Cappuccino sapiens

이상거래 탐지시스템(Fraud Detection System, FDS)은 전자금융거래를 노린 사기 행위를 사전에 탐지 및 차단하여 금융거래의 안전성을 향상시키고자, 2013년 이후 금융권에서 도입하여 사용하고 있습니다. FDS는 금융거래에 사용되는 단말기, 접속정보, 거래내용 등을 종합적으로 분석해 의심스러운 거래를 찾아내고 차단합니다. 2014년 카드사의 대규모 고객정보 유출 사태로 인해, FDS에 대한 구축은 빠르게 확산되었습니다.

전자금융 거래량의 증가와 간편결제 수단의 다양화와 더불어 고도화되는 사기수법에 따른 보안위협의 증가는 초기 구축된 FDS에 한계를 나타내게 됩니다. FDS 기술의 변천과정은 다음과 같습니다.

  1단계) 추출 표본 대상으로 이상 징후를 포착하는 색출 샘플링(Discovery Sampling) 방식은 거래량 및 거래과정의 복잡도 증가로 인해 이상거래탐지가 어려워 짐

  2 단계) 컴퓨터 기반의 FDS는 전문가의 사전정의 룰에 의존적인 방식으로 동작방식의 한계에 직면

  3단계) 수학, 통계, 머신러닝 등의 알고리즘을 사용한 데이터마이닝 방식은 사기패턴 발견 등을 자동화함으로써 오탐율을 감소시켰으나, 여전히 한계점을 드러냄

  오탐사례) 회사 부서원 10여 명에게 모바일 뱅킹 송금시 거래 정지 (2015년)

  사고사례) 카카오뱅크, 1분 간격으로 체크카드 도용해 해외 사이트에서 결제 (2017년)

금융권은 이러한 문제점을 해결하기 위해, 인공지능과 머신러닝 기반의 FDS 도입으로 사기행위 탐지율의 정확도 향상, 오탐율 최소화, 실시간 탐지 및 대응 등 대규모 프로젝트를 진행행하고 있으며, FDS와 SoC를 연계해 실시간 모니터링 및 보안포털과의 연계 등 종합적인 대응시스템을 구상하고 있습니다. 하지만, 이러한 대규모 프로젝트는 몇몇 금전적인 여유가 있는 금융회사를 제외하고는 엄두를 낼 수 없는 상황입니다.  

더구나, 최근에 모바일 금융서비스 토스의 부정결제 사건과 대형 보험사의 신분증 위조를 통한 비대면 계좌개설 등 갈수록 교묘해 지고 고도화 되고 있는 사기수법들은 금융권의 보안에 대한 새로운 해법을 고민하게 합니다. 

※ IBM Frau Protection (Trusteer) 는 사용자 접속 패턴 및 바이오 행위 패턴 학습을 통해 크리덴셜 도용을 방지하고, 인공지능에 의한 판단으로 모바일 뱅킹에 대한 사기를 식별하고 오탐을 최소화 합니다. FDS가 사기행위를 판단하기 이전에, 인증정보인 크리덴셜 탈취 및 위조를 식별하여 디지털 사기를 원천적으로 방지합니다. 이는 디지털 사기 오탐 최소화로 고객불만 또한 획기적으로 감소시킴으로써 운영비용을 절감 할 수 있습니다.

제로 트러스트는 기본적으로 그 어떠한 접근에 대해서도 신뢰하지 않는 다는 개념에서 출발하며, 데이터에 접속을 원하는 어떤 것이든 적절한 인증절차를 통해 신원을 확인하는 것을 말합니다. 시스템의 복잡성 증가, (멀티)클라우드 사용증가, 재택근무 환경 등으로 인해 운영환경과 접근하려는 개체가 불명확해지는 상황에서 제로 트러스트는 보안위협을 줄일 수 있는 가장 합리적인 방안으로 대두되고 있습니다.  제로 트러스트를 통해 기본적으로 회사의 보안을 강화할 수 있으며, 추가적으로 다음과 같은 효과를 볼 수 있습니다.

