2017.10.10

이퀴팩스 해킹 사건에서 어렵게 얻은 3가지 교훈

Bil Harmer | CSO
기업이 위험한 상황에 부닥치기 전에 감수할 수 있는 보안 위험은 어느 정도일까? 공식은 간단하다. 위험을 낮추는 데 필요한 금액과 해당 위험을 감수함으로써 얻을 수 있는 수익을 비교하면 된다.



이퀴팩스(Equifax)는 아마도 더 큰 이익을 얻기 위해 큰 위험을 감수하는 것도 괜찮으리라 판단했을 것이다. 그러나 결국 대량 데이터 유출 사고가 발생해 이 도박에서 크게 지고 말았다. 이미 알고 있듯 이번 재난에서 가장 놀라운 점은 이런 일이 발생하지 않을 수 있었다는 점이다. 즉 정보 유출을 피할 수 있었다. 이퀴팩스에 악용된 취약성은 이미 수개월 전에 해당 솔루션 개발자가 발견해 수정해 놓은 것이었다. 간단한 보안 패치로 이번 재앙을 막을 수 있었다.

이번 유출 사건에서 CISO, CIO, CFO 등이 위험의 관점에서 배울 수 있는 3가지 주요 교훈은 다음과 같다.

패치 관리의 실패
아파치 스트러츠(Apache Struts) 패치를 적용하지 않은 이유는 무엇이었을까? 기업 리더는 이 패치를 적용하기에 너무 위험하다고 판단했던 것 같다. 간단한 패치라도 통합, 테스트, 배치를 하려면 사람과 자원, 시간이 필요하다. 패치로 인해 시스템에 장애가 발생할 위험은 항상 존재하며 최악의 경우 수익 감소와 운영 비용 증가로 이어질 수 있다.

이퀴팩스 경영진이 할 수 있는 또 다른 변명은 “위험을 비즈니스 부문으로 이관”하려 했다는 것이다. 그러나 이런 낡은 변명으로 인해 각 사업부는 “목표를 충족하지 않는 위험”과 “적절한 수준의 보안을 적용하는 위험” 사이에서 고민하게 된다. 금융 기관부터 의료 부문까지 모두 이런 생각을 하고 있다. 보너스 또는 목표를 잃을 때의 손실은 무형의 유출 위험보다 훨씬 크다. 따라서 비즈니스 부문 누구도 위험에 대해서 포괄적으로 이해하지 못한다.

여기에서 아이러니가 발생한다. 지난해 전 세계 기업이 보안 제품과 서비스에 쓴 비용은 750억 달러가 넘지만 정보 유출은 여전히 발생하고 있다. 엄청난 양의 민감한 소비자 데이터를 관리하는 시스템을 운영하는 것과 관련된 위험을 무엇인지 파악하기 위해 시간을 투자하지 않는다면 어떤 툴을 사용해도 소용없다. 기업은 오랫동안 매출의 상당 부분이 소요된다고 생각하기 때문에 사려 깊은 보안 프로토콜(시험, 이행, 모니터링 등)을 축소해 왔다.

이퀴팩스는 이 문제에 대한 완벽한 사례 연구이다. 2016년 1/4분기와 2017년 1/4분기 사이에 거의 같은 영업익을 유지하면서 훌륭한 매출 증가를 달성했다. 하지만 지난해 많은 기업이 랜섬웨어 공격을 포함해 역대 최대 규모의 사이버 공격을 받았다. 한 기업의 영업익이 같게 유지되는 상황에서 보안을 어떻게 강화할 수 있었을까? 그것은 아마도 불가능할 것이다.

거버넌스의 실패
위험 관리의 실패 외에 프로세스도 실패했다(도덕은 말할 것도 없다). 정보 유출 사고가 발생했음을 외부에 알리기 전에 이퀴팩스의 임원 3명이 주식을 매도했다. (CFO를 포함한) 이들 임원은 유출 사실을 안 후 주가 폭락을 예상했거나 혹은 유출 자체를 전혀 모른 상태에서 매도했을 가능성도 있다. 그러나 만약 후자라면 이 기업의 유출 보고 프로세스는 이미 엉망이다. 리더십의 실패이기도 하다. 유출 보고 프로세스가 있었음에도 이를 따르지 않았다면 이것도 리더십의 실패다. 유출 보고 프로세스가 있었고 이를 따랐다면 내부자 정보에 기초한 주식 매도는 비교적 명확하고 단순한 (그러나 중요한) 범죄로 볼 수 있다.

