Cappuccino sapiens

Docker Hub(https://hub.docker.com/)는 사용자들이 공식적으로 도커 이미지를 공유하는 저장소로, 기존 도커를 내려 받은 후 재가공하여 재공유가 가능한 플랫폼입니다.

2019년 4월 비금융권 사용자 계정을 저장하는 일부 저장소에 허가되지 않은 사용자가 접속하여19만명의 계정을 유출하였습니다. Docker Hub 계정유출 사고는 전체 도커 계정의 5%에 달하지만, 유출된 계정에 토큰과 접속키(Access Key)가 포함되어 있어, 인증우회, 생산 공정상 악성코드 삽입, 상품코드 복제 등의 추가 피해 우려되었습니다.

Docker측은 빠르게 사용자들의 토큰을 폐지하고 패스워드를 리셋 시켰습니다. 이러한 과정에서 사용자들은 접속키를 재생성하고 로그파일을 통해 잠재적인 악성행위를 판별해야하는 큰 불편을 겪어야만 했습니다. Docker는 명확한 침해경위에 대한 설명이 없었으며, 이 공격은 인증정보인 크리덴셜 공격이나 관련 서버의 침투에 의한 것으로 유추하고 있습니다.

이러한 컨테이너 침해에 대비하기 위한 방안은 다음과 같습니다.

컨테이너 가시성 강화

컨테이너는 운영체제 레벨에서 프로그램을 가상화하는 기술로, Linux의 프로세스 분리기능을 통해 동일한 커널에서 여러 컨테이너를 실행하여 오버 헤드를 줄입니다. 따라서, 컨테이너들간의 소통채널인 inter-process 통신채널 뿐만 아니라 컨테이너내에 발생하는 이벤트에 대한 모니터링을 실시합니다. 호스트기반 IDS를 통해 비정상적인 행위나 워크로드의 변경 이벤트를 탐지합니다.

백업, 데이터 암호화, 이미지 스캐닝

신뢰할 수 있는 저장소에 추가적인 백업공간을 확보하고 주기적인 백업을 진행합니다. 데이터의 암호화 및 해쉬를 통해 변경을 감시하고 데이터 유출시에 대비합니다. 이미지 스캐닝 도구를 사용하여 컨테이너에 삽입된 악성코드의 삽입을 탐지합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

페이스북의 가장 큰 장점 중에 하나는 외부에서 제공되는 매력적인 다양한 앱들을 제공한다는 것입니다. 하지만, 페이스북 사용자 입장에서는 새로운 데이터 침해 경로가 추가되는 셈입니다. 외주 제작의 앱들의 경우, 페이스 북과 동일한 수준의 보안관리 또는 데이터 관리를 하지 않는 경우가 있습니다. 보안 전문업체인 UpGuard에 따르면, 멕시코의 디지털 미디어 회사인 Cultura Colectiva는 AWS 서버 보안관리 실수로 인해 5억 4천만명 이상의 페이스북 사용자 정보를 유출시켰습니다. 이들 레코드에는 상세한 프로필 정보를 포함해, 사용자 ID, 계정 이름 등도 포함되어 있었습니다.

유사한 기간에 “At the Pool” 이란 앱을 통해 약 22천개의 패스워드가 AWS S3에서 유출됐으며, 유출 당시 S3는 보안이 적용되지 않았으며, 패스워드 역시 암호화 되지 않은 상태였습니다. 사용자는 한번 세팅한 패스워드는 여러 사이트에서 재사용하기 때문에, 패스워드는 다크웹에서 흔히 거래되는 아이템으로 크리덴셜 스터핑에 사용되기도 합니다. 다행인 것은 “At the Pool”은 최근 5년동안 운영이 되지 않았기 때문에, 패스워드의 유효성은 낮았을 것으로 판단됩니다. 이렇듯, 보안이 허술한 기업과의 연동은 또 다른 보안 홀을 만들 수 있습니다.

위와 같은 침해사고에 대한 대책으로는 다음과 같습니다.

