Cappuccino sapiens

IBM Security의 년간 보고서 “Cost of a Data Breach Report”에 따르면, 최근 6년간의 데이터 침해사고로 인한 지출 비용은 약 10% 증가한 것으로 나타났습니다. 반면, 최근 524건의 데이터 침해사고를 분석한 결과, 2020년의 데이터 침해사고 지출 비용은 지난해 보다 약간 적은 것으로 나타났습니다. 기업들의 데이터 침해사고 지출 비용을 절감할 수 있는 방안에 대해 알아 보도록 하겠습니다.

침해사고 대응 자동화 및 역량강화

SIEM, AI, 머신러닝, SOAR 등을 도입하여 기존의 침해사고 대응인력들이 할 수 있는 업무를 자동화하고, 대응팀 직원에 대한 교육·훈련을 통한 역량강화로 침해사고 비용을 절감할 수 있습니다.

- 침해사고 대응 자동화를 구축한 조직($2.45M)은 그렇지 않은 조직($6.03M) 대비 $3.58M 적게 지출

- 침해사고 대응팀의 역량을 강화한 조직($3.29M)은 그렇지 않은 조직($5.29M) 대비 $2M 절약

침해사고 대응기간 단축

데이터 침해사고 비용에 영향을 미치는 요소는 직접적인 피해금액 뿐만 아니라, 침해사고 분석 및 대응을 위한 기간, 고객 이탈, 컴플라이언스 위반관련 배상 및 벌금 등 간접적인 비용도 포함하고 있습니다. 따라서, 침해사고 이후에 빠른 대응과 서비스 복구 능력이 비용에 중대한 영향을 주게 됩니다.

2020년 침해사고 생명주기는 200일이 조금 미치지 못했으며, 이때 평균 비용은 $3.21M 이었습니다. 침해사고 생명주기가 200일을 넘게 되면 비용은 $4.33M로 약 30% 증가하는 것으로 나타났습니다.

클라우드 이전 및 전문지식 배양

클라우드 구성오류는 빈번한 데이터 침해의 원인이 되며, 이와 관련한 공격이 19%를 차지하고 있습니다. 또한, 많은 기업들이 클라우드로 이전하는 동안 데이터 침해사고를 경험하고 있으며, 평균 침해사고 비용보다 $0.27M 많은 $4.13M를 지출 하는 것으로 나타났습니다.

클라우드 이전은 서비스의 운영 효율성 뿐만 아니라 보안성을 강화할 수 있는 방안이 됩니다. 클라우드를 통해 가시성을 강화하고 보안시스템의 복잡성을 낮춤으로써, 침해사고에 대한 생명주기를 줄일 수 있습니다. 클라우드 이전에 대한 준비가 충분하지 않은 기업의 경우, 전문 MSS (Managed Security Service)를 통해 도움을 받을 수도 있습니다.

※ 관련기사: 3 Biggest Factors in Data Breach Costs and How To Reduce Them

지난 2019년 한해는 클라우드 보안에 있어 정말 험난한 한해였으며, 서비스 측면에서 중대한 변화가 요구되는 시기였습니다. 최근 가트너는 클라우드 보안에 대한 재평가를 통해 ”고객의 실수로 인한 클라우드 보안장애가 99%에 달할 것이다.“ 라고 경고한 바 있습니다. 이는 조금 과장되었기도 하지만, 클라우드가 미래 경제의 핵심이라는 부정할 수 없는 상황에서, 클라우드 보안은 진일보적인 기술로의 진화를 견고히 하기 위한 필수 요소임을 강조한 것이라고 볼 수 있습니다.

데이터는 과거의 그 어느 때보다도 많이 축적되어 가고 있으며, 클라우드는 이러한 데이터의 무한한 증가를 부축이고 있습니다. 이러한 데이터의 증가로 인해 보안 이벤트 또한 기하급수적으로 증가하고, 이는 기존의 보안기술로 해결하기에는 역부족임을 깨닫게 합니다.

가트너는 이러한 현상에 대해 ”퍼블릭 클라우드 사용을 통제하지 못하는 조직 중 90%는 민감한 데이터를 부적절하게 다루고 있다“ 고 이야기 하고 있습니다. 불행히도 이러한 회사들은 자사 브렌드에 치명적인 악영향을 주게 될 것이며, 법적인 책임 또한 무겁게 짊어지게 될 것입니다.

국제적으로 데이터의 중요성과 개인정보 침해에 대한 이해도가 높아짐에 따라, 각 정부는 시민들의 권리를 보장하기 위한 법적인 규제를 더욱 강화하고 있습니다. 따라서, 데이터가 모여있는 클라우드 보안은 필연적인 과제이며, 향후에도 지속적으로 문제를 도출하고 해결방안에 대해 고민이 필요합니다. 우선적으로 지난 보안사고를 되짚어 보고, 어떻게 해결 했는지에 대한 모범사례에 대해 학습할 필요가 있습니다.

지난해 발생한 대표적인 5가지 보안사고는 아래와 같으며, 각 보안사고에 대해 어떻게 대응했는지 살펴 보도록 하겠습니다.