어떤 조직 문화가 고객의 민감한 개인 및 금융 정보 유출을 고위 경영진에 보고하지 않겠다는 생각으로 이어질 수 있을까? 이퀴팩스의 경우 의심스러운 행동이 계속됐다. 해킹 해결 시도 과정에서 아마추어 같은 모습을 보이면서 자사의 브랜드와 고객 신뢰를 지속적으로 갉아먹었다. 해킹 피싱 시도 후 해당 기업은 고객이 다른 사이트를 방문해 유출 여부를 확인하도록 권장했다(아마도 트래픽 유입을 원치 않았을 것이다).

또한 해당 사이트는 신용도를 모니터링하기 위한 이퀴팩스의 자체 서비스를 제공하기 전에는 소비자에게 일관된 정보를 제공하지 않았다. 결국 판단과 거버넌스에 여러 문제가 있었고 이로 인해 유출이 발생했으며 그로 인해 법무부(Department of Justice)는 이미 해당 사건에 대한 범죄 수사를 시작했다.


원칙 관리의 실패
이번 공격을 감행한 해커에 대한 정보는 아직 밝혀지지 않았다. 민감한 데이터를 판매해 얻는 금융 수익이 주된 동기가 아니며, 국가 수준의 공격이었다는 분석도 있다. 그것이 사실이라면 앞으로 미국에 대한 더 큰 공격이 있을 수도 있음을 의미한다. 이런 공격자들은 미국과 전쟁을 벌이는 유일한 방법이 미국을 구성하는 원칙을 은밀하게 공격하는 것이라고 믿고 있다.

실제로 지난해에는 미국의 선거 시스템이 공격을 받았다. 투표수를 조작하는 등 직접적인 것은 아니었겠지만 정치 선전을 이용하고 자유 공정 선거에 대한 신뢰를 손상했다. 올해에는 미국의 신용 제도에 대한 공격이 있었다. 당시 모든 주요 신용기관이 신용 동결에 대한 너무 많은 요청을 처리하면서 처리 용량을 초과했다. 이런 작업은 해당 국가가 신용을 기반으로 운영되므로, 신용 동결 요청의 홍수는 신용 제도에 대한 공격과 같다. 신용 동결이 발생하면 소비가 정체되고 경제 성장이 둔화한다.

악당들이 선거와 신용 제도를 쉽게 조작할 수 있다면 그다음 표적은 무엇일까? 전력 시스템 차단? 수도 공급 차단? 이런 공격의 진정한 위험은 기업에 큰 혼란을 유발하는 일상 공격 외에 국가를 구성하는 제도에 대한 신뢰를 낮춰 피해 망상과 불안을 조장하는 것이다. 이로 인해 경제와 선거, 자원 등을 저해하는 더 심각한 위험으로 치달을 수 있다.

이번 이퀴팩스 정보 유출 사건은 엔론(Enron)이 금융 및 공개 활동에서 그랬던 것처럼 사이버 보안과 위험 활동에 상당한 영향을 끼칠 것으로 보인다. 유럽처럼 미국에서도 GDPR과 유사한 법안을 도입될 가능성도 있다.

에필로그 - 2차 위험
현재 이번 사건의 파문은 계속 커지고 있다. 이번 주만 하더라도 3대 신용기관 중 하나인 익스페리언(Experian)이 정보 유출 사건에 휘말렸다. 신용점수와 모니터링을 제공하는 이 기업은 소비자가 새로운 신용 한도액을 신청하지 못하도록 신용을 ‘동결'하는 서비스를 제공해 왔다. 안타깝게도 그들이 대안으로 내세운 “핀 복구” 프로세스는 이퀴팩스 해킹에서 유출된 많은 정보로 뚫릴 수 있다. 이 두 사례가 모두 실망스럽다고 느낀다면 소비자에 대한 이 유출의 심각성과 후속 영향을 진정으로 이해하고 있는 것이다. ciokr@idg.co.kr 
2017.10.10

이퀴팩스 해킹 사건에서 어렵게 얻은 3가지 교훈

Bil Harmer | CSO
기업이 위험한 상황에 부닥치기 전에 감수할 수 있는 보안 위험은 어느 정도일까? 공식은 간단하다. 위험을 낮추는 데 필요한 금액과 해당 위험을 감수함으로써 얻을 수 있는 수익을 비교하면 된다.



