기업의 업무 시스템 전반에 클라우드, AI, 빅데이터 등 ICT 기술이 지속적으로 확대 적용되고 있으며 코로나 팬데믹 이슈 장기화로 재택근무와 원격 수업 등 디지털 전환(DT)을 통한 비대면 활동이 일상화되면서 사이버 위협 역시 빠르게 증가하고 있습니다.
시장조사기관인 스태티스타는 2021년 전 세계 사이버보안 시장 규모는 약 2,179억 달러 규모에서 연평균 9.65%의 성장률을 기록하며 2026년까지 약 3,454억 달러 규모로 성장할 것으로 예측하였습니다.
최근 2년간 눈에 띄는 보안 이슈를 돌아보고, 빠르게 변화하는 디지털 환경에서 기업이 관심을 기울여야 할 보안 위협은 어떤 것들이 있는지 정리해보았습니다.
줌은 화상회의 등 비디오 커뮤니케이션이 가능한 플랫폼인 줌 미팅(Zoom Meetings)을 제공하는 업체로, 전 세계적으로 원격 수업, 회의 등에 활용되며 코로나 이후 빠르게 성장한 회사입니다. 그러나 사용자 계정 유출을 악용하여 해커가 화상회의에 들어와 내부 정보를 빼돌리거나 불법 게시물을 올리는 등의 ‘줌바밍(Zoombombing)’이라 불리는 해킹 사건이 발생하여 NASA를 포함한 많은 기업이 사용 금지 조처를 내렸으며 결국 이용자들이 소송을 제기, 미국 법원은 개인정보 보호에 실패한 책임을 물어 피해자들에게 8,500만 달러(약 977억 원)을 지급하게 하였습니다.
키사이트(Keysight)의 보안보고서에 따르면 전 세계적으로 코로나 팬데믹이 시작되던 2020년 3월부터 피싱(phishing) 공격이 급증하여 전년 대비 62% 이상 증가한 것으로 보고되었습니다. 공격자들은 코로나를 테마로 활용해 악성 URL 클릭을 유도하여 정보를 탈취하거나 악성코드를 유포하는 등의 공격을 시도하고 있습니다.
국제 해킹그룹인 ‘킴수키’는 국내 기관을 대상으로 코로나바이러스 대응 문서를 위장하여 키로깅(keylogging) 악성코드를 유포하려 시도하였으며, ‘마카오’는 코로나 확진자 동선을 위장한 SMS를 통해 스미싱(smishing) 공격을 시도하였습니다.
솔라윈즈(SolarWinds)의 IT 모니터링 솔루션 ‘오리온(Orion)’에 악성코드를 심는 방식으로 소프트웨어 공급망이 공격받아 오리온을 사용하는 기업·기관들의 시스템이 버전을 업데이트하는 과정에서 악성코드에 감염되었습니다. 미국 상무부와 재무부를 포함한 국가 기관과 수백여 개의 기업이 피해를 입은 것으로 확인되었습니다. 해당 시스템을 사용하고 있는 기업의 수는 만여 개가 넘는 것으로 확인되었으나 일부 기업의 경우 피해 사실조차 인지하지 못하고 있어 정확한 피해 집계는 이루어지지 않은 상태입니다.
2021년 5월, 미국 대형 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline) 시스템이 랜섬웨어에 감염되어 모든 인프라가 일시 마비되었습니다. 해커들은 복구 시스템을 제공하는 대가로 가상화폐를 통한 몸값 지급을 요구하였으며 해당 기업은 피해 확산을 막기 위해 약 440만 달러의 몸값을 지급한 것으로 알려져 있습니다. 그러나 해당 공격으로 운영이 중단된 기간 동안 일부 지역에서는 70% 이상의 주유소가 영업을 중지하는 등 공급이 부족한 탓에 휘발유 가격이 급등하였으며, 조 바이든 미국 대통령은 국가 시설에 대한 공격으로 간주, 비상 사태를 선포하였습니다.