  1. 4월 2일, 페이스북 (Cultura Colectiva)

   - 침해 규모: 540,000 레코드 (146 GB)

  2. 4월 25일, Docker Hub

   - 침해 규모: 190,000 accounts

  3. 5월 20일, Instagram (Chtrbox)

   - 침해 규모: 49 백만 레코드

  4. 7월 29일, Capital One

   - 침해 규모: 8만 은행 계좌, 1백만 이상 정부ID

  5. 9월 13일, Autoclerk

   - 침해 규모: 10만 명의 예약자 정보(약 179 GB)

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

내부자 위협은 의도적이든 의도적이지 않든 회사의 자산에 불법적으로 접근하여 피해를 주는 것을 말합니다. 내부자는 현재 직원만을 의미하지 않으며, 퇴사자, 외주 인력, 파트너사 직원 등 회사의 시스템 또는 데이터에 접근할 수 있는 누구나를 의미합니다.

연구결과에 따르면, 내부자 위협은 기업의 데이터 침해사고의 약 60% 정도로 상당히 많은 부분을 차지하고 있으며, 그 비용 또한 외부자에 의한 피해비용 대비 높은 것으로 알려졌습니다. Ponemon의 ‘2018 Cost of Insider Threats’에 따르면, 연평균 내부자 위협의 비용은 $8.76백만달러로, 같은 기간 데이터 침해사고의 연평균 비용 $3.86백만 달러 대비 약 2.3배나 높게 나타났습니다.

내부자들은 이미 합법적인 내부 정보에 접근이 가능하며, 어디에 중요한 데이터가 있는지, 그리고 어떻게 권한상승을 하는지 등 오랜 기간의 관찰과 경험을 통해 잘 파악하고 있기 때문에, 내부자 위협을 사전에 발견하고 대응하는 일은 쉬운 일이 아닙니다. 보안전문가들에 따르면 내부자의 기본적인 행위에 대한 파악이 부족하고, 특권사용자에 대한 관리부족으로 인해 발생하고 있다고 말합니다. (2019, SANS report on advanced threats)

내부자 위협은 침해동기, 보안 인식, 접근 등급, 의도에 따라 분류될 수 있으며, 가트너는 위협을 제공하는 내부자를 졸개(Pawn), 저능아(Goof), 협력자(Collaborator), 단독범(lone wolf)으로 구분하였습니다.

  - 졸개: 스피어 피싱 또는 소셜 엔지니어링 등으로 인해 악성코드에 감염되어 내부 시스템 및 데이터로 침투경로를 제공하거나 인증정보인 크리덴셜을 탈취당해 2차적인 침해사고를 유발

  - 저능아: 조직의 보안정책에 관심이 없거나 종종 보안정책을 무시하여 편의적으로 시스템을 우회. 약 95%의 직원이 보안통제 우회를 시도하고, 내부자 침해사고의 90%가 이들에 의해 발생

  - 협력자: 경쟁사 또는 정부지원 해커 등 외부 공격자와 협력하여, 외부에서 내부로 접속 할 수 있도록 경로를 개방하여 데이터 유출을 도와 주며, 주로 산업기밀 정보나 고객정보를 탈취

  - 단독범: 외부와의 협업 또는 간섭없이, 조직에 악의적 감정을 가지고 피해를 주기 위해 단독으로 범행을 수행하며, 특히 시스템 또는 DB 관리자 등과 같은 높은 등급의 계정사용자로 변심이 크게 작용

내부자 위협을 방어하기 위해서는 SIEM (Security Information and Event Management) 및  UEBA(User and Entity Behavior Analytics) 등의 솔루션을 통해 데이터 접근기록과 사용자의 행위를  모니터링하고 분석하여 이상행위를 탐지하고 대응합니다. 특히, 멀티 클라우드 및 하이브리드 클라우드 등 시스템의 복잡성이 증가하고 데이터 및 관리포인트가 분산됨에 따라, 데이터 접근에 대한 특권 사용자(API, 응용 프로그램, 계정 등)의 효율적 관리를 위해 IAM (Identity and Access Management) 솔루션을 활용합니다. IAM을 SIEM과 연동할 경우, 내부 사용자의 이상행위를 실시간으로 모니터링하고 즉각적인 대응을 수행합니다.

※ 원문: What Are Insider Threats and How Can You Mitigate Them?

※ IBM Security solution

  - Qradar: 가장 심각한 위협에 대한 인사이트를 제공하는 지능형 보안 분석 플랫폼 - 데이터 위치와 상관없이 클라우드 환경에서 구매 및 배포 가능한 SIEM 솔루션

  - Security Verify Access: 증, 권한 부여된 액세스 관리, ID 거버넌스 및 액세스 관리, 액세스 권한 부여, 싱글 사인온 제공, 다단계 인증 등의 기능을 수행하는 IAM 솔루션

 - Resilient: 기 구현된 보안 및 IT 기술을 쉽고 빠르게 통합하며, 중요한 인텔리전스 및 인시던트 컨텍스트 제공을 통해 복잡한 공격을 민첩하고 정확하게 차단하는 SOAR 플랫폼