이퀴팩스(Equifax)는 아마도 더 큰 이익을 얻기 위해 큰 위험을 감수하는 것도 괜찮으리라 판단했을 것이다. 그러나 결국 대량 데이터 유출 사고가 발생해 이 도박에서 크게 지고 말았다. 이미 알고 있듯 이번 재난에서 가장 놀라운 점은 이런 일이 발생하지 않을 수 있었다는 점이다. 즉 정보 유출을 피할 수 있었다. 이퀴팩스에 악용된 취약성은 이미 수개월 전에 해당 솔루션 개발자가 발견해 수정해 놓은 것이었다. 간단한 보안 패치로 이번 재앙을 막을 수 있었다.

이번 유출 사건에서 CISO, CIO, CFO 등이 위험의 관점에서 배울 수 있는 3가지 주요 교훈은 다음과 같다.

패치 관리의 실패
아파치 스트러츠(Apache Struts) 패치를 적용하지 않은 이유는 무엇이었을까? 기업 리더는 이 패치를 적용하기에 너무 위험하다고 판단했던 것 같다. 간단한 패치라도 통합, 테스트, 배치를 하려면 사람과 자원, 시간이 필요하다. 패치로 인해 시스템에 장애가 발생할 위험은 항상 존재하며 최악의 경우 수익 감소와 운영 비용 증가로 이어질 수 있다.

이퀴팩스 경영진이 할 수 있는 또 다른 변명은 “위험을 비즈니스 부문으로 이관”하려 했다는 것이다. 그러나 이런 낡은 변명으로 인해 각 사업부는 “목표를 충족하지 않는 위험”과 “적절한 수준의 보안을 적용하는 위험” 사이에서 고민하게 된다. 금융 기관부터 의료 부문까지 모두 이런 생각을 하고 있다. 보너스 또는 목표를 잃을 때의 손실은 무형의 유출 위험보다 훨씬 크다. 따라서 비즈니스 부문 누구도 위험에 대해서 포괄적으로 이해하지 못한다.

여기에서 아이러니가 발생한다. 지난해 전 세계 기업이 보안 제품과 서비스에 쓴 비용은 750억 달러가 넘지만 정보 유출은 여전히 발생하고 있다. 엄청난 양의 민감한 소비자 데이터를 관리하는 시스템을 운영하는 것과 관련된 위험을 무엇인지 파악하기 위해 시간을 투자하지 않는다면 어떤 툴을 사용해도 소용없다. 기업은 오랫동안 매출의 상당 부분이 소요된다고 생각하기 때문에 사려 깊은 보안 프로토콜(시험, 이행, 모니터링 등)을 축소해 왔다.

이퀴팩스는 이 문제에 대한 완벽한 사례 연구이다. 2016년 1/4분기와 2017년 1/4분기 사이에 거의 같은 영업익을 유지하면서 훌륭한 매출 증가를 달성했다. 하지만 지난해 많은 기업이 랜섬웨어 공격을 포함해 역대 최대 규모의 사이버 공격을 받았다. 한 기업의 영업익이 같게 유지되는 상황에서 보안을 어떻게 강화할 수 있었을까? 그것은 아마도 불가능할 것이다.

거버넌스의 실패
위험 관리의 실패 외에 프로세스도 실패했다(도덕은 말할 것도 없다). 정보 유출 사고가 발생했음을 외부에 알리기 전에 이퀴팩스의 임원 3명이 주식을 매도했다. (CFO를 포함한) 이들 임원은 유출 사실을 안 후 주가 폭락을 예상했거나 혹은 유출 자체를 전혀 모른 상태에서 매도했을 가능성도 있다. 그러나 만약 후자라면 이 기업의 유출 보고 프로세스는 이미 엉망이다. 리더십의 실패이기도 하다. 유출 보고 프로세스가 있었음에도 이를 따르지 않았다면 이것도 리더십의 실패다. 유출 보고 프로세스가 있었고 이를 따랐다면 내부자 정보에 기초한 주식 매도는 비교적 명확하고 단순한 (그러나 중요한) 범죄로 볼 수 있다.

