2011.08.23

'아는 사람'의 사이버 공격도 증가... 사례에서 배우는 예방법

Todd R. Weiss | CIO
외부의 IT시스템 공격을 예방하는 것은 대부분의 기업들에게 아주 중대하고 중요한 작업이다. 그러나 내부에서 비롯된 공격을 막기 위해서 어떤 활동을 있나? 이는 더 많은 기업들이 스스로에게 물어야 하는 질문이다.

고의적으로 발생하는 내부 IT사고가 정기적으로 기업을 공격하는 사례가 늘고 있고, 이로 인해 며칠 또는 몇 주 동안 네트워크가 차단되면서 금전적 손실을 입기 때문이다.

최근 일본 제약회사인 시오노기(Shionogi)의 미국 지사에서 37세 전직 IT 직원이 지난 2월 이 회사의 IT인프라를 원격에서 침투해 몰래 공격한 혐의로 유죄를 선고 받았다. IDG 뉴스 서비스(IDGNS)에 따르면, 시오노기는 이 공격으로 며칠 동안 기업 활동에 어려움을 겪었으며 US 80만 달러 이상의 손해를 입었다.

IDGNS와 법원 문서에 따르면 전 직원인 제이슨 코니시는 재직 중인 동안 만들었던 가상 서버를 사용해 네트워크에 로그인 한 후, 이메일과 주문 추적, 재무 및 다른 서비스 식으로 하나씩 서버를 공격했다. IDGNS는 또 코니시의 전 직장 상사가 네트워크 패스워드를 넘기라는 요구를 거부해, 결국 해고를 당했다고 보도했다.

IT 보안 애널리스트들은 이런 사고가 기업들이 기본적인 보안 대책과 상식을 이용해 정기적으로 발생하는 공격에 맞서 싸우기 위해 최선을 다해야 한다는 점을 일깨우고 있다고 지적했다. 기업의 방화벽뿐 아니라 기업 내부에서도 이런 위협이 가해질 수 있다는 것이다.

스파이어 시큐리티(Spire Security)의 애널리스트 피트 린드스트롬은 "책임을 분산시켜, 이런 일이 발생해도 한 사람이 공모해 장기적으로 범죄활동을 벌이거나 피해를 초래하는 일을 막아야 한다. 방법으로는 다른 시스템에 대한 활동을 기록하고 모니터링 시스템과 예방 대책을 확보하는 것을 들 수 있다. 이러한 노력은 누가 접속하고 무슨 짓을 저질렀는지 추적을 할 수 있도록 해준다"라고 말했다.

여기에도 고려해야 점이 있다. IT 인력들은 해당 부서가 하는 일의 전문가들인 경우가 많아, 이런 보호 대책을 회사가 어떻게 처리할지를 안다는 것이다. 린드스토룸은 "이 단계라면 아주 다루기 어려운 게임이 될 수 있다. 정말 똑똑한 공격자들이라면 스스로를 감추기 위해 많은 일을 할 수 있다"라고 설명했다.

따라서 책임을 분산시켜 유지하는 것 외에 기업이 중요한 IT 작업을 맡기기 위해 채용한 사람을 제대로 파악할 필요가 있다. 린드스트롬은 이에 대해 "반드시 직원의 배경을 조사해야 한다. 과거 해킹 사건에 연루된 이력이 있는 누군가를 채용했다면, 위험이 있다고 할 수 있다"라고 설명했다.

또 기업들은 몇몇 사람들이 공유하곤 하는 IT 관리자 계정의 수와 활용을 제한하기 위해 노력해야 한다. 린드스트롬은 "문제가 발생할 수 있는 지점이다. 따라서 이를 최소화 하도록 노력해야 한다. 또 관리자들이 이런 범죄가 일어날 때마다 경찰들은 내부인의 소행임을 알고 있으며, 따라서 초기 단계부터 용의자가 될 수 있기 때문에, 이런 모든 액세스에 대한 책임을 실제로는 원하지 않을 것이라는 점을 납득할 수 있도록 설득해야 한다"라고 말했다.