- 트래픽 감소로 인해 네트워크 성능 향상

- 데이터 침해사고에 대한 탐지시간 단축

- 네트워크 오류 감지능력 향상

- 로깅 및 모니터링 절차 단순화

제로 트러스트를 구현하기 위해 가장 우선적으로 고려할 사항은 네트워크를 세분화하는 것입니다. 이는 민감한 정보를 다루는 호스트와 서비스를 일반 망으로부터 분리하는 것을 의미하기도 합니다. 마이크로 세그멘테이션 또한 네트워크들간의 수평적으로 전파될 수 있는 위협을 방어하는 수단이 되기도 합니다. 다음 단계는 시스템 경계를 정의하고, 네트워크의 모든 단일 포인트에 대한 모니터링을 실시하며, 최소한의 데이터 접근원칙에 따라 접근통제 정책을 수립하여 운영합니다.

기업의 보안강화를 위한 제로 트러스트에 대한 적정한 투자는 어느 정도이어야 할까요? 미국의 North Dakota 주는 70%의 제로 트러스트를 통해 가장 강력한 보안을 구현했다고 이야기 하고 있으며, Lexmark International 사는 제로 트러스트를 구현하기 위해 꼬박 2년이 소요되었다고 하기도 합니다.

현재와 같은 팬데믹 상황에서 가장 필요한 제로 트러스트를 전사에 100% 완벽하게 구현하는 것은 현실적으로 무일 수 있습니다. 하지만, 위험분석을 통해 데이터의 중요도에 따라 우선순위를 정하여 점차 이를 확대해 나간다면, 내부적인 기술역량 축적과 더불어 목적을 달성 할 수 있을 것입니다.   

※ 참고

 - Take a Data-Centric Approach to Zero Trust to Protect Your Most Critical Assets

 - Zero Trust in 2020: More Important Than Ever Before

 -  It’s Time to Take a Fresh Look at Zero Trust

클라우드는 기업의 디지털 트랜스포메이션을 위한 가장 합리적인 방안으로 고려되고 있으며, 다양한 형태의 클라우드 서비스가 활용되고 있습니다. Flexera 2020 State of the Cloud Report에 따르면 이미 93%의 기업이 멀티클라우드를 사용하고 있는 것으로 조사하였으며, 가트너 또한 2020년 멀티클라우드 시장이 $266억 달러를 상회할 것으로 예상하고 있습니다.  

퍼블릭 클라우드를 사용하는 10개의 기업 중 8개는 민감한 데이터를 클라우드에 보관하고 있으며, 이 들 중 52%는 데이터 침해사고를 경험한 것으로 조사되었습니다. 멀티클라우드 환경은 단일 클라우드 환경과는 다른 보안대책이 필요합니다. 특히, 흩어져 있는 데이터를 안전하게 보호하기 위한 적합한 보안전략이 고려되어야 합니다. 멀티클라우드 환경에서 데이터 보호를 위한 보안대책에 대해 알아 보겠습니다.

  1. CSP의 보안정책 이해 및 적합한 보안대책 강구

CSP (Cloud Service Provider)는 자신들의 인프라 보호를 위한 보안정책을 수립하여 운용하고 있으며, 고객과는 보안 상호 책임제 (Shared Responsibility Environment)를 통해 보호영역에 대한 책임성을 구분하고 있습니다. PaaS, IaaS 등 서비스 형태에 따라 책임성이 달라지므로, CSP와의 책임영역을 분명히 인식하여야 합니다. 따라서, 기업은 CSP의 보호영역에 대한 충분한 이해를 바탕으로 CSP와 함께 데이터와 어플리케이션 보호를 위한 적합한 솔루션을 논의합니다.