보안설정 값 진단 및 관리

네트워크 및 보안장비, WEB/WAS/DB 서버, PC, 어플리케이션 등의 중요한 보안 설정이 올바로 설정되어 있는지를 진단하는 것처럼, IaaS 설정 또한 보안 요구조건을 만족하고 있는지를 주기적으로 점검하고 수정합니다.  

환경설정 오류 예방 및 불충분한 변경제어 관리

접근권한 관리, 디폴트 값 변경 등의 설정을 진행하는 과정에서 발생할 수 있는 오류 및 설정 값들 사이의 불일치성에 대해 확인하고 수정하며, 주기적인 관리감독이 필요합니다. 컴플라이언스 진단도구와 같은 비용효과적인 편리한 관리도구를 활용하여 네트워크 인프라, 하드웨어, ID 관리에 대한 설정 값들을 주기적으로 확인하고 보안 모범사례를 적용합니다.

데이터 흐름 통제 및 암호화

데이터 경로 분석 및 통제, 비즈니스 파트너 심사, 데이터 보존 기한 심사 등 강력한 데이터 보안통제를 통해 보안사고 발생시 내·외부의 영향력을 최소화 시킵니다. 또한, 데이터 암호화를 통해 침해사고로 인한 데이터 유출을 차단합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

지난 2019년 한해는 클라우드 보안에 있어 정말 험난한 한해였으며, 서비스 측면에서 중대한 변화가 요구되는 시기였습니다. 최근 가트너는 클라우드 보안에 대한 재평가를 통해 ”고객의 실수로 인한 클라우드 보안장애가 99%에 달할 것이다.“ 라고 경고한 바 있습니다. 이는 조금 과장되었기도 하지만, 클라우드가 미래 경제의 핵심이라는 부정할 수 없는 상황에서, 클라우드 보안은 진일보적인 기술로의 진화를 견고히 하기 위한 필수 요소임을 강조한 것이라고 볼 수 있습니다.

데이터는 과거의 그 어느 때보다도 많이 축적되어 가고 있으며, 클라우드는 이러한 데이터의 무한한 증가를 부축이고 있습니다. 이러한 데이터의 증가로 인해 보안 이벤트 또한 기하급수적으로 증가하고, 이는 기존의 보안기술로 해결하기에는 역부족임을 깨닫게 합니다.

가트너는 이러한 현상에 대해 ”퍼블릭 클라우드 사용을 통제하지 못하는 조직 중 90%는 민감한 데이터를 부적절하게 다루고 있다“ 고 이야기 하고 있습니다. 불행히도 이러한 회사들은 자사 브렌드에 치명적인 악영향을 주게 될 것이며, 법적인 책임 또한 무겁게 짊어지게 될 것입니다.

국제적으로 데이터의 중요성과 개인정보 침해에 대한 이해도가 높아짐에 따라, 각 정부는 시민들의 권리를 보장하기 위한 법적인 규제를 더욱 강화하고 있습니다. 따라서, 데이터가 모여있는 클라우드 보안은 필연적인 과제이며, 향후에도 지속적으로 문제를 도출하고 해결방안에 대해 고민이 필요합니다. 우선적으로 지난 보안사고를 되짚어 보고, 어떻게 해결 했는지에 대한 모범사례에 대해 학습할 필요가 있습니다.

지난해 발생한 대표적인 5가지 보안사고는 아래와 같으며, 각 보안사고에 대해 어떻게 대응했는지 살펴 보도록 하겠습니다.

  1. 4월 2일, 페이스북 (Cultura Colectiva)

   - 침해 규모: 540,000 레코드 (146 GB)

  2. 4월 25일, Docker Hub

   - 침해 규모: 190,000 accounts

  3. 5월 20일, Instagram (Chtrbox)

   - 침해 규모: 49 백만 레코드

  4. 7월 29일, Capital One

   - 침해 규모: 8만 은행 계좌, 1백만 이상 정부ID

  5. 9월 13일, Autoclerk

   - 침해 규모: 10만 명의 예약자 정보(약 179 GB)

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

매년 Cloud Security Alliance (CSA)는 클라우드에 대한 핵심 보안위협과 취약점들에 대한 이해를 돕고 보안경각심을 고취하고자 “Top Threats to Cloud Computing”을 발간하고 있습니다. 최근 버전인 ” Top Threats to Cloud Computing: Egregious Eleven”에서는 11개의 주요 클라우드 보안위협과 보안대책에 대해 소개하고 있습니다.