앞선 몇 가지 사례를 통해 살펴본 것처럼 사이버보안 위협은 그 대상과 규모를 점점 키워가고 있습니다. 사이버 공격을 위한 익스플로잇(exploit), 랜섬웨어 등 공격 도구를 아웃소싱하는 전문 집단이 늘어나며 전문 해커가 아니더라도 블랙마켓을 통해 구입한 도구들로 손쉽게 사이버 공격을 실행할 수 있게 되었습니다. 이러한 상황에서 기업이 사내 시스템과 데이터를 보호하기 위해 어떤 방안을 고려할 수 있을까요?
팬데믹 이후 재택근무를 채택한 많은 기업이 팬데믹 종료 이후에도 업무 생산성 등을 이유로 원격 근무를 유지하는 방안을 고민하고 있습니다. 기업은 클라우드와 SaaS, VPN/VDI 등 원격 근무를 지원하기 위한 인프라를 도입하였으나 이와 관련된 보안 위협에 대한 고려가 미흡한 상황입니다.
클라우드 전문가를 대상으로 한 설문조사*에 따르면 36%의 기업이 클라우드 데이터 유출이나 침해 경험이 있다고 답했으며, 10명 중 8명 이상은 클라우드 구성 오류로 인한 취약점이 우려된다고 답하였습니다.
* Fugue社 Cloud Security Report 2021 참조
실제 2021년 발생한 A사 클라우드 서비스를 이용한 4개 기업의 개인정보 유출 사고의 경우 관리자 접근 권한과 관련된 기초적인 설정을 하지 않아 발생한 사고입니다.
클라우드 서비스가 세분화되며 멀티 클라우드를 도입하는 기업이 늘어나고 있고, CSP마다 다른 보안 설정으로 인해 운영자가 미처 확인하지 못하였거나 혹은 실수로 인한 설정 오류는 데이터 침해/유출과 같은 사고로 이어질 수 있습니다. 이를 예방하기 위해서는 기업에서 사용하는 클라우드 인프라 보안 상태에 대한 통합 모니터링이 가능하며 내부 거버넌스 기준에 따른 자동 설정 적용 등을 지원하는 솔루션 도입이 필요합니다.
클라우드와 관련된 또 다른 위협으로 컨테이너(Container) 보안을 꼽을 수 있습니다. 공식 파이썬 이미지의 경우 482개의 취약점을 보유하고 있는 등 인기가 높은 컨테이너들도 많은 취약점을 보유하고 있습니다.
이러한 컨테이너 보안이 이슈가 되고 있는 이유 중 하나는 클라우드와 함께 도입된 DevOps가 보안을 고려하기보다는 빠른 개발과 배포에 초점을 맞춘 모델이라는 점입니다. 그래서 DevOps 개발 주기 내에 보안 테스트 및 관련 이벤트 로깅 등을 포함한 DevSecOps가 주목받고 있습니다.
최근 많은 클라우드 보안업체들이 DevSecOps를 지원하는 솔루션/서비스를 제공하고 있으며 이를 통해 보안상의 결함과 취약점을 조기에 확인/조치함으로써 프로그램 수정에 필요한 시간을 단축하고 재작업 비용을 낮출 뿐 아니라 보안 사고를 예방할 수 있습니다.
공격자들은 기업 내부망 접속을 위해 보안이 까다로운 시스템을 직접 공격하기보다 원격 접속 권한만 획득하면 기업 내부의 각종 보안 솔루션을 우회할 수 있는 사용자 단말을 노리고 있습니다.
작년 발생한 국내 2개 국가기관 해킹 사건의 경우 사용자 원격 접속을 위한 VPN 취약점을 활용, 직원의 비밀번호를 알아내 사내망에 접근한 후 내부 사용자 정보를 유출한 것으로 알려져 있습니다. VPN은 많은 기업이 원격 근무 시 사용자 보안을 위해 도입한 솔루션입니다. 그러나 앞선 사고에서 확인된 것처럼 원격 접속과 관련된 보안 솔루션만을 지나치게 신뢰하는 경우 해당 솔루션이 무력화될 때 내부 주요 시스템이나 데이터들이 위험에 노출될 수 있습니다.