IT 직원 각자에 대해 특정 권한과 책임을 상세하게 정해주는 것도 이런 내부 공격을 예방하는 데에 아주 중요하다.


애널리스트 전문 기업인 엔터프라이즈 매니지먼트 어소시에이츠(Enterprise Management Associates)의 CEO 댄 트윙은 기업들이 내부 직원의 고의적인 시스템 공격을 예방하기 위해 동원할 수 있는 몇 가지 중요한 방법들을 소개했다.

1. IT 부서에서 사용하고 있는 네트워크 및 자원을 잘 문서화 해 유지해야 한다. 패스워드와 어디서 접속했는 지에 대한 기록을 철저하게 관리하고, 상부에서 하부까지, 그리고 내부와 외부의 시스템 인프라를 투명하게 문서화 해야 함을 의미한다. 트윙은 "IT 부서가 문서화하지 않는 부분들이 너무 많다. 일부 IT 직원들은 아무것도 문서화하지 않는다. 긴급 사태가 발생했을 때 이를 바로 잡아 영웅이 되고자 일 수도 있고, 또는 너무 게으르거나 자신들의 존재감을 높이는 방편이라 생각해서 일 수도 있다"라고 풀이했다.

2. 기업이 침입 사고를 예방하기 위해 시스템에 대해 가능한 가장 높은 수준의 관리권한을 유지할 수 있는 '수퍼 관리자' 접근을 만들어 유지한다. 다만 철저하게 문서화해야 하고, 소수의 믿을 수 있는 책임자들이 이를 관리하도록 해야 한다.

3. 관리자 패스워드를 빠르고 투명하게 변경할 수 있도록 한다. 누군가 회사를 그만둔 후에 시스템을 변경하지 못하도록 하기 위해서다. 만약 이 사람들이 무언가에 접근해야 한다면, 신뢰할 수 있는 다른 IT 팀 직원이 관장하는 가운데 구분된 액세스를 하도록 할 수 있다. 이런 방식으로 생산 환경과 분리하는 것이다. 트윙은 "이런 방법을 더 많이 도입하면 운영이 다소 늦어질 수 있다. 그러나 통제는 할 수 있게 된다. 얻는 것이 있으면 포기해야 하는 것이 있기 마련이다"라고 말했다.

4. 네트워크에 예기치 않은 활동이 있을 때 경고를 하고 문턱을 설정할 수 있는 IT 툴을 이용해 혹시라도 발생할 내부 공격을 포착할 가능성을 높인다. 트윙은 "해커들을 몰아내기 위해 울타리를 감시하는 것만큼이나 내부 프로세스와 시스템을 감시할 필요가 있다는 점을 명심해야 한다. 최소한 문제가 커지기 전에 내부에서 이를 중단시킬 수 있기 때문이다. 또 외부에서만 문제가 발생한다고 가정해서도 절대 안 된다"라고 강조했다.

가트너의 보안 담당 애널리스트 앤드류 월스에 따르면, IT직원들이 자신의 일을 마칠 수 있도록 필요한 권한을 갖도록 하는 동시에 시스템에 대한 전반적인 통제권에 제한을 정해두는 것이 균형을 잡는데 아주 중요하다.

월스는 "많은 기업들이 IT는 신비로운 세상과 같고 거기 사는 사람들은 항상 믿을 수 있다는 생각을 가지고 있다. 하지만 이런 믿음과 생각은 오래 전에 없어진 것들이다. IT직원들에게도 기업의 나머지 직원들에게 적용하는 동일한 규칙을 적용해야 한다"라고 강조했다.

월스에 따르면, 시오노기 사건에서 아이러니한 부분은 퇴사한 IT직원이 승인 받은 IT 툴을 이용해 회사 내부에 피해를 입혔다는 것이다. 만약 그가 퇴사한 즉시 20분 내에 네트워크에 대한 접근 권한을 없앴더라면 피할 수 있었던 사건이었다. 월스는 "만약 누군가를 해고했다면, 5시간이나 20시간이 아니라 그 즉시 접근 권한이 사라져야 한다. 많은 기업들이 실제로 직원들이 회사를 떠나기 전에 접근 권한을 제거하기 시작하고 있다. 이는 이런 공격을 가능하도록 하는 이유이기도 하다"라고 말했다.