보고서에 따르면, 기존의 클라우드 서비스에서 발생하는 DDoS, 기술 취약점, 데이터 손실 등과 같은 보안문제는 감소한 반면, 사용자의 운영과정에서 발생하는 환경설정 오류, 불충분한 접근통제 등으로 인한 보안사고가 증가하고 있는 것으로 나타났습니다.

디지털 트렌스포메이션을 가속화하기 위해 클라우드는 필수 불가결한 서비스로서, 이제는 클라우드의 보안위협에 대해 충분히 이해하고 준비할 필요가 있습니다. 다음은 ”Egregious 11“에서 소개된 11가지의 클라우드 보안위협 중 상위 6가지의 보안위협에 대해 살펴보겠습니다.

1. 데이터 침해 (Data Breach)

평균 데이터 침해의 평균 비용은 3.92백만달러에 달하며, 클라우드로 데이터가 집중 됨에 따라 개인정보를 포함한 데이터 관리에 있어 가장 큰 클라우드 보안위협으로 대두되고 있습니다.

2. 환경설정 오류 및 불충분한 변경 제어 (Misconfiguration and Inadequate Change Control)

과도한 접근권한 부여 및 디폴트 값 미변경 등을 포함하며, 데이터 수정·유출 등 침해와 서비스 정지 등의 원인이 됩니다. 클라우드의 동적인 특성으로 인해 이러한 환경설정 및 변경제어를 어렵게 하는 경향이 있습니다.

3. 클라우드 보안 구조 및 전략설정 미흡 (Lack of Cloud Security Architecture and Strategy)

사이버 공격을 방어할 수 있는 클라우드 보안구조나 보안전략에 대한 준비 없이 성급한 클라우드로의 이전은 전방위적인 데이터 손실을 유발할 수 있습니다. 또한 클라우드 보안 책임공유모델에 대한 불충분한 이해 또한 침해사고에 대한 준비 부족의 원인이 됩니다.

4. 불충분한 신원, 자격증명, 접근, 키 관리 (Insufficient Identity, Credential, Access and Key Management)

클라우드 환경에서 사람 뿐만 아니라 응용프로그램 및 기기에 대한 인증을 포함하는 특권자격에 대한 증명은 절대적으로 강력한 요소이며 공격의 주요 타깃이 되고 있습니다. 일단 공격자가 특권 인증정보를 얻게 되면, 클라우드의 민감정보를 포함해 모든 데이터에 접근이 가능하며 모든 통제권을 갖게 됨을 의미합니다.

5. 계정 탈취 (Account Hijacking)

공격자는 클라우드의 특권 사용자 계정을 탈취하기 위해, 지속적으로 취약점을 분석하고 피싱 등의 공격을 통해 목적을 달성하려 합니다. 탈취된 계정을 통해 서비스 접근이 가능하며, 데이터 삭제는 물론 서비스 운영에 중대한 장애의 요인이 됩니다.

6. 내부자 위협 (Insider Threats)

악의적인 내부자는 임직원, 퇴사자, 외주인력 등 현재의 시스템에 접근이 가능하며, 자신의 권한을 이용해 조직에 해를 끼치는 사용자를 의미합니다. 내부자는 합법적인 접근권한을 소유하고 있기 때문에 누가 위협원이 될지를 사전에 판단하는 것은 쉬운 일이 아니며, 이를 판단하기 위해 많은 비용이 수반됩니다. Ponemon 연구보고서에 따르면, 내부자 보안위협으로 인한 피해액은 최근 2년 동안 31%나 증가했으며, 약 11.45백만달러에 달한다고 합니다.

그 외 보고서에서 소개된 클라우드 보안위협은 다음과 같습니다.