올해는 월드컵, 동계올림픽, 대통령 선거 등 국내외 큰 이슈가 많아 이를 활용한 피싱 공격이 기승을 부릴 것으로 예상되므로, 피싱을 통한 사용자 단말의 악성코드 감염 및 이를 통한 계정 탈취 등 내부망 접속을 위한 공격이 이루어질 것으로 생각됩니다. 사용자 단말에 대한 보안 강화와 내부 주요 시스템 접속이 가능한 계정의 경우 권한 최소화 및 다중 인증 적용 등을 통해 ID 보안을 강화할 필요가 있습니다. IAM 솔루션 도입을 통해 SSO를 통한 사용자 접속 편의 제공 외에도 주기적인 리뷰를 통한 사용자 권한 목록 관리, 인증 이상 행위 분석을 통한 계정 탈취 시도 탐지 등으로 ID 보안을 강화할 수 있습니다.
2021년 발생한 보안 사고 중 콜로니얼 파이프라인 랜섬웨어 공격 사건과 올즈마(Oldsmar) 상수시설 사이버 공격 사건은 사이버 공격이 단순 업무 시스템 마비가 아닌 가스 공급 중단, 상수원 내 양잿물 테러 등과 같은 물리적인 공격이 가능함을 보여주는 사건이었습니다.
공격자들은 이러한 사례를 통해 OT 시스템을 대상으로 한 공격이 의도보다 더 큰 영향을 미칠 수 있음을 인지하게 되었으며, 이는 본인들의 목표 달성을 위해 피해 규모가 큰 기반 시설이나 생산 시스템을 목표로 할 가능성이 커졌습니다.
기업의 제조 생산 라인에 도입되는 OT 시스템의 경우 폐쇄망으로 운영되는 것을 기본으로 하여 보안에 대해 큰 고려를 하지 않고 설계된 시스템들이 많습니다. 그러나 최근 스마트 팩토리의 도입이 늘어나며 외부망과의 접점이 늘어남에 따라 현재 OT 환경의 보안 취약점을 다시 한번 점검해볼 필요가 있습니다.
OT 보안의 경우 운영 특수성을 고려한 L1부터 L5까지 단계별 위협에 대한 가시성을 확보하고 확인된 이상 징후에 대한 자동화된 대응을 통해 초기 대응을 하는 것이 중요합니다. 이를 위해 이벤트 상관 분석이나 ML 기반의 이상 행위 탐지가 가능한 OT 전문 보안 솔루션 도입을 검토해볼 필요가 있습니다.
랜섬웨어는 현재 가장 수익률이 높은 공격 중 하나로 작년에 이어 올해도 기승을 부릴 것으로 생각됩니다. 특히 블랙마켓을 통한 RaaS(Ransomware-as-a-Service)의 활성화로 공격 자체의 진입 장벽이 낮아져 공격 횟수는 더욱 증가할 것입니다.
공격 형태는 피해자의 파일을 암호화하는 전통적인 방식 외에 악성코드, DDoS 등 다른 유형의 공격과 결합하여 내부 데이터 탈취/공개 등을 통해 협박하는 방식 등으로 진화하여 기업의 압박 수위를 높일 것입니다.
이렇듯 커지는 랜섬웨어 위협에 작년 하반기, 미국을 주축으로 한 국가들이 공동 대응을 위한 선언문을 채택하였습니다. 미국 백악관 국가안전보장회의 주관으로 우리나라를 포함한 영국, 프랑스, 독일, 일본, 멕시코 등 30여 개국이 ‘사이버 범죄 대응을 위한 협력 강화’ 및 ‘랜섬웨어 대가 지급 과정에서 가상화폐 자금세탁 차단’ 등의 내용이 포함된 공동선언문을 채택했으며, 미국의 경우 공격 조직과 협상하거나 비용 지급을 금지하는 법안이 통과되었습니다.
