및 대응방안' 보고서에 따르면 2015년 이후 총 358건의 무역사기 중 이메일과 관련된 사기는 약 28%(99건)로 최대 비중을 차지하고 있습니다.

특히, 국제간 무역거래에서 발생하는 대금탈취 사기사건의 경우, 단순히 양국간의 문제 뿐만 아니라, 송금계좌가 제 3세계(브라질 등)로 지정되어 있는 경우, 수사와 보상이 쉽지 않습니다.  

기존의 이메일 변조 형태가 메일계정에서 단순히 계정의 철자 또는 숫자를 변경하거나 유사 도메인을 사용하는 방식이었다면, 최근의 이메일 계정 해킹은 공격 대상의 이메일로그인 정보를 탈취하여 가짜 인보이스를 보내거나 악성코드를 설치하여 크리덴셜 정보를 빼내는 정교한 방식을 이용하고 있습니다.

   - 사례1) 지난 2월 A사는 한국에 정박 중이던 독일 선박에 기자재와 유지보수 서비스를 제공 후 한화 약 3300만 원의 대금을 지급받지 못함. 해커는 국내기업 A사의 이메일 계정을 해킹해 인보이스 내 계좌정보 위조.  독일 선사는 3월 중순 해커가 바꿔치기 한 홍콩 계좌로 대금 송금

- 사례2) 2018년도에는 인도에서 A가 H사의 수출대금 83,000달러에 대해 송금을 진행 중, 해커로 추정되는 자가 H사를 사칭하여 "최초 제출한 H사 은행계좌는 감사로 인해 당분간 수취불가하므로, 변경된 계좌(멕시코)로 송금해 달라"는 위조된 메일 발송. A사는 위조된 은행계좌로 송금하며, H사의 재송금에 대해 H사가 발행한 공문과 지정 에이전트의 요청에 따라 변경된 계좌로 송금을 완료 하였으므로 지급의무가 종료되었으며, 재송금 불가 통보한 상태

※ 출처: Kotra 해외시장 뉴스, 중소기업 울리는 신종 이메일 해킹

※ IBM Security: 통합 엔드포인트 보안관리 솔루션인 MaaS 360은 모든 단말(PC, 태블릿, 스마트폰, IoT 디바이스 등)의 멀티팩터 인증, 프로그램 및 데이터에 대한 보안관리(보안업데이트, 사용자 권한관리, 프로그램 사용 이력관리 등), 디바이스 보안관리 기능을 제공합니다. (MaaS 360웹사이트)