[글=마이크 스폴딩, 케이트 펄커트]
마이크 스폴딩(Mike Spaulding) | 버티브 보안 운영 디렉터
케이트 펄커트(Kate Fulkert) | 버티브 비즈니스 연속성 및 재해복구 매니저
디지털 전환기를 맞아 기업들은 네트워크 보안을 위한 심도 있는 방어 전략을 취하고 있다. 이는 사이버 공격자들이 기업의 허점과 취약성을 악용하지 못하도록 하는 것을 목표로 하며, 정보보안팀이 관련 문제점을 조기에, 그리고 자주 파악하고 처리하기 위한 다양한 형태의 통제 장치와 관련 절차 및 수단들을 강화하고 있음을 의미한다. 기업 입장에서는 지금껏 행해진 적이 없는 힘겨운 노력을 지속하고 있다.
감염병 위협과 함께 찾아온 사이버 위협
현재 전 세계적인 유행병으로 인해 인력 소요에 변화가 요구됨에 따라 위협의 유형도 새롭게 변화하고 있다. 이제 네트워크 보호를 위해서는 정보보안, IT, 비즈니스 연속성, 재해복구 및 위험 관리 부서 간의 긴밀한 협력이 요구되고 있는 실정이다.
버티브(Vertiv)의 비즈니스 연속성 및 재해복구 팀 매니저인 케이트 펄커트는 “컴퓨터 바이러스는 세계적 유행병 바이러스와 매우 비슷한 양상으로 확산되며, 둘 다 기업에 상당한 영향을 끼치게 된다. 바로 이러한 점이 비즈니스 연속성팀과 보안팀이 예측 가능한 미래에 대비하여 철저하게 결속해야 하는 이유다”라고 말한다.
기업들은 늘 여러 위협에 마치 폭격을 당하듯 시달리고 있지만 피해 기업의 수는 그때그때 다르다. 시스코(Cisco)의 최근의 보안 조사(Cisco security survey)에 따르면, 17%의 기업들이 매일 10만 혹은 그 이상의 보안 경보로 사이버 보안 피로감을 느끼고 있다.
이때 원격 감시와 인공지능 기반의 보안 정보 및 이벤트 관리(SEIM: security information and event management) 기법이 가짜 경보와 진짜 위협을 구별함은 물론, 그 우선 순위를 결정하는 데 도움이 될 수 있다. 원격 감시는 IT팀이 데이터 센터의 이상 유무를 추적 탐지할 수 있게 해주는데, 이를테면 동력 및 냉각 시스템의 상태를 평가하고, 이러한 문제들이 치명적인 고장 상태에 이르기 전에 스트레스 징후를 보이는 시스템 및 부품들을 작업자가 선제적으로 교체하는 데 도움을 줄 수 있다.
주요 사이버 공격 유형과 대응책
버티브 보안 운영 담당 디렉터인 마이크 스폴딩은 다음과 같은 위험과 위협들이 전 세계적으로 등장하고 있다고 분석했다.
위험 #1: 문제에 시달리고 있는 기업의 네트워크
전 세계적 유행병으로 기업들의 비즈니스 연속성이 새로운 도전에 직면해 있는데, 이는 기업의 인력들이 전적으로, 혹은 거의 원격으로 활동할 수 있게끔 준비되어 있지 않은 경우가 많기 때문이다. 이에 다수의 IT팀들은, 그들의 기업이 서비스로서의 데스크톱(DaaS: Desktops as a Service) 플랫폼을 채택할 수 있도록 가상 데스크톱 인프라(VDI: Virtual desktop infrastructure)개발에 힘을 쏟고 있다. 이들은 또한 비즈니스 연속성과 업무 성취도를 향상시키기 위해 클라우드로 신속하게 이동할 수 있는 응용프로그램과 표준 작업 부하도 추가적으로 검토하고 있다.