  2. 보안 컴플라이언스 준수

개인정보, 신용정보, 의료정보 등 데이터의 종류 및 사업영역에 따라, 데이터 보안을 위한 요건을 검토합니다. 특히, 클라우드에서 민감한 정보를 다룰 때에는 어느 나라에서나 신중한 결정이 요구됩니다. 따라서, 모든 멀티클라우드의 민감한 정보에 대해서는 데이터의 성격을 분석하고 그에 합당한 컴플라이언스 요건을 만족시키는지 검토하며, 내부 컨트롤이 가능한 서버에 저장하여 관리 합니다.

  3. 접근권한 관리 및 통제

데이터에 대한 접근계정이 많으면 많을 수록 그 만큼 오용 가능성과 보안 위험성은 증가하게 됩니다. 따라서, 최소한의 접근계정을 발급하고 IAM (Identity and Access Management)를 통해 적절한 권한관리 및 모니터링을 수행합니다.

  4. 가시성 확보

클라우드 속성상 제한 없는 서비스 플랫폼의 확장은 전체 운영환경에 대한 가시성을 확보하기에 어렵게 합니다. 가시성은 전체 네트워크 환경을 파악하고 관찰하여, 즉각적인 문제해결을 위해 반드시 필요합니다. 따라서, 멀티클라우드 환경에 적합한 고도화된 모니터링 솔루션을 도입하고 자동화된 대응기법을 통해, 신속한 침해사고 예방 및 대응을 수행합니다.

  5. 취약점 관리

응용프로그램과 소프트웨어는 해킹기술의 발전 및 운영환경에 따른 잠재적인 취약점을 가지고 있습니다. 따라서, 주기적으로 보안 취약점을 진단하고 제거할 필요가 있습니다. 취약점 스캐너와 더블어 위협 인텔리전스 솔루션을 이용할 경우, 최신의 보안위협 정보를 활용해 효과적인 데이터 보호를 수행할 수 있습니다.

  6. 지난 데이터 보호

대부분의 보안 솔루션은 실시간으로 거래되는 데이터를 보호하기 위한 용도에 사용되고 있습니다. 지난 데이터의 경우, 데이터 레이블 등 관리 소홀로 인해 상대적으로 보안위협에 노출될 가능성이 높습니다. 따라서, 기존 데이터라 할지라도 데이터 파악 및 레이블링을 통해 관리하고, DLP (Data Loss Prevention), 암호화 솔루션 등을 통해 데이터 유출에 대비합니다.

※ 원문: Securing Data in a Multicloud Environment

※ 세미나 사전등록: Containers and Data Security Webinar

빠르게 변하는 인터넷 속도와 IT환경으로 인해, IT시스템 또한 빠르게 교체되어 가고 있습니다. 그렇다고 모든 시스템을 일시에 교체할 수 만은 없는 실정이다 보니, 기존 시스템과 최첨단 시스템이 공존하게 되는 경우가 종종 발생하고 있습니다.

이러한 레거시 시스템은 보안정책의 통제에서 벗어난 쉐도우 IT가 되거나,  SSO, MFA 등 새로운 보안기술을 적용하기에 적합하지 않은 H/W 또는 S/W로 인해 개선된 보안정책 적용이 곤란한 경우도 있습니다. 이로 인한 보안헛점은 해킹 및 데이터 유출 등 조직의 보안위협의 요인이 되기도 합니다. 따라서, 레거시 시스템은 교체되기 전까지 최소한의 적절한 보안대책을 통해 관리될 필요가 있습니다.

모든 레거시 서버를 위한 보안관리

  1. 보안위협 분석 및 보안대책 마련을 위한 보안취약점 분석을 실시합니다.

  2. 레거시 시스템에 대한 위치와 운영환경을 조사합니다.

  3. 레거시 시스템이 관리하고 있는 데이터의 유형에 대해 조사합니다.

  4. 조사한 결과를 기반으로 레거시 시스템을 목록화 합니다.

  5. 데이터 및 시스템의 중요도에 따라 대체 가능한 우선순위를 정합니다.

  6. 각 서버와 응용서비스에 대한 담당자를 지정하여 관리합니다.

