이 글은 IDG의 아티클을 전재하여 제공합니다.
[원문보기] : https://www.ciokorea.com/news/340799#csidx60b6e92476d394e93ffd28fba7feb09
미국 정부기관의 2023년 주요 보안 사고
미국 정부기관들이 2023 회계연도에 11건의 주요 정보보안 사고를 미 의회 예산관리처에 보고했다. 주요 내용은 다음과 같다.
미국 관리예산처(OMB)의 새로운 보고서에 따르면, 부실한 패치 관리, 지원되지 않는 시스템, 부적절한 인증 제어로 인해 일부 미국 연방정부 시스템이 해커에게 공격당했다. 2023년 9월 30일까지의 회계연도에 11건의 주요 사고가 발생했다. 12개월 동안 여러 연방기관은 총 3만 2,211건의 정보보안 사고를 보고했으며, 이는 2022 회계연도에 보고된 2만 9,319건보다 거의 10% 증가한 수치다. 2014년의 연방 정보보안 현대화법 및 2015년의 사이버보안법에 따라 OMB가 작성한 이 보고서에 따르면, '부적절한 사용'과 '이메일/피싱'이 각각 1만 2,261건과 6,198건으로 가장 일반적인 공격 벡터였다. 모든 사건이 중대한 결과를 초래한 것은 아니지만, OMB는 이 중 11건을 '중대한' 사건으로 규정했다. 주요 사건에 대한 자세한 내용은 다음과 같다.
1. 보건복지부: 랜섬웨어 공격
미국 메디케어 및 메디케이드 서비스 센터(CMS)와 협력하는 한 계약업체가 랜섬웨어 공격을 받았다. 이 업체가 소유하고 운영하는 시스템의 네트워크 파일 공유 기능을 통해서였다. 이로 인해 280만 명의 개인정보가 노출됐다. 그중 130만 명은 사망자였다. 유출된 정보에는 이름, 주소, 생년월일, 메디케어 식별자, 은행 정보 등이 포함되어 있었다. 사고 발생 후 CMS는 시스템을 사내로 이전하고 피해자들에게 무료 신용 모니터링 서비스를 제공했다.
2. 보건복지부: 제로데이 공격
미국 보건복지부(HHS)와 관련된 또 다른 주요 사고도 있다. 공격자들은 제로데이 취약점을 이용해 두 개의 계약업체를 표적으로 삼아 HHS 데이터가 포함된 시스템에 접근했다. HHS 시스템이 손상된 징후는 없었지만 계약업체의 시스템이 손상되면서 질병통제예방센터, 국립보건원, CMS 등의 기관에서 보유한 188만 명의 개인정보가 잠재적으로 노출됐다. 여기에는 이름, 사회보장번호, 이메일 주소, 전화번호, 생년월일, 의료 진단 및 기타 정보가 포함됐다.
3. 연방보안청: 랜섬웨어 공격
2023년 2월, 한 랜섬웨어가 직원과 법적 절차에 관련된 사람들의 개인정보가 포함된 미국 연방보안청(USMS)의 컴퓨터 시스템을 공격했다. 결국 USMS는 새로운 시스템을 구축하고 백업에서 복원해야 했다. 영향을 받은 개인에게 통지하고 무료 신용 모니터링을 제공했다.
4. 연방검찰청: 랜섬웨어 공격
2023년 5월에 발생한 또 다른 랜섬웨어 공격은, 법무부 민사 부서와 일부 미국 연방검찰청의 특정 사건에 대한 데이터 분석 지원을 제공하는 공급업체의 시스템을 대상으로 했다. 이 공격으로 인해 개인 및 의료 데이터가 손상됐다. 당국은 외부사고 대응 서비스에 의뢰하여 조사 및 정리를 진행했으며, 피해를 입은 개인에게는 신용 모니터링 서비스를 제공했다.
