1. 최신 사이버 공격 동향
지난해와 마찬가지로 올해에도 보안은 IT 투자의 최우선 과제로 손꼽혔습니다. Red Hat의 2023 글로벌 기술 전망 리포트에 따르면 3대 우선 투자 분야 중 보안이 가장 첫 번째 순서라고 답한 사람은 전체에 44%였는데, 모든 지역과 거의 모든 산업에서 동일하게 나타났습니다. 일반적으로 보안은 여러 범주 내에서 최우선 투자 분야로 손꼽혔고, 클라우드 보안은 클라우드 인프라와 관련해서 최우선 투자 분야로 손꼽혔습니다.
반면, IBM의 연례 보고서인 X-Force Threat Intelligence Index에 따르면 지난해 전체 사이버 공격 중, 31%가 아시아 태평양 지역에서 발생했습니다. 2021년 (26%)에 이어 전 세계에서 가장 많은 사이버 공격을 받는 곳이 아시아 태평양 지역인 것으로 나타난 것입니다. 특히 아시아 태평양 지역에서는 제조업(48%)과 금융 및 보험업(18%)을 타겟으로 한 공격이 상당수를 차지했고, 공격 수법으로는 스피어 피싱(40%) 형태가 압도적이었고 애플리케이션을 악용한 방법은 22%로 그 뒤를 이었습니다.
지난해 전 세계적으로 특히 많이 발생한 사이버 공격 형태는 백도어 유포(21%)로, IBM 연례 보고서에서는 백도어를 통한 추가 공격이 가능한 점 그리고 다크웹 상에서 백도어 액세스 권한의 시장 가치가 상승함에 따라 공격 횟수가 늘어난 것으로 분석하고 있습니다.
최근 다크웹에서 백도어 액세스 권한은 최고 1만 달러에 거래되고 있는 반면에 신용카드 데이터는 10달러 미만으로 거래할 수 있는 것으로 알려져 있습니다. 두 번째로 많이 발생한 사이버 공격 형태는 랜섬웨어로, 2021년 대비 소폭 감소(21%->17%)했지만, 공격 완료까지의 시간이 평균 2개월에서 4일 이내로 무려 94%나 급격히 단축되면서 공격 수법이 더욱 정교해지고 지능화되고 있는 양상을 보였습니다.
IBM 시큐리티의 찰스 핸더슨 엑스포스 총괄은 "오늘날의 백도어 공격이 향후 랜섬웨어와 같은 위기가 되는 것은 시간문제로, 기업은 위협 중심의 선제적 보안 전략을 추진해야 한다."라고 강조했습니다.
2. 사이버 공격 완화 및 복구 가이드
전직 "Black Hat" 해커 헥터 몬세구르(Hector Monsegur)는 사이버 공격으로부터 기업이 자산을 보호하기 위해 랜섬웨어 공격 방지 및 데이터 손실을 최소화하는 방법, 공격을 인식하고 진행되고 있는 공격에 대응하는 방법 그리고 데이터를 신속하게 복구하고 복원하는 방법에 대해 공유했습니다.
(1) 공격 발생 전
가시성 확보
먼저 기술과 운영 및 조직의 가시성을 확보하는 것부터가 사이버 공격에 대한 선제적 조치에서 우선적인 단계입니다.
첫 번째 기술적 가시성. 네트워크에 연결된 디바이스가 무엇인지, 어떤 부분이 취약한지 그리고 그에 대한 위협을 이해해야 합니다. 이후 이상 징후를 확인하고 구분할 수 있도록 로깅 도구를 사용해 시스템에 대한 가시성을 확보하세요
두 번째 운영 가시성. 대부분 피싱으로 공격이 시작되기 때문에 조직에서 제공하는 사이버 보안 교육에 대한 운영 가시성을 확보해야 합니다.
세 번째 조직 가시성. 사이버 공격으로 발생하는 비즈니스 손실은 데이터 침해 비용에서 가장 큰 부분을 차지합니다. 조직 가시성을 확보하면 사이버 공격으로 인한 기업의 브랜드, 지적 재산을 어느 정도 손상시키는지 예측하고 평가할 수 있습니다.
제어력 확보
필요한 모든 예방 조치를 수행해서 공격에 대한 허점을 확인하고 제거해야 합니다. 예를 들면, 방화벽에 제대로 구성·작동되고 있는지 확인하고 운영 체제, 플랫폼 또는 애플리케이션 패치를 관리하며 강력한 암호 규칙 및 다중 인증(MFA)을 적용해야 합니다.
환경 표면적 축소
공격 표면이 적을수록 공격자가 네트워크에 진입하기 더 어려운 것은 당연합니다. 표면적을 줄인다는 말은 곧 중복을 제거하는 것을 뜻합니다. 예를 들어 Windows 또는 Linux 버전이 적을수록 일관된 방식으로 더 쉽게 유지, 관리할 수 있습니다.
어려운 공격 진로
대부분의 공격자는 접근하기 쉬운 진입 경로를 찾고, 알고 있던 서비스 및 진로를 표적으로 삼는 데에 집중합니다. 따라서 공격자가 공격에 실패하도록 유도하기 위해서는 기존의 친숙한 환경보다 환경을 더 어렵게 만들면 됩니다. 공격자의 침입이 어렵도록 하기 위해서는 중앙 집중식 로깅과 같은 적절한 도구를 마련하거나, 솔루션 공급 업체와 협력해 기능을 구현하고 시스템 예방 조치를 유지하는 등의 방법이 있습니다.