7. Insecure Interfaces and APIs

8. Weak Control Plane

9. Metastrurcture and Applistructure Failures

10. Limited Cloud Usage Visibility

11. Abuse and Nefarious Use of Cloud Services

※ 원문: The Egregious 11: Examining the Top Cloud Computing Threats

내부자 위협은 의도적이든 의도적이지 않든 회사의 자산에 불법적으로 접근하여 피해를 주는 것을 말합니다. 내부자는 현재 직원만을 의미하지 않으며, 퇴사자, 외주 인력, 파트너사 직원 등 회사의 시스템 또는 데이터에 접근할 수 있는 누구나를 의미합니다.

연구결과에 따르면, 내부자 위협은 기업의 데이터 침해사고의 약 60% 정도로 상당히 많은 부분을 차지하고 있으며, 그 비용 또한 외부자에 의한 피해비용 대비 높은 것으로 알려졌습니다. Ponemon의 ‘2018 Cost of Insider Threats’에 따르면, 연평균 내부자 위협의 비용은 $8.76백만달러로, 같은 기간 데이터 침해사고의 연평균 비용 $3.86백만 달러 대비 약 2.3배나 높게 나타났습니다.

내부자들은 이미 합법적인 내부 정보에 접근이 가능하며, 어디에 중요한 데이터가 있는지, 그리고 어떻게 권한상승을 하는지 등 오랜 기간의 관찰과 경험을 통해 잘 파악하고 있기 때문에, 내부자 위협을 사전에 발견하고 대응하는 일은 쉬운 일이 아닙니다. 보안전문가들에 따르면 내부자의 기본적인 행위에 대한 파악이 부족하고, 특권사용자에 대한 관리부족으로 인해 발생하고 있다고 말합니다. (2019, SANS report on advanced threats)

내부자 위협은 침해동기, 보안 인식, 접근 등급, 의도에 따라 분류될 수 있으며, 가트너는 위협을 제공하는 내부자를 졸개(Pawn), 저능아(Goof), 협력자(Collaborator), 단독범(lone wolf)으로 구분하였습니다.

  - 졸개: 스피어 피싱 또는 소셜 엔지니어링 등으로 인해 악성코드에 감염되어 내부 시스템 및 데이터로 침투경로를 제공하거나 인증정보인 크리덴셜을 탈취당해 2차적인 침해사고를 유발

  - 저능아: 조직의 보안정책에 관심이 없거나 종종 보안정책을 무시하여 편의적으로 시스템을 우회. 약 95%의 직원이 보안통제 우회를 시도하고, 내부자 침해사고의 90%가 이들에 의해 발생

  - 협력자: 경쟁사 또는 정부지원 해커 등 외부 공격자와 협력하여, 외부에서 내부로 접속 할 수 있도록 경로를 개방하여 데이터 유출을 도와 주며, 주로 산업기밀 정보나 고객정보를 탈취

  - 단독범: 외부와의 협업 또는 간섭없이, 조직에 악의적 감정을 가지고 피해를 주기 위해 단독으로 범행을 수행하며, 특히 시스템 또는 DB 관리자 등과 같은 높은 등급의 계정사용자로 변심이 크게 작용

내부자 위협을 방어하기 위해서는 SIEM (Security Information and Event Management) 및  UEBA(User and Entity Behavior Analytics) 등의 솔루션을 통해 데이터 접근기록과 사용자의 행위를  모니터링하고 분석하여 이상행위를 탐지하고 대응합니다. 특히, 멀티 클라우드 및 하이브리드 클라우드 등 시스템의 복잡성이 증가하고 데이터 및 관리포인트가 분산됨에 따라, 데이터 접근에 대한 특권 사용자(API, 응용 프로그램, 계정 등)의 효율적 관리를 위해 IAM (Identity and Access Management) 솔루션을 활용합니다. IAM을 SIEM과 연동할 경우, 내부 사용자의 이상행위를 실시간으로 모니터링하고 즉각적인 대응을 수행합니다.

※ 원문: What Are Insider Threats and How Can You Mitigate Them?