시오노기 사건에서, 코니시는 회사와 지속적으로 분쟁을 벌인 끝에 사임을 했다. 그러나 회사는 그를 계약직으로 다시 채용해 프로젝트를 마치도록 해줬다. 그리고 이는 치명적인 실수였다.

월스는 "이 사람이 일하는 방식이 맘에 들지 않기 때문에 계약직으로 전환해 계속 접근할 수 있도록 했다는 기업들이 있는데, 걱정된다. 믿을 수 없는 사람은 회사의 환경에 접근하도록 하면 안된다. 시오노기에서 이런 사건이 발생할 수 있었던 이유는 사용자 프로비저닝 주기를 제대로 처리하지 못했기 때문이다. 시스템이 너무 복잡해 팀에서 대체 인력을 쉽게 찾을 수 없다면 문제가 큰 것이다"라고 지적했다.

이런 문제를 예방하는 가장 간단한 방법 중 하나는 경영 책임자와 IT직원들이 서로를 더 잘 이해해 별개의 조직이 아닌 하나의 팀으로 협력하는 것이다.

월스는 "경영 담당 책임자들은 IT 담당 책임자들과 개인적인 유대 관계를 맺어 서로를 더 잘 알 필요가 있다. 또 서로 정기적으로 대화를 나눠야 한다. IT 직원들이 언제 회사를 떠날지 알 필요가 있는데, 유일한 방법은 개인적인 관계를 통해 서로를 아는 것뿐이다. IT 팀을 별개의 세상에 살고 있는 '괴짜'들이 아닌 회사와 팀의 일부로 간주해야 한다"라고 강조했다. ciokr@idg.co.kr




2011.08.23

'아는 사람'의 사이버 공격도 증가... 사례에서 배우는 예방법

Todd R. Weiss | CIO
외부의 IT시스템 공격을 예방하는 것은 대부분의 기업들에게 아주 중대하고 중요한 작업이다. 그러나 내부에서 비롯된 공격을 막기 위해서 어떤 활동을 있나? 이는 더 많은 기업들이 스스로에게 물어야 하는 질문이다.

고의적으로 발생하는 내부 IT사고가 정기적으로 기업을 공격하는 사례가 늘고 있고, 이로 인해 며칠 또는 몇 주 동안 네트워크가 차단되면서 금전적 손실을 입기 때문이다.

최근 일본 제약회사인 시오노기(Shionogi)의 미국 지사에서 37세 전직 IT 직원이 지난 2월 이 회사의 IT인프라를 원격에서 침투해 몰래 공격한 혐의로 유죄를 선고 받았다. IDG 뉴스 서비스(IDGNS)에 따르면, 시오노기는 이 공격으로 며칠 동안 기업 활동에 어려움을 겪었으며 US 80만 달러 이상의 손해를 입었다.

IDGNS와 법원 문서에 따르면 전 직원인 제이슨 코니시는 재직 중인 동안 만들었던 가상 서버를 사용해 네트워크에 로그인 한 후, 이메일과 주문 추적, 재무 및 다른 서비스 식으로 하나씩 서버를 공격했다. IDGNS는 또 코니시의 전 직장 상사가 네트워크 패스워드를 넘기라는 요구를 거부해, 결국 해고를 당했다고 보도했다.

IT 보안 애널리스트들은 이런 사고가 기업들이 기본적인 보안 대책과 상식을 이용해 정기적으로 발생하는 공격에 맞서 싸우기 위해 최선을 다해야 한다는 점을 일깨우고 있다고 지적했다. 기업의 방화벽뿐 아니라 기업 내부에서도 이런 위협이 가해질 수 있다는 것이다.