인터넷이 연결되지 않은 레거시 서버 보안관리

  1. 가능한 적용할 수 있는 최신의 보안패치를 진행합니다.

  2. 불필요한 응용프로그램 및 서비스 제거, 접근통제 정책 적용, 운영체제 업데이트 등을 통해 운영체제에 대한 보안을 강화합니다.

  3. 접근이 필요한 인원과 접근권한 및 등급을 주기적으로 점검하여 조정합니다.  

  4. 현재 시스템을 지원할 수 있는 컴퓨터 백신을 설치하여 운영합니다.

  5. 가능하면, 파일 무결성 보호 솔루션이나 호스트 기반 F/W 또는 IPS/IDS등을 설치하여 운영합니다.

  6. 주기적으로 데이터 백업을 실시합니다.

인터넷이 연결된 레거시 서버 보안관리

  1. 즉시, 서버를 교체 합니다. 단기적인 교체가 불가능한 경우, 아래의 보안조치를 이행합니다.    

  2. 웹서버인 경우, 서비스의 특성을 반영한 적합한 웹방화벽을 설치합니다.

  3. 보관중인 데이터 및 접근경로에 대한 위험관리 평가를 실시하고, 민감한 데이터가 있는 경우 이전을 계획합니다.

  4. 주기적으로 취약점 진단을 실시하고, 취약점을 제거합니다.

5. 운영을 최소화하여, 발생할 수 있는 트래픽을 제한 합니다.   

※ 원문: Updating Legacy Systems Amid Growing Cybersecurity Concerns

전력, 행정, 금융 등 국가 기반시설이 정보통신기술을 도입함에 따라, 정보통신망 및 서비스에 대한 해킹, DDoS 공격 등 사이버공격에 노출되었으며, 국가기밀 정보를 비롯해 개인정보 등의 정보유출은 물론, 네트워크 지연 및 마비 등 지속적으로 피해가 발생하였습니다. 이러한 사이버공격은 사회 전반에 걸쳐 광범위한 피해를 유발할 뿐만 아니라 국가안보와 사회 안전에 중대한 위협을 미칠 우려가 있습니다. 이에 따라, 정부는 국가적으로 중요한 시설을 보호하기 위해, 2001년「정보통신기반 보호법」을 제정하여 범정부적 대응체계를 구축하였습니다.

정보공유분석센터(ISAC, Information Sharing & Analysis Center)는 금융, 통신 등 분야별 정보통신 기반시설을 보호하기 위해 구축 및 운영을 장려하고 있습니다. 주요 역할로는 기반시설의 취약점 분석·평가 등 기술지원, 취약점 및 침해요인과 그 대응방안에 대한 정보제공, 침해사고 발생시 실시간 예·경보체계 운영 등이며, 세부 업무에 대해서는 기관별 특성에 따라 정하도록 하고 있습니다.

정보공유분석센터 구축시 15인 이상의 기술인력(5인 이상의 고급인력 포함)을 갖추고, 업무수행을 위한 시설과 장비, 정보보호 정책(시설보안, 인력보안, 문서보안 등)을 구비하여야 하며, 과학기술정보통신부의 승인을 받아야 합니다. 현재 구축 및 운영 중인 정보공유분석센터는 정보통신 ISAC, 금융 ISAC, 행정 ISAC, 전력계통 ISAC 등이 있으며, 지난해 11월 의료 ISAC(Healthcare-ISAC or H-ISAC)이 개소하였습니다.

의료 ISAC의 설립은 의료기관 IT환경 변화에 따른 보안위협의 증가와 환자진료 기록, 진료비 결제정보, 증명서 발급에 따른 개인정보 등 대량의 환자정보에 대한 유출위험성에 따른 대응조치 입니다. 정부는 개인정보 점검/관리, 의료정보시스템의 보안기준 수립 등 의료기관에 대한 보안 컴플라이언스를 강화하고 있습니다.