어떤 조직 문화가 고객의 민감한 개인 및 금융 정보 유출을 고위 경영진에 보고하지 않겠다는 생각으로 이어질 수 있을까? 이퀴팩스의 경우 의심스러운 행동이 계속됐다. 해킹 해결 시도 과정에서 아마추어 같은 모습을 보이면서 자사의 브랜드와 고객 신뢰를 지속적으로 갉아먹었다. 해킹 피싱 시도 후 해당 기업은 고객이 다른 사이트를 방문해 유출 여부를 확인하도록 권장했다(아마도 트래픽 유입을 원치 않았을 것이다).

또한 해당 사이트는 신용도를 모니터링하기 위한 이퀴팩스의 자체 서비스를 제공하기 전에는 소비자에게 일관된 정보를 제공하지 않았다. 결국 판단과 거버넌스에 여러 문제가 있었고 이로 인해 유출이 발생했으며 그로 인해 법무부(Department of Justice)는 이미 해당 사건에 대한 범죄 수사를 시작했다.


원칙 관리의 실패
이번 공격을 감행한 해커에 대한 정보는 아직 밝혀지지 않았다. 민감한 데이터를 판매해 얻는 금융 수익이 주된 동기가 아니며, 국가 수준의 공격이었다는 분석도 있다. 그것이 사실이라면 앞으로 미국에 대한 더 큰 공격이 있을 수도 있음을 의미한다. 이런 공격자들은 미국과 전쟁을 벌이는 유일한 방법이 미국을 구성하는 원칙을 은밀하게 공격하는 것이라고 믿고 있다.

실제로 지난해에는 미국의 선거 시스템이 공격을 받았다. 투표수를 조작하는 등 직접적인 것은 아니었겠지만 정치 선전을 이용하고 자유 공정 선거에 대한 신뢰를 손상했다. 올해에는 미국의 신용 제도에 대한 공격이 있었다. 당시 모든 주요 신용기관이 신용 동결에 대한 너무 많은 요청을 처리하면서 처리 용량을 초과했다. 이런 작업은 해당 국가가 신용을 기반으로 운영되므로, 신용 동결 요청의 홍수는 신용 제도에 대한 공격과 같다. 신용 동결이 발생하면 소비가 정체되고 경제 성장이 둔화한다.

악당들이 선거와 신용 제도를 쉽게 조작할 수 있다면 그다음 표적은 무엇일까? 전력 시스템 차단? 수도 공급 차단? 이런 공격의 진정한 위험은 기업에 큰 혼란을 유발하는 일상 공격 외에 국가를 구성하는 제도에 대한 신뢰를 낮춰 피해 망상과 불안을 조장하는 것이다. 이로 인해 경제와 선거, 자원 등을 저해하는 더 심각한 위험으로 치달을 수 있다.

이번 이퀴팩스 정보 유출 사건은 엔론(Enron)이 금융 및 공개 활동에서 그랬던 것처럼 사이버 보안과 위험 활동에 상당한 영향을 끼칠 것으로 보인다. 유럽처럼 미국에서도 GDPR과 유사한 법안을 도입될 가능성도 있다.

에필로그 - 2차 위험
현재 이번 사건의 파문은 계속 커지고 있다. 이번 주만 하더라도 3대 신용기관 중 하나인 익스페리언(Experian)이 정보 유출 사건에 휘말렸다. 신용점수와 모니터링을 제공하는 이 기업은 소비자가 새로운 신용 한도액을 신청하지 못하도록 신용을 ‘동결'하는 서비스를 제공해 왔다. 안타깝게도 그들이 대안으로 내세운 “핀 복구” 프로세스는 이퀴팩스 해킹에서 유출된 많은 정보로 뚫릴 수 있다. 이 두 사례가 모두 실망스럽다고 느낀다면 소비자에 대한 이 유출의 심각성과 후속 영향을 진정으로 이해하고 있는 것이다. ciokr@idg.co.kr 
X