※ IBM Security solution

  - Qradar: 가장 심각한 위협에 대한 인사이트를 제공하는 지능형 보안 분석 플랫폼 - 데이터 위치와 상관없이 클라우드 환경에서 구매 및 배포 가능한 SIEM 솔루션

  - Security Verify Access: 증, 권한 부여된 액세스 관리, ID 거버넌스 및 액세스 관리, 액세스 권한 부여, 싱글 사인온 제공, 다단계 인증 등의 기능을 수행하는 IAM 솔루션

 - Resilient: 기 구현된 보안 및 IT 기술을 쉽고 빠르게 통합하며, 중요한 인텔리전스 및 인시던트 컨텍스트 제공을 통해 복잡한 공격을 민첩하고 정확하게 차단하는 SOAR 플랫폼

클라우드는 기업의 디지털 트랜스포메이션을 위한 가장 합리적인 방안으로 고려되고 있으며, 다양한 형태의 클라우드 서비스가 활용되고 있습니다. Flexera 2020 State of the Cloud Report에 따르면 이미 93%의 기업이 멀티클라우드를 사용하고 있는 것으로 조사하였으며, 가트너 또한 2020년 멀티클라우드 시장이 $266억 달러를 상회할 것으로 예상하고 있습니다.  

퍼블릭 클라우드를 사용하는 10개의 기업 중 8개는 민감한 데이터를 클라우드에 보관하고 있으며, 이 들 중 52%는 데이터 침해사고를 경험한 것으로 조사되었습니다. 멀티클라우드 환경은 단일 클라우드 환경과는 다른 보안대책이 필요합니다. 특히, 흩어져 있는 데이터를 안전하게 보호하기 위한 적합한 보안전략이 고려되어야 합니다. 멀티클라우드 환경에서 데이터 보호를 위한 보안대책에 대해 알아 보겠습니다.

  1. CSP의 보안정책 이해 및 적합한 보안대책 강구

CSP (Cloud Service Provider)는 자신들의 인프라 보호를 위한 보안정책을 수립하여 운용하고 있으며, 고객과는 보안 상호 책임제 (Shared Responsibility Environment)를 통해 보호영역에 대한 책임성을 구분하고 있습니다. PaaS, IaaS 등 서비스 형태에 따라 책임성이 달라지므로, CSP와의 책임영역을 분명히 인식하여야 합니다. 따라서, 기업은 CSP의 보호영역에 대한 충분한 이해를 바탕으로 CSP와 함께 데이터와 어플리케이션 보호를 위한 적합한 솔루션을 논의합니다.

  2. 보안 컴플라이언스 준수

개인정보, 신용정보, 의료정보 등 데이터의 종류 및 사업영역에 따라, 데이터 보안을 위한 요건을 검토합니다. 특히, 클라우드에서 민감한 정보를 다룰 때에는 어느 나라에서나 신중한 결정이 요구됩니다. 따라서, 모든 멀티클라우드의 민감한 정보에 대해서는 데이터의 성격을 분석하고 그에 합당한 컴플라이언스 요건을 만족시키는지 검토하며, 내부 컨트롤이 가능한 서버에 저장하여 관리 합니다.

  3. 접근권한 관리 및 통제

데이터에 대한 접근계정이 많으면 많을 수록 그 만큼 오용 가능성과 보안 위험성은 증가하게 됩니다. 따라서, 최소한의 접근계정을 발급하고 IAM (Identity and Access Management)를 통해 적절한 권한관리 및 모니터링을 수행합니다.

  4. 가시성 확보

클라우드 속성상 제한 없는 서비스 플랫폼의 확장은 전체 운영환경에 대한 가시성을 확보하기에 어렵게 합니다. 가시성은 전체 네트워크 환경을 파악하고 관찰하여, 즉각적인 문제해결을 위해 반드시 필요합니다. 따라서, 멀티클라우드 환경에 적합한 고도화된 모니터링 솔루션을 도입하고 자동화된 대응기법을 통해, 신속한 침해사고 예방 및 대응을 수행합니다.