5. 국세청: 개인정보 노출
국세청(IRS)은 이전 회계연도에 이미 노출됐던 개인정보를 실수로 다시 노출하는 실수를 저질렀다. IRS는 면세단체 사업소득세 신고서(990-T) 양식의 수정된 버전을 게시하여 501(c)3 단체의 기타 소득을 공개해야 한다. 이 프로세스를 자동화하기 위해 계약업체를 고용했지만, 코딩 오류로 인해 2022년 8월 오류가 보고될 때까지 모든 501(c) 단체의 양식이 노출됐다. 이 데이터는 즉시 공용 웹서버에서 제거되었지만, 다음 회계연도에 준비 서버에서 실수로 다시 게시됐다.
6. 재무부: 액세스 권한 오용
재무부의 모든 기록과 자료에 대한 전체 액세스 권한에서 비롯된 사고다. 감사 또는 조사 대상을 결정하고 보고서를 작성하는 감찰관실(OIG)에서 근무하는 한 직원이 단 15시간 동안 한 직원의 로그인 자격 증명에 액세스한 사건이 발생했다. OIG의 심층적인 방어 덕분에 공격의 배후에 있는 국가가 후원하는 행위자는 정보 리소스에 액세스할 수 없었으며, 액세스 권한이 있는 기간 동안 맬웨어를 심지도 못했습니다. 재무부는 재발 방지를 위해 다단계 인증 정책을 업데이트하고 소프트웨어 구성을 검증했으며 직원들을 대상으로 인식 교육을 실시했다.
7. 연방인사관리처: 제로데이 공격
연방인사관리처(OPM)는 연방 공무원인사통계(FEVS)를 지원하는 계약업체가 사용하는 파일 전송 애플리케이션의 제로데이 취약점(이름은 명시되지 않았지만 MOVEit 해킹으로 추정됨)과 관련된 중대한 사고를 보고했다. 이 유출로 인해 법무부와 국방부 직원 약 63만 2천 명의 정부 이메일 주소, 고유 설문조사 링크, OPM 추적 코드가 유출됐다. 이에 따라 OPM은 계약업체에 FEVS 데이터 전송을 중단하고, 설문조사 링크를 비활성화하고, 피해를 평가한 후 영향을 받은 개인에게 알렸다. 평가 결과 설문조사 결과에 대한 무단 액세스 또는 증거 조작은 발견되지 않았다.
8. 소비자금융보호국: 개인정보 탈취
소비자금융보호국의 한 직원(현재는 퇴직함)이 개인 이메일 계정으로 한 금융기관의 고객 약 25만 6천 명의 개인정보가 포함된 14개의 이메일과 2개의 스프레드시트를 발송했다. 이 전 직원은 이메일을 삭제하고 삭제 증명을 보내라는 CFPB의 요구를 무시했다. 공식적인 평가에 따르면, 해당 데이터는 계정 액세스나 신원 도용에 사용될 수 없는 것으로 나타났지만, 일부 피해자에게는 만일을 대비해 알림을 발송했다. 또한 CFPB는 의도치 않은 유출을 방지하기 위해 기술적 통제를 강화하고, 모든 직원과 계약업체에 개인정보 보호정책을 상기시키며, 모든 정보 관리 절차를 검토했다.
9. 운수부: 개인정보 탈취
트랜스서브(TRANServe) 이니셔티브의 혜택을 받은 연방 공무원들은 기차를 타기로 한 결정을 후회했을 수도 있다. 공격자들이 여러 관리 시스템을 침입하여 연방 공무원들에게 대중교통을 이용하도록 인센티브를 제공하는 주차 및 대중교통 혜택 시스템(PTBS)에서 개인정보를 탈취했다. 약 23만 7천 명이 잠재적으로 영향을 받은 것으로 추정된다. 공격자들은 이름 없는 상용 웹 애플리케이션 개발 플랫폼의 패치되지 않은 중요 취약점을 악용하여 이름, 집 및 직장 주소, 사회보장번호의 마지막 네 자리 숫자를 알아냈다. 운송부는 패치된 소프트웨어로 영향을 받은 서버를 재구축하고 직원들에게 신용 모니터링 서비스를 제공했다.
10. 내무부: 개인정보 노출
내무부 내무비즈니스센터(IBC)의 한 개발자가 급여 시스템의 보안 정책을 수정함에 따라 인사담당자가 36개 연방기관의 직원 기록을 볼 수 있게 되는 사고가 발생했다. 이로 인해 약 14만 7천 명의 개인정보가 노출되었을 가능성이 있다. 조사 결과 IBC는 시스템을 변경한 후 개인정보 영향 평가를 수행하지 않았던 것으로 드러났다. 당국은 내부 프로세스와 교육을 강화해야 했다.