대응 정책 생성
공격 발생 전, 조직은 공격에 대응하기 위한 정책을 자세히 기술하고 계획해야 합니다. 대응 정책은 회사마다 다르지만 일반적으로 손상된 시스템 및 사용자를 식별하기 위해 SIEM(Security information and event management) 1 로그 분석, 인시던트 대응 팀 및 인시던트 대응 공급업체 연락, 인터넷 연결 종료, 최고 경영진 및 이사회를 위한 인시던트 보고서 준비 등과 같은 내용이 포함됩니다.
보안 교육 및 모의 훈련 실시
직원들은 특히 사이버 공격이 우려되는 회사 안에서 가장 쉽게 보안이 뚫리는 요소이기도 합니다. 직원들은 가장 일반적인 공격 백터 중 하나인 이메일 피싱 스캠으로 피해를 보는 경우가 많습니다. 따라서 직원들을 대상으로 적절한 보안 교육을 진행해 보안 도구를 모니터링하고 로그의 의미 및 이상 탐지 시 이에 대응하는 방법을 이해하도록 해야 합니다. 모의 훈련을 통해 그 효과를 측정하는 것도 도움이 됩니다. 이는 후속 조치가 필요한 조직의 약점을 식별하는 데에 도움이 됩니다.
사이버 공격에 대한 철저한 대비에도 불구하고 여전히 사이버 공격으로 인해 조직은 큰 피해를 볼 수 있습니다. 따라서 포괄적인 BCDR 전략2을 수립해 최대한 신속하게 복구할 수 있도록 준비해야 합니다.
(2) 공격 발생 중
사이버 공격이 발생하면 공격자는 기업의 표면적인 약점을 악용하기 시작합니다. 초기 침투 이후에 공격자는 몇 주 혹은 몇 개월 동안 네트워크를 모니터링하면서 조직이 어떻게 대응할지 확인한 뒤, 공격 전략을 세우고 랜섬웨어를 배포할 수 있습니다. 따라서 당장 네트워크가 평온하다고 하여 공격자가 침투하지 않았다는 의미는 아닙니다.
SIEM이나 로그와 같이 적절한 모니터링 도구를 모두 갖추고 있다고 가정했을 때, 이상 징후 혹은 이벤트를 찾도록 교육된 직원은 충분히 공격을 식별할 수 있습니다. 공격을 받고 있다고 판단되면 즉시 조치를 취해야 합니다.
공격 식별
이벤트, 사용 중인 프로토콜에서 이상 동작을 찾아 공격을 식별합니다. 공격에 대한 단서는 트래픽의 종류, 브로드캐스트 통신에서도 나타날 수 있습니다.
계획 실행
공격을 받고 있다면 이전에 수립해 둔 인시던트 대응 계획 및 복구 절차를 준수하여 대응 정책을 실행해야 합니다.
(3) 공격 발생 후
Gartner에 따르면 IT 다운타임의 평균 비용은 분당 $5,600입니다. 평균적으로는 시간당 $300,000이며, 높은 경우에는
시간당 $540,000에 이릅니다. 물론 비즈니스 및 환경의 특성에 따라 구체적인 비용 다릅니다. 이렇게 높은 비용을 고려할 때 사이버 공격으로 인한 침해 기간은 짧을수록 좋습니다. 따라서 공격을 당한 이후에는 빠르게 시스템을 정리하고 복원하도록 해야 합니다.
시스템 정리
공격이 끝난 뒤 네트워크의 모든 시스템에 대한 추적을 진행하며 맬웨어가 남아 있지 않은지 확인해야 합니다. 그렇지 않을 경우 네트워크를 다시 온라인 상태로 전환했을 때 자동화된 랜섬웨어를 다시 활성화하는 상황에 이를 수 있습니다. 따라서 데이터를 복원한 뒤 시스템을 재가동하기 전에는 반드시 유해 요소를 모두 제거하고, 제거가 완벽히 되었는지 점검해야 합니다.
신속한 복원
효과적이고 신속하게 데이터를 복구하기 위해서는 가장 최근의 복구 가능 지점이 있어야 합니다. 따라서 스토리지 및 백업 솔루션이 어느 정도의 복구 가능성을 제공하는지 확인하는 것이 매우 중요합니다.
대응 학습 및 정책 수정
백업 및 시스템 재가동 이후에는 그동안 어떤 일이 있었는지 검토하고 이를 기반으로 학습을 진행하면서 경험에 근거한 시스템 및 정책을 수정해야 합니다. 이러한 사후 분석 평가에서는 기술뿐만 아니라 사람 그리고 프로세스도 살펴보아야 합니다. 예를 들어, 피싱 공격을 인식하기 위한 직원 교육을 강화해야 한다는 것을 알 수 있습니다.
이러한 공격 발생 후의 조치에는 적절한 솔루션 공급업체의 적절한 도구를 적소에 배치하고 기술팀 그리고 사용자 모두에게 교육하는 과정이 포함되어야 합니다. 강력한 암호가 설정 및 관리되고 있는지 확인하고, 소프트웨어 및 자산 목록을 만들어 이를 보호하고 공격 표면을 최소화할 수 있어야 합니다.
공격을 예방하고 대응하고 조치하는 데에 필요한 솔루션이 궁금하다면 OSC코리아의 도움을 받아볼 수 있습니다. OSC 코리아와의 상담이 필요하다면 여기를 클릭해 상담해 보세요.
참조
IBM - X-Force Threat Intelligence Index
Purestorage - Hacker's Guide to Ransomware Mitigation and Recovery
Gartner - The Cost of Downtime