그러나 이는 랜섬웨어 감염 시 기업 자체적인 대응이 어렵게 되어 공격자가 내부 주요 데이터를 공개하는 등 기업의 추가 피해가 우려되는 만큼 기업 입장에서는 부담으로 작용할 수 있습니다. 따라서 랜섬웨어 사전 예방을 통한 대응이 더욱 중요해졌다고 할 수 있습니다. 랜섬웨어 대응을 위해서는 기존 시그니처 기반의 백신을 통한 탐지만으로는 한계가 있는 만큼 단말 상태를 상세히 모니터링하고 동적 분석을 통해 이상 행위 탐지/대응이 가능한 EDR 솔루션을 도입해야 합니다. EDR 솔루션은 랜섬웨어 등 악성코드 탐지 시 PC 내에서 파일을 격리할 수 있으며 필요한 경우 네트워크상에서 PC를 격리해 다른 단말의 추가 감염을 예방합니다. 또한 롤백 기능을 통해 감염 이전 상태로 복구가 가능합니다.
사이버 공격의 대상이 되는 시스템의 수가 늘어나고 공격 유형이 다양하고 복잡해짐에 따라 이전과 같은 단순 영역별 보안만으로는 위협을 탐지하기 어렵습니다. 앞서 언급되었던 솔라윈즈 공급망 해킹 사건의 경우 공격자가 최초 공격을 시도한 순간부터 탐지되기까지 약 8개월이 소요되었습니다.
기업의 보안사고 예방과 피해 최소화를 위해서는 IT 시스템 전반에 대한 이해와 가시성을 바탕으로 영역별 이상 징후들을 통합 분석하여 위협을 탐지할 수 있어야 합니다.
삼성SDS는 하나의 플랫폼을 통해 IT, OT, IoT 등 기업의 업무 시스템 전 영역에서 발생하는 이벤트를 통합 관리하는 MSSP(Managed Security Service Provider) 사업자로서 지난해 글로벌 시장 조사기관인 프로스트 앤 설리번(Frost & Sullivan)에서 수여하는 2021년 MSSP 부문 올해의 기업상 수상, IDC의 APAC 클라우드 보안 메이저 플레이어 선정 등 국내 보안 선두기업으로 이름을 올리고 있습니다. 또한 Zero Trust 기반 IAM 솔루션을 통해 인증 및 권한 관리 보안을 강화하고자 하는 노력을 전개하고 있습니다.
클라우드 인프라부터 사용자 단말 보안까지 End-to-End 보안 강화를 위한 전문가의 도움이 필요하시다면 언제든 문의 부탁드립니다. 삼성SDS가 도와드리겠습니다.
References
[1] https://www.statista.com/statistics/595182/worldwide-security-as-a-service-market-size/
[2] https://www.chosun.com/international/international_general/2021/08/04/TDE4YT6TJBDTBOA7RJVJCHMTYI/
[3] https://www.datanet.co.kr/news/articleView.html?idxno=162496
[4] https://news.einfomax.co.kr/news/articleView.html?idxno=4090146
[5] https://www.itworld.co.kr/news/189328
[6] https://www.cctvnews.co.kr/news/articleView.html?idxno=229908
[7] https://zdnet.co.kr/view/?no=20210929131738
[8] https://www.fugue.co/blog/an-optimistic-outlook-for-2022-cloud-security-vulnerabilities-are-100-preventable
[9] https://m.etnews.com/20210621000245
[10] https://www.boannews.com/media/view.asp?idx=95062
[11] https://www.hani.co.kr/arti/politics/diplomacy/1015261.html
▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
삼성SDS 보안사업기획팀
보안 시장 분석 및 관련 컨텐츠 작성 업무를 수행하고 있습니다.