11. 에너지부: 제로데이 공격
에너지부는 익명의 랜섬웨어 그룹이 폐기물 격리 파일럿 플랜트(WIPP)와 오크 리지 관련 대학(ORAU)에서 사용하는 보안파일 전송 제품의 제로데이 취약점을 악용했다고 보고했다. 랜섬웨어 그룹은 WIPP와 ORAU 시스템에 액세스할 수 있었으며, 전직 DOE 직원을 위한 건강 모니터링 프로그램에 참여한 3만 4천 명의 개인정보와 과학부 소속 6만 6천 명의 개인정보가 포함된 데이터를 탈취했다고 주장했다. 유출된 데이터에는 이름, 생년월일, 사회보장번호, 일부 건강정보가 포함되어 있었다. 영향을 받은 개인에게는 알림을 받고 신원 모니터링 서비스를 제공받았다.
하지만 나쁜 소식만 있는 것은 아니다. 보안 사고가 전년 대비 증가했음에도 불구하고 OMB 감사에서는 기관들이 사이버 방어 조치를 채택하는 데 있어 개선이 있었다고 평가했다. 모든 기관이 OMB 지침에 따라 엔터프라이즈 EDR 플랫폼을 선택하고 사이버 탐지 기능을 확장했다. 그 결과 2023 회계연도에는 연방 민간행정기관의 96%가 전년도에 비해 '탐지'된 결과가 증가했다고 보고했다.
개인정보를 지키는 신원인증관리 프로그램
현대 조직은 규정 준수와 보안 사이에서 균형을 맞춰야 한다. 다시 말해 컴플라이언스 프레임워크로 민감한 데이터를 보호하고 위험을 완화하기 위한 지침을 제공해야 하고 동시에 보안 조치를 통해 끊임없이 진화하는 위협에 적응해야 한다. 하지만 이 두 가지 개념은 자주 혼동된다. 또는 컴플라이언스가 보안을 뒷받침하기 위해 단순히 점검해야 할 항목으로 여겨지곤 한다. 각 조직 내에서 컴플라이언스와 보안은 각각 고유한 역할을 맡고 있으며, 신원인증관리 프로그램은 이 둘을 연결하는 핵심 요소이다. 신원인증관리 프로그램은 컴플라이언스와 보안 사이의 다리 역할을 하며, 법적 및 규제 요건을 충족하는 동시에 사이버 위협에 대한 강력한 방어를 보장한다.
그렇다면 컴플라이언스와 보안의 차이점은 무엇이며 왜 중요할까? 그리고 강력한 신원인증관리 프로그램이 어떻게 이 두 가지 목표를 달성하는 데 도움이 될 수 있을까? 컴플라이언스와 보안은 종종 상호 보완적이면서도 구별되는 개념으로 여겨진다. 컴플라이언스는 GDPR, HIPAA, PCI DSS 등과 같은 규정 및 산업 표준을 준수하는 것을 의미한다. 이러한 표준은 데이터를 보호하고, 프라이버시를 유지하며, 무단 접근을 방지하기 위한 구체적인 요구사항을 명시하고 있다. 반면에 보안은 악의적인 활동, 데이터 유출, 사이버 공격으로부터 방어하기 위해 구현된 포괄적인 보호 조치를 의미한다. 여기에는 보안 위협을 탐지, 대응 및 완화하기 위한 기술, 프로토콜, 모범 사례 등이 포함된다.
컴플라이언스 프레임워크는 데이터 보호를 위한 기본적인 요구사항을 설정하지만, 빠르게 변화하는 위협 환경과 맞지 않을 수 있다. 또한 컴플라이언스는 원격 근무와 같은 인적 요소와 회사 정책 변화 등에 따라 진화해야 한다. 따라서 보안 조치는 단순한 컴플라이언스를 넘어 새로운 위험과 취약점을 선제적으로 해결해야 한다.