스파이어 시큐리티(Spire Security)의 애널리스트 피트 린드스트롬은 "책임을 분산시켜, 이런 일이 발생해도 한 사람이 공모해 장기적으로 범죄활동을 벌이거나 피해를 초래하는 일을 막아야 한다. 방법으로는 다른 시스템에 대한 활동을 기록하고 모니터링 시스템과 예방 대책을 확보하는 것을 들 수 있다. 이러한 노력은 누가 접속하고 무슨 짓을 저질렀는지 추적을 할 수 있도록 해준다"라고 말했다.

여기에도 고려해야 점이 있다. IT 인력들은 해당 부서가 하는 일의 전문가들인 경우가 많아, 이런 보호 대책을 회사가 어떻게 처리할지를 안다는 것이다. 린드스토룸은 "이 단계라면 아주 다루기 어려운 게임이 될 수 있다. 정말 똑똑한 공격자들이라면 스스로를 감추기 위해 많은 일을 할 수 있다"라고 설명했다.

따라서 책임을 분산시켜 유지하는 것 외에 기업이 중요한 IT 작업을 맡기기 위해 채용한 사람을 제대로 파악할 필요가 있다. 린드스트롬은 이에 대해 "반드시 직원의 배경을 조사해야 한다. 과거 해킹 사건에 연루된 이력이 있는 누군가를 채용했다면, 위험이 있다고 할 수 있다"라고 설명했다.

또 기업들은 몇몇 사람들이 공유하곤 하는 IT 관리자 계정의 수와 활용을 제한하기 위해 노력해야 한다. 린드스트롬은 "문제가 발생할 수 있는 지점이다. 따라서 이를 최소화 하도록 노력해야 한다. 또 관리자들이 이런 범죄가 일어날 때마다 경찰들은 내부인의 소행임을 알고 있으며, 따라서 초기 단계부터 용의자가 될 수 있기 때문에, 이런 모든 액세스에 대한 책임을 실제로는 원하지 않을 것이라는 점을 납득할 수 있도록 설득해야 한다"라고 말했다.

IT 직원 각자에 대해 특정 권한과 책임을 상세하게 정해주는 것도 이런 내부 공격을 예방하는 데에 아주 중요하다.


애널리스트 전문 기업인 엔터프라이즈 매니지먼트 어소시에이츠(Enterprise Management Associates)의 CEO 댄 트윙은 기업들이 내부 직원의 고의적인 시스템 공격을 예방하기 위해 동원할 수 있는 몇 가지 중요한 방법들을 소개했다.

1. IT 부서에서 사용하고 있는 네트워크 및 자원을 잘 문서화 해 유지해야 한다. 패스워드와 어디서 접속했는 지에 대한 기록을 철저하게 관리하고, 상부에서 하부까지, 그리고 내부와 외부의 시스템 인프라를 투명하게 문서화 해야 함을 의미한다. 트윙은 "IT 부서가 문서화하지 않는 부분들이 너무 많다. 일부 IT 직원들은 아무것도 문서화하지 않는다. 긴급 사태가 발생했을 때 이를 바로 잡아 영웅이 되고자 일 수도 있고, 또는 너무 게으르거나 자신들의 존재감을 높이는 방편이라 생각해서 일 수도 있다"라고 풀이했다.

2. 기업이 침입 사고를 예방하기 위해 시스템에 대해 가능한 가장 높은 수준의 관리권한을 유지할 수 있는 '수퍼 관리자' 접근을 만들어 유지한다. 다만 철저하게 문서화해야 하고, 소수의 믿을 수 있는 책임자들이 이를 관리하도록 해야 한다.

3. 관리자 패스워드를 빠르고 투명하게 변경할 수 있도록 한다. 누군가 회사를 그만둔 후에 시스템을 변경하지 못하도록 하기 위해서다. 만약 이 사람들이 무언가에 접근해야 한다면, 신뢰할 수 있는 다른 IT 팀 직원이 관장하는 가운데 구분된 액세스를 하도록 할 수 있다. 이런 방식으로 생산 환경과 분리하는 것이다. 트윙은 "이런 방법을 더 많이 도입하면 운영이 다소 늦어질 수 있다. 그러나 통제는 할 수 있게 된다. 얻는 것이 있으면 포기해야 하는 것이 있기 마련이다"라고 말했다.