우리가 권장하는 바는, 기업들이 비즈니스의 중압감에도 불구하고 이러한 과정에서 보안을 위해 충분한 시간을 투자하라는 것이다. 가상 데스크톱 인프라를 구축할 때 기업들은 네트워크 연결과 필요 용량, 방화벽, 여타의 보안 요건들을 면밀히 검토해야 한다. 대다수 응용프로그램은 가상의 사설 인터넷망(VPN: Vitual private network)에 의한 보안이 필요한 반면, 여타의 응용프로그램은 직접(임의) 접근을 위해 클라우드로 이동될 수 있다.
금융회사나 건강관리회사 같은 규제 산업에 속한 기업은, 다른 버티컬(수직 업종) 기업에 비해 하이브리드 클라우드 전략이 보다 엄격한 요건을 적용 받게 될 것임은 자명하다. 클라우드 환경으로의 전환을 갓 시작한 기업에게는 데이터 백업과 배치 프로세싱, 재해복구 체계가 즉각적인 가치를 제공하고 비즈니스의 연속성을 강화할 수 있다. 서버 용량 제약을 겪고 있는 다른 기업들은 서비스로서의 인프라(IaaS: Infrastructure as a Service)와 서비스로서의 플랫폼(PaaS: Platform as a Service) 배치를 증강할 수도 있다.
위험 #2: 직원들이 네트워크에 유발하는 위험
피싱 사기는 기업들의 당면한 문제 중 하나로, 사람이 네트워크 시스템보다 이용당하기 쉽기 때문에 발생한다. 웜뱃사의 보안 연구(Wombat Security study)에 의하면, 지난 2018년 응답자의 83%가 피싱 사기 공격을 받았으며, 49%는 비싱(vishing: 음성 피싱)이나 스미싱(smishing: SMS/문자 피싱)을 경험했다고 한다. 특히 피싱 이메일은 사이버 공격자들이 전 세계적 사건을 둘러싼 직원들의 두려움 및 혼란, 새로운 재택근무 시행 등을 악용하려 함에 따라, 지난 2월 이후로 600%나 폭증한 것으로 밝혀졌다.
이에 따라 지금과 같은 전례 없는 시기에 반드시 인식하고 있어야 할 몇 가지 피싱 위험을 제시한다.
• 상호 사칭: 사이버 공격자들이 세계보건기구, 질병 통제 및 예방 센터, 혹은 국세청과 같은 공공 기구를 사칭하고 있다. 회사 직원들은 최신 정보로 업데이트된 전문적으로 보이는 이메일을 받고서 외관상 합법적인 것으로 보이는 웹사이트에 들어가거나 악성 소프트웨어가 심어진 첨부 문서를 내려 받게끔 유인 당할 가능성이 있다.
• 유명 인사 사칭: 사이버 공격자들은 IT기업, 인력회사, 금융 회사 등과 같은 기업을 사칭하면서 표적을 노린 이메일을 보내는 것은 물론, 회사의 대표이사와 같은 인물을 사칭할 수도 있다. 이러한 이메일은 흔히 수신자가 악성 파일을 내려 받도록 조종하는데, 예를 들면 회사의 최신 소식, 또는 새로운 정보 기술 및 결제 절차 공지 등으로 사람들을 속인다.
• 전 세계적 유행병에 관련된 사기: 이와 같은 요구들은 금융 시스템으로의 접근권을 노린 것임이 너무나 명백한데, 마스크나 손 세정제처럼 구하기 힘든 상품을 제공하는 쇼핑 웹사이트, 친구나 친척을 위해 결제를 요구하거나 백신 혹은 의약품에 내부자 접근을 제안하는 의료기관, 환불을 제공하는 항공 업체 및 숙박업체, 그리고 기부를 호소하는 자선단체 등의 행위가 여기에 해당한다. 이러한 공격의 목표는 가짜 상품이나 서비스를 결제하도록 유인하거나 존재하지도 않는 자선 단체에 기부를 종용하는 것이다.