  5. 취약점 관리

응용프로그램과 소프트웨어는 해킹기술의 발전 및 운영환경에 따른 잠재적인 취약점을 가지고 있습니다. 따라서, 주기적으로 보안 취약점을 진단하고 제거할 필요가 있습니다. 취약점 스캐너와 더블어 위협 인텔리전스 솔루션을 이용할 경우, 최신의 보안위협 정보를 활용해 효과적인 데이터 보호를 수행할 수 있습니다.

  6. 지난 데이터 보호

대부분의 보안 솔루션은 실시간으로 거래되는 데이터를 보호하기 위한 용도에 사용되고 있습니다. 지난 데이터의 경우, 데이터 레이블 등 관리 소홀로 인해 상대적으로 보안위협에 노출될 가능성이 높습니다. 따라서, 기존 데이터라 할지라도 데이터 파악 및 레이블링을 통해 관리하고, DLP (Data Loss Prevention), 암호화 솔루션 등을 통해 데이터 유출에 대비합니다.

※ 원문: Securing Data in a Multicloud Environment

※ 세미나 사전등록: Containers and Data Security Webinar

빠르게 변하는 인터넷 속도와 IT환경으로 인해, IT시스템 또한 빠르게 교체되어 가고 있습니다. 그렇다고 모든 시스템을 일시에 교체할 수 만은 없는 실정이다 보니, 기존 시스템과 최첨단 시스템이 공존하게 되는 경우가 종종 발생하고 있습니다.

이러한 레거시 시스템은 보안정책의 통제에서 벗어난 쉐도우 IT가 되거나,  SSO, MFA 등 새로운 보안기술을 적용하기에 적합하지 않은 H/W 또는 S/W로 인해 개선된 보안정책 적용이 곤란한 경우도 있습니다. 이로 인한 보안헛점은 해킹 및 데이터 유출 등 조직의 보안위협의 요인이 되기도 합니다. 따라서, 레거시 시스템은 교체되기 전까지 최소한의 적절한 보안대책을 통해 관리될 필요가 있습니다.

모든 레거시 서버를 위한 보안관리

  1. 보안위협 분석 및 보안대책 마련을 위한 보안취약점 분석을 실시합니다.

  2. 레거시 시스템에 대한 위치와 운영환경을 조사합니다.

  3. 레거시 시스템이 관리하고 있는 데이터의 유형에 대해 조사합니다.

  4. 조사한 결과를 기반으로 레거시 시스템을 목록화 합니다.

  5. 데이터 및 시스템의 중요도에 따라 대체 가능한 우선순위를 정합니다.

  6. 각 서버와 응용서비스에 대한 담당자를 지정하여 관리합니다.

인터넷이 연결되지 않은 레거시 서버 보안관리

  1. 가능한 적용할 수 있는 최신의 보안패치를 진행합니다.

  2. 불필요한 응용프로그램 및 서비스 제거, 접근통제 정책 적용, 운영체제 업데이트 등을 통해 운영체제에 대한 보안을 강화합니다.

  3. 접근이 필요한 인원과 접근권한 및 등급을 주기적으로 점검하여 조정합니다.  

  4. 현재 시스템을 지원할 수 있는 컴퓨터 백신을 설치하여 운영합니다.

  5. 가능하면, 파일 무결성 보호 솔루션이나 호스트 기반 F/W 또는 IPS/IDS등을 설치하여 운영합니다.

  6. 주기적으로 데이터 백업을 실시합니다.

인터넷이 연결된 레거시 서버 보안관리

  1. 즉시, 서버를 교체 합니다. 단기적인 교체가 불가능한 경우, 아래의 보안조치를 이행합니다.    

  2. 웹서버인 경우, 서비스의 특성을 반영한 적합한 웹방화벽을 설치합니다.

  3. 보관중인 데이터 및 접근경로에 대한 위험관리 평가를 실시하고, 민감한 데이터가 있는 경우 이전을 계획합니다.

  4. 주기적으로 취약점 진단을 실시하고, 취약점을 제거합니다.

5. 운영을 최소화하여, 발생할 수 있는 트래픽을 제한 합니다.   