   - 의료기관 92.1%, 병원급 이상 95.4%가 전자의무기록(EMR) 사용 (2015년 기준)

   - 환자 질병정보 저장시스템(OCS), 영상정보 전송시스템 (PACS) 등 의료 정보시스템 활용도 증가

의료 ISAC은 「의료법」에 명시된 의료기관 또는 의료기관 단체를 회원사로 하며, 주요 서비스는 보안관제, 정보공유, 침해대응, 교육 및 훈련 등 입니다.

  - 보안관제: 기관의 의료정보시스템, 네트워크 등 IT자원의 손상을 방지하기 위한 실시간 사이버 위협 모니터링 및 대응

  - 정보공유: 회원 간 사이버 위협정보를 신속·정확하게 공유하고, 회원의 원활한 정보보호 활동을 수행하는데 유용한 정보 제공

  - 챔해대응: 보안관제 중 침해사고가 현장조사, 자료수집·분석, 복구지원 등 기술지원

  - 보안교육: 매년 정보보호 교육 및 훈련 계획수립 및 체계적인 교육 및 모의훈련 프로그램 제공

※ 참조: 의료기관 공동보안관제센터(https://www.hisac.or.kr/site/main/home)

일반적으로 의료정보에는 환자의 진료정보는 물론, 주민번호, 은행계정, 신용카드 정보 등 거의 모든 개인정보를 포함하고 있어, 해커의 입장에서는 일반정보 보다 훨씬 가치가 있으며, 공격 대상이 되기도 합니다. 보안업체인Trustwave에 따르면, 다크웹에서 은행계정 및 신용정보가 레코드당 5.40달러인데 비해, 의료정보는 레코드당 250달러에 거래되고 있다고 밝혔습니다.

2020 Verizon 보고서에 의하면, 의료시스템에 대한 피싱 및 소셜 엔지니어링 공격은 지속적으로 증가하고 있는 추세이며, 의료정보 침해사고는 피싱 공격과 크리덴셜 정보 탈취를 위한 악성코드 감염으로 2019년 대비 두배나 증가한 것으로 나타났습니다.  

 - 데이터 침해사고는 2016년 대비 2019년에 3배 증가

 - 2020년, 의료정보 침해사고는 71% 증가, 이중 43%는 피싱 및 악성코드 감염에 기인

 - 컴퓨터 해킹 중 70%는 외부자에 의한 소행, 55%는 범죄조직에 의한 소행

 - 밝혀진 침해사고 중 86%는 금전적인 목적

 - 약 90%는 취약한 패스워드 또는 훔친 크리덴셜 정보를 이용한 무작위 대입공격(Brute-force attack)

해커는 금전적인 이득을 취하기 위해 보안에 취약한 부분을 공략하여 성공할 때까지 끊임없이 공격을 시도할 것입니다. 의료정보를 보호하기 위한 기업의 보안대책에 대해 알아보겠습니다.

균형 있는 침해사고 예방 및 대응 시스템 구축
조직은 언제든지 침해사고를 당할 수 있으며, 이때 무엇을 준비해야 할 것인지에 대한 대책이 필요합니다. 침해사고는 실시간으로 발생하게 되며, 초기에 이를 탐지하고 적절하게 대응하지 못할 경우, 30%의 추가 대응비용이 발생합니다. 따라서, 침해사고 분석, 탐지 및 대응, 사후관리 기능이 균형 있게 다루어 지고 있는지 검토가 필요가 있습니다.    

 - 의료분야의 침해사고 탐지와 대응은 전체적으로 향상되었으나, 수개월 동안 파악되지 않은 침해사고가 25% 이상 (Verizon 2020 Report)

보안 컴플라이언스 준수 이상의 보안강화
의료보안을 위한 컴플라이언스에는 HIPAA (Health Insurance Portability and Accountability Act), HITRUST (Health Information Trust)  등이 있습니다. 고객들은 의료정보를 다루는 기관이 정확하게 보안 컴플라이언스를 준수하는지에 따라, 해당 기관에 대한 신뢰성을 판단하려 할 것입니다. 하지만, 컴플라언스는 최소의 보안 요구사항을 제시하는 것으로, 각 기관의 운영환경에 적합한 보안대책을 강구하고, 지속적인 보안역량(인력, 기술, 재정)을 키워야 합니다.