우리는 기업의 구성원들이 피싱 사기를 구별하고 피하며, 또 그 공격들을 어떻게 보고해야 하는지에 대한 최신의 피싱 대응 전략 소통의 장을 마련할 것을 권장한다. 지금이야 말로 보안 사건 발생 시의 대응에 대한 정보를 새롭게 하고, 적시 보고를 통해 회사를 보호하는 것이 모두의 의무임을 다시금 구성원들에게 각인시킬 적기라 할 수 있다.
위험 #3: 고객과 협력사가 겪을 수 있는 위협
사이버 공격자들이 종종 제3자를 목표로 하는 이유는 그들의 보안 체계가 그들의 고객인 기업보다 더 취약하며, 거래 기업의 이메일과 시스템, 파일에 접속할 수 있는 특권이 있기 때문이다. 포네몬 연구소(Ponemon Institute)의 조사 결과로는 59%의 회사들이 제3자로 인한 데이터 침해를 경험한 적이 있었다고 한다.
주요 공급사들에 대한 정기적인 위험도 평가와 더불어, 기업들은 제3자에게 다중 요소 인증 체계를 요구하고, 최소한의 접근권을 부여하는 정책을 강화해야 하며, 더 이상 필요가 없을 경우에는 네트워크 접속권을 자동적으로 중지함으로써 데이터 침해의 가능성을 줄여야 한다.
통신 당사자 사이에 개입해 이루어지는 중간자 공격(man-inthe-middleattack)을 목적으로 이메일을 조작하는 사이버 공격자들은 기업의 고객들을 공격 목표로 삼을 수 있다. 사기꾼들은 겉보기에 정상적인 이메일을 보내고 표적을 노린 전화를 걸거나, 가짜 결제 정보를 제공하는 방식으로 공급사와 협력사를 사칭한다. 고액의 구매 건이 걸려있을 경우 공격자들은 온라인 송금을 목표로 하여 수 개월간의 기업 대 기업(B2B) 거래 주기에 걸쳐 목표물과 관계를 맺는 장기적인 게임을 펼칠 것이다.
우리는 기업들이 고객들과 지체없이 소통하여 이와 같은 새로운 공격 유형을 공유하고 기업의 주요한 마케팅, 판매, 금융 제도들을 반복하여 강조하기를 권고하는 바이다. 고객이 송장이나 결제에 대해 관심이 있는 경우에는 기업의 주요 대표자를 직접 접촉할 수도 있을 것이다.
약한 통제 장치 개선 필요
기업의 구성원들이 재택근무를 하면서 개인의 기기와 와이파이 네트워크로 회사의 자원에 접속하고 있다. 이때 기본 설정 암호나 추측하기 쉬운 암호를 사용하거나 혹은 암호화되어 있지 않은 와이파이망과 기기들을 사용하는 경우, 회사의 네트워크는 심각한 위험에 노출될 수 있다. 업무를 수행하는 기기에서 개인적인 인터넷 사용을 하거나 소프트웨어 업데이트 및 보안 패치 적용을 소홀히 할 경우도 마찬가지다.
우리의 권장 사항은 구성원들에게 회사의 네트워크에 접속하기에 앞서 기본적인 IT 위생법(바이러스 예방법)을 행하는 데 도움을 줄 수 있는 안내 지침을 마련하라는 것이다.
단일 요소 인증으로(암호로) 된 응용프로그램은 다중 요소 인증으로 대체될 때까지는 기능을 할 수 없게 하여야 한다. 아울러 회사는 관리자 접근권을 점검하여 이 현행의 권한들이 IT팀의 업무를 수행하는 데 필요한 시스템으로만 제한되도록 하여야 한다. 정보 보안팀이 주지하는 바와 같이, 관리자 특권(접근권)은 네트워크에 전면적인 접속권을 부여하기 때문에 사이버 공격자들에게는 성배(聖杯)나 마찬가지인 셈이다.
기업의 업무 모델에 있어서 최근의 급속한 변화가 IT 네트워크의 취약성을 부각시키고 있는 지금의 상황이 오히려 회사 시스템 보안을 강화하고 구성원들로 하여금 스스로 위협을 찾아내고 보고할 수 있도록 권한을 부여할 기회라 할 것이다