※ 원문: Updating Legacy Systems Amid Growing Cybersecurity Concerns

일반적으로 의료정보에는 환자의 진료정보는 물론, 주민번호, 은행계정, 신용카드 정보 등 거의 모든 개인정보를 포함하고 있어, 해커의 입장에서는 일반정보 보다 훨씬 가치가 있으며, 공격 대상이 되기도 합니다. 보안업체인Trustwave에 따르면, 다크웹에서 은행계정 및 신용정보가 레코드당 5.40달러인데 비해, 의료정보는 레코드당 250달러에 거래되고 있다고 밝혔습니다.

2020 Verizon 보고서에 의하면, 의료시스템에 대한 피싱 및 소셜 엔지니어링 공격은 지속적으로 증가하고 있는 추세이며, 의료정보 침해사고는 피싱 공격과 크리덴셜 정보 탈취를 위한 악성코드 감염으로 2019년 대비 두배나 증가한 것으로 나타났습니다.  

 - 데이터 침해사고는 2016년 대비 2019년에 3배 증가

 - 2020년, 의료정보 침해사고는 71% 증가, 이중 43%는 피싱 및 악성코드 감염에 기인

 - 컴퓨터 해킹 중 70%는 외부자에 의한 소행, 55%는 범죄조직에 의한 소행

 - 밝혀진 침해사고 중 86%는 금전적인 목적

 - 약 90%는 취약한 패스워드 또는 훔친 크리덴셜 정보를 이용한 무작위 대입공격(Brute-force attack)

해커는 금전적인 이득을 취하기 위해 보안에 취약한 부분을 공략하여 성공할 때까지 끊임없이 공격을 시도할 것입니다. 의료정보를 보호하기 위한 기업의 보안대책에 대해 알아보겠습니다.

균형 있는 침해사고 예방 및 대응 시스템 구축
조직은 언제든지 침해사고를 당할 수 있으며, 이때 무엇을 준비해야 할 것인지에 대한 대책이 필요합니다. 침해사고는 실시간으로 발생하게 되며, 초기에 이를 탐지하고 적절하게 대응하지 못할 경우, 30%의 추가 대응비용이 발생합니다. 따라서, 침해사고 분석, 탐지 및 대응, 사후관리 기능이 균형 있게 다루어 지고 있는지 검토가 필요가 있습니다.    

 - 의료분야의 침해사고 탐지와 대응은 전체적으로 향상되었으나, 수개월 동안 파악되지 않은 침해사고가 25% 이상 (Verizon 2020 Report)

보안 컴플라이언스 준수 이상의 보안강화
의료보안을 위한 컴플라이언스에는 HIPAA (Health Insurance Portability and Accountability Act), HITRUST (Health Information Trust)  등이 있습니다. 고객들은 의료정보를 다루는 기관이 정확하게 보안 컴플라이언스를 준수하는지에 따라, 해당 기관에 대한 신뢰성을 판단하려 할 것입니다. 하지만, 컴플라언스는 최소의 보안 요구사항을 제시하는 것으로, 각 기관의 운영환경에 적합한 보안대책을 강구하고, 지속적인 보안역량(인력, 기술, 재정)을 키워야 합니다.

사이버 침해사고 대응 모의 훈련을 통한 보안인식 제고
보안인식이 결여된 직원들로 인해, 침해사고가 발생하기도 합니다. 최근에 발생하고 있는 피싱공격은 아주 간단한 보안인식 문제로 인해 발생하고 있습니다. COVID-19 보조금 지원 등과 같은 피싱메일은 아주 매력적인 아이템 입니다. 이러한 직원들을 위해, 피싱메일 모의훈련과 같은 침해사고 대응 훈련을 통해 직원들의 보안인식을 일깨워 줄 필요가 있습니다.

원격근무로 업무환경이 전환되고, 직원들 또한 개인정보는 물론 환자정보를 다루게 됨에 따라, 직원들의 재택근무환경에 대한 보안과 직원들의 보안인식에 대한 비중이 커지고 있습니다. 업무환경 변화에 따른, 조직의 변화된 운영환경을 정확히 진단하고, 적절한 보안대책을 강구할 필요가 있습니다.

※ 원문: 3 Ways to Flatten the Health Data Hacking Curve