사이버 침해사고 대응 모의 훈련을 통한 보안인식 제고
보안인식이 결여된 직원들로 인해, 침해사고가 발생하기도 합니다. 최근에 발생하고 있는 피싱공격은 아주 간단한 보안인식 문제로 인해 발생하고 있습니다. COVID-19 보조금 지원 등과 같은 피싱메일은 아주 매력적인 아이템 입니다. 이러한 직원들을 위해, 피싱메일 모의훈련과 같은 침해사고 대응 훈련을 통해 직원들의 보안인식을 일깨워 줄 필요가 있습니다.

원격근무로 업무환경이 전환되고, 직원들 또한 개인정보는 물론 환자정보를 다루게 됨에 따라, 직원들의 재택근무환경에 대한 보안과 직원들의 보안인식에 대한 비중이 커지고 있습니다. 업무환경 변화에 따른, 조직의 변화된 운영환경을 정확히 진단하고, 적절한 보안대책을 강구할 필요가 있습니다.

※ 원문: 3 Ways to Flatten the Health Data Hacking Curve

정보통신망법 45조의 3에 의하면, 정보통신서비스 제공자(ISP)는 정보보호 최고책임자(CISO/CSO)를 지정하게 되어 있다.

기업에서 정보보호에 대한 책임·필요성과 보안인력의 지위를 높이는 계기가 될 것으로 기대되고 있으며, CISO/CSO의 충족요건상 기존의 낙하산성 인사에서 보안전문가들이 요직으로 옮길 수 있는 좋은 기회이기도 하다. 

지난해 말부터 관련기업에서는 CISO/CSO를 채용하는 공고가 올라오고 있으며, 주변 인물들이 서서히 이동하고 있다는 소식을 듣는다. 

다만, 몇몇 기업의 경우 외부적으로는 임원급이나 기업내 대우나 처우는 그렇지 않은 것이 아쉬운 부분이다. 

IT에 비해 보안이라는 분야가 약 10년 정도 뒤늦게 출발했기 때문에, 보안전문가들이 기업의 요직을 당장에 차지하는 것은 한국기업 문화를 고려할때 쉽지 않은 일일 것이다.

올해 삼성이 프라나브 미스트리(38)를 실력과 성과를 기반으로 전무(최연소)로 승진시켰던 것 같이, 기업의 정보를 보호하는 중대한 역할과 책임지고 있는 보안책임자에 대한 처우에 대해 재고할 필요가 있다.

2000년도 초반, 영국의 IT기업에 방문 한적이 있었다. 그 기업은 업무망과 인터넷망을 물리적으로 분리하고, 인터넷망에는 침입차단솔루션을 설치하여 운영하고 있었다. 당시에는 현재와 같이 보안기술과 솔루션이 충분하지 않았기 때문에, 물리적 망분리가 그나마 최선이라고 판단한 것이다. 20년이 지난 현재, 대한민국은 금융권 등 일부 사이트에서는 아직도 물리적 망분리를 고집하고 있다. 보안시스템 평가·인증, 암호모듈 검증, 보안적합성 검증 등 보안성과 안전성을 검증하는 다양한 제도가 있음에도 불구하고, 물리적 망분리를 고집하는 것은 이러한 검증제도 자체를 부정하는 것이나 다름 없다. 물리적 망분리로 인해 디지털혁신으로 가는 진화의 흐름을 역행하지 말아야 한다. By 

In early 2000, I visited an IT company in the UK. The company deployed physical network segregation between a business network and an internet network. There weren't enough security technologies and solutions available at the time, so it was a comprehensive security measure. Twenty years later, South Korea is still insisting on physical network segregation at some sites, including the financial sector. In the digital transformation era, physical segregation is not the best way to protect IT assets.

http://m.ddaily.co.kr/m/m_article/?no=189850