신원정보: 컴플라이언스와 보안의 연결고리
신원정보(Identity)는 컴플라이언스와 보안을 통합하는 역할을 한다. 신원정보의 핵심은 조직 내에서 개인의 디지털 신원을 정의하는 고유한 속성과 자격 증명을 포함하는 것이다. 여기에는 사용자 이름, 비밀번호, 생체 인식 데이터, 보안 토큰 등 비즈니스 보호에 필수적인 정보가 포함된다. 다음 4가지 팁을 활용해 높은 보안성과 컴플라이언스 구축에 도움이 되는 신원인증관리 프로그램을 만들어 보자.
1. 인증 및 접근 제어
효과적인 ID 관리는 중요한 시스템과 데이터에 접근하는 사용자와 엔티티의 신원을 확인하는 것에서 시작된다. 다중 인증(MFA), 생체 인증, 디지털 인증서 등은 접근 권한을 검증하고 통제하는 데 사용되는 메커니즘이다. 사용자 신원을 확인함으로써 조직은 무단 접근을 방지하고 데이터 유출 위험을 줄일 수 있다. 또한 누가 무엇에 접근할 수 있는지 파악함으로써 적절한 데이터 처리 요건을 준수하고 있는지 확인할 수 있다.
2. 데이터 보호 및 프라이버시
신원정보는 데이터 보호 규정 및 프라이버시 보호 조치에 있어 매우 신경 써야 하는 영역이다. 개인과 관련 데이터를 정확하게 식별함으로써 조직은 세분화된 접근 제어, 암호화, 데이터 마스킹 기술 등을 구현하여 민감한 정보를 보호할 수 있다. 신원정보 중심 접근 방식을 통해 조직은 데이터 사용을 추적 및 감사하고, 데이터 보존 정책을 시행하며, 규제 요건을 준수하고 있음을 입증할 수 있다. 이는 그 자체로 취약점을 줄이고 보안을 강화하는 효과가 있다.
3. 위협 탐지 및 사고 대응
신원정보를 기반으로 모니터링 및 분석을 하면 비정상적인 활동과 잠재적인 보안 사고를 탐지하는 데 도움이 된다. 예를 들어, 사용자 행동 패턴과 신원정보를 연계하면서 정상적인 활동에서 벗어난 이상 징후를 신속하게 파악하고 적절히 대응할 수 있다. 자동화된 실시간 모니터링은 위협 탐지 능력을 향상할 뿐만 아니라, 침해가 발생하기 전이나 실제 피해가 발생하기 전에 위험을 완화하고 최소화해 준다.
4. 신원정보 거버넌스 및 위험 관리
신원정보 거버넌스 프레임워크는 사용자 접근 권한에 대한 중앙집중식 제어와 감독을 제공한다. 역할 기반 접근 제어, 직무 분리, 최소 권한 원칙 등을 구현함으로써 조직은 내부자 위협을 완화하고 민감한 리소스에 대한 무단 접근을 방지할 수 있다. 버라이즌에 따르면, 실제로 데이터 침해의 거의 70%가 악의적이지 않은 내부자에 의해 발생하는데, 이들은 소셜 엔지니어링 공격의 희생자가 되거나 보안 사고에 휘말릴 수 있다. 신원정보 거버넌스와 관리는 지속적인 모니터링, 위험 평가, 보안 취약점 및 컴플라이언스 격차를 사전에 해결하기 위한 개선 전략을 다루어야 한다.
신원정보 중심 컴플라이언스 및 보안의 미래
많은 조직이 빠르게 변화하는 위협 및 규제 환경에 대응하고 있다. 이때 신원정보의 역할은 앞으로도 그 중심에 서 있을 것이다. 블록체인, 제로 트러스트 아키텍처, 분산형 ID 모델 등 새로운 기술과 프레임워크가 신원정보 관리 방식을 변화시킬 수 있으나 궁극적으로 이러한 변화가 보안과 프라이버시를 강화하는 데 도움이 될 것이다. 신원정보 중심 접근 방식을 채택함으로써 조직은 방어 체계를 강화하고 민감한 데이터를 보호하는 동시에, 컴플라이언스 미준수로 인한 법적 및 재정적 위험을 피할 수 있을 것이다.
▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
IDG의 Senior Journalist