4. 네트워크에 예기치 않은 활동이 있을 때 경고를 하고 문턱을 설정할 수 있는 IT 툴을 이용해 혹시라도 발생할 내부 공격을 포착할 가능성을 높인다. 트윙은 "해커들을 몰아내기 위해 울타리를 감시하는 것만큼이나 내부 프로세스와 시스템을 감시할 필요가 있다는 점을 명심해야 한다. 최소한 문제가 커지기 전에 내부에서 이를 중단시킬 수 있기 때문이다. 또 외부에서만 문제가 발생한다고 가정해서도 절대 안 된다"라고 강조했다.

가트너의 보안 담당 애널리스트 앤드류 월스에 따르면, IT직원들이 자신의 일을 마칠 수 있도록 필요한 권한을 갖도록 하는 동시에 시스템에 대한 전반적인 통제권에 제한을 정해두는 것이 균형을 잡는데 아주 중요하다.

월스는 "많은 기업들이 IT는 신비로운 세상과 같고 거기 사는 사람들은 항상 믿을 수 있다는 생각을 가지고 있다. 하지만 이런 믿음과 생각은 오래 전에 없어진 것들이다. IT직원들에게도 기업의 나머지 직원들에게 적용하는 동일한 규칙을 적용해야 한다"라고 강조했다.

월스에 따르면, 시오노기 사건에서 아이러니한 부분은 퇴사한 IT직원이 승인 받은 IT 툴을 이용해 회사 내부에 피해를 입혔다는 것이다. 만약 그가 퇴사한 즉시 20분 내에 네트워크에 대한 접근 권한을 없앴더라면 피할 수 있었던 사건이었다. 월스는 "만약 누군가를 해고했다면, 5시간이나 20시간이 아니라 그 즉시 접근 권한이 사라져야 한다. 많은 기업들이 실제로 직원들이 회사를 떠나기 전에 접근 권한을 제거하기 시작하고 있다. 이는 이런 공격을 가능하도록 하는 이유이기도 하다"라고 말했다.

시오노기 사건에서, 코니시는 회사와 지속적으로 분쟁을 벌인 끝에 사임을 했다. 그러나 회사는 그를 계약직으로 다시 채용해 프로젝트를 마치도록 해줬다. 그리고 이는 치명적인 실수였다.

월스는 "이 사람이 일하는 방식이 맘에 들지 않기 때문에 계약직으로 전환해 계속 접근할 수 있도록 했다는 기업들이 있는데, 걱정된다. 믿을 수 없는 사람은 회사의 환경에 접근하도록 하면 안된다. 시오노기에서 이런 사건이 발생할 수 있었던 이유는 사용자 프로비저닝 주기를 제대로 처리하지 못했기 때문이다. 시스템이 너무 복잡해 팀에서 대체 인력을 쉽게 찾을 수 없다면 문제가 큰 것이다"라고 지적했다.

이런 문제를 예방하는 가장 간단한 방법 중 하나는 경영 책임자와 IT직원들이 서로를 더 잘 이해해 별개의 조직이 아닌 하나의 팀으로 협력하는 것이다.

월스는 "경영 담당 책임자들은 IT 담당 책임자들과 개인적인 유대 관계를 맺어 서로를 더 잘 알 필요가 있다. 또 서로 정기적으로 대화를 나눠야 한다. IT 직원들이 언제 회사를 떠날지 알 필요가 있는데, 유일한 방법은 개인적인 관계를 통해 서로를 아는 것뿐이다. IT 팀을 별개의 세상에 살고 있는 '괴짜'들이 아닌 회사와 팀의 일부로 간주해야 한다"라고 강조했다. ciokr@idg.co.kr


X