소기업 노리는 해킹, '서비스로서 SIEM'으로 막는다

지난 2016년 2월 레스토랑 프랜차이즈 기업 '웬디스 컴퍼니(Wendy’s Company)'는 가맹 매장 일부에서 비정상적인 카드 결제가 발생하는 것을 포착했다.

이후 3개월에 걸친 조사 끝에 일부 매장의 POS(Point-of-Sale) 시스템이 악성코드에 감염된 것을 확인했다. 이어 6월에도 추가적인 악의적인 활동이 발견됐다. 기업의 CEO는 "서비스 제공 업체의 원격 접속 계정이 탈취돼 발생한 사이버 공격으로 보인다. 이를 통해 해커가 일부 매장의 POS 시스템에 악성코드를 심었다"라고 설명했다.


Image Credit: Getty Images Bank

이 사례에서 중요한 것은 사고가 발생한 가맹점이 웬디스 직영 매장이 아니라는 점이다. 그러나 결국 데이터 유출 사고는 웬디스 브랜드에 큰 타격을 입혔다. 더 심각한 것은 이런 사고가 비단 웬디스만의 사례가 아니라는 사실이다. 서브웨이, 데어리 퀸, 윈드함 호텔, UPS를 포함해 많은 프랜차이즈 기업이 가맹점의 데이터 유출 때문에 피해를 봤다.

이런 사건은 일부 미국 기업의 보안 취약점을 잘 보여준다. 바로 소기업이다. 현재 미국내 전체 소기업의 4%가 1500개 이상의 브랜드를 가진 프랜차이즈 가맹점이다. 무려 78만 5000개에 달하는 레스토랑과 호텔, 헬스 클럽, 자동차 서비스, 홈 서비스, 개인 서비스 매장이 다양한 브랜드를 달고 영업하고 있다. 일반적으로 이들은 독립적으로 운영되는 일종의 소기업으로, 사이버 보안을 담당하는 인력과 지식, 전문가를 갖고 있지 않다. 사이버 공격으로 부터 자신의 매장은 물론 그들이 사용하는 브랜드를 보호하지 못하는 상황인 것이다.

프랜차이징닷컴의 보도를 보면, 데이빗 지타니와 루이스 너트 등의 변호사는 브랜드 운영업체에 가맹점에게 보안 사고가 발생하면 본사에 통보하도록 해야 한다고 조언했다. 이들은 브랜드를 보호하고 데이터 보안 사고에 신속하고 적절하게 대응하기 위해 브랜드 운영업체가 가맹점에 데이터 보안 사고에 대해 몇가지를 확실히 해야 한다고 주장했다. 데이터 보안 사고를 즉시 본사에 알리고, 사고 조사하기 위한 모든 법적 책임을 다하며, 특히 법적으로 필요하다면 정부 당국과 소비자에게 보안 사고가 있었음을 알리는 것 등이다.

데이터 유출 사고 이후 알리는 것은 법적으로 필요한 절차일 수 있다. 그러나 더 좋은 대응 형태는 데이터 유출을 막고, 감지하고 대응, 개선할 수 있는 사이버 보안 시스템을 갖추는 것이다. 즉 데이터 유출 이후 대처하는 것보다 미리 막는 데 더 신경써야 한다.

보안 위협은 점점 더 광범위해지고 복잡해지고 있다. 그동안 해커의 타깃이 아니었다고 여겨지던 소기업도 이제는 주요 공격 대상이 되고 있다. 실제로 지난해 오라클의 마이크로스 POS 시스템 악성코드 감염 사고의 경우 수많은 소규모 매장에서 데이터가 유출됐다. 이 시스템은 33만 곳 이상에서 사용됐지만 이 소기업 대부분이 자사 시스템의 악성코드 감염을 탐지하는 아무런 수단도 갖고 있지 않았다. 은행이나 카드사, 법원이 문제를 알려줄 때까지는 전혀 모르는 상황인 것이다.


이런 가운데 보안 서비스 업체 '넷수리언(Netsurion)'이 최근 프랜차이즈 가맹점처럼 여러 지역에 분산된 소기업에 위협 탐지 솔루션을 제공하는 새로운 서비스 '심엣더엣지(SIEM-at-the-Edge)'를 출시했다. 개별 점포에 이벤트트랙커 심(SIEM) 기술을 적용하고 보안 이벤트 모니터링과 MDR(Managed Detection and Response)을 결합해 제공한다.

일반적으로 SIEM(Security Information and Event Management)은 그 복잡성과 비용 때문에 소기업은 도입하지 못했다. 현실적으로도 소기업과 프랜차이즈 매장 대부분은 내부 IT 전문가가 없어 자체적으로 보안 이벤트를 확인하고 사고에 대응하는 것이 거의 불가능하다.

넷수리언의 새 서비스는 이런 어려움을 해소하기 위한 것이다. 각 매장에서 해야 할 것은 기존 워크스테이션이나 서버에 센서를 하나 설치하는 것이 전부이다. 이 센서가 이벤트 정보를 넷수리언의 이벤트트랙커 SIEM으로 보내 분석한다. 의심스럽거나 악의적인 보안 이벤트라고 확인되면 넷수리언이 필요한 조처를 한다.

예를 들어 악성코드가 프랜차이즈 기업의 서버에 설치됐다면, 이는 안티 바이러스 소프트웨어로는 감지되지 않는다. 반면 넷수리언은 시스템에서 실행되는 모든 것은 감시한다. 새로운 소프트웨어가 발견되면 57개 다른 안티 바이러스 시스템에 걸친 해시 버전과 비교해 위험한 것으로 판단되면 이 소프트웨어를 문제가 있는 것으로 인식해 격리한다. 이 소프트웨어는 정상적인 것이지 최종적으로 판단된 이후에 다시 사용할 수 있다.

넷수리언은 개별 매장의 추가 데이터를 확보하지 않아도 이러한 작업을 처리할 수 있는 보안 분석가를 다수 확보하고 있다. 소프트웨어가 악성코드로 판명되면 피해를 주기 전에 삭제된다.

서비스 사용 방식은 다양하다. 단일 지점이 넷수리언과 계약을 체결해 이용할 수 있고, 프랜차이즈 본사가 자사의 모든 가맹점에 이 서비스를 이용하도록 권고할 수도 있다. 특히 후자의 경우 한 매장 이상에 영향을 주는 보안 이벤트인지 확인하기 위해 모든 매장의 데이터를 수집해 분석할 수 있다. 만약 웬디스가 이런 서비스의 도움을 받았다면 수많은 매장이 감염되지도, 데이터 유출이 발생하지도 않았을 수 있었다. 한 지점에서 악성코드를 감지하면 필요에 따라 다른 모든 지점을 즉각 조사할 수 있기 때문이다.

로컬 IT 조직이 있는 지점이라면 넷수리언의 알림만 받아 자체적으로 대응하도록 하는 것도 가능하다. 고객은 넷수리언의 자동적인 개입 서비스를 받거나 혹은 알림만 받도록 서비스 내용을 선택할 수 있다. 넷수리언은 고객이 너무 많은 알림을 받지 않도록 중요한 이벤트만 분류해 제공한다. 넷수리언의 심엣더엣지는 구독형 서비스이며, 가격은 월 20~50달러이다.

*Linda Musthaler는 정보 기술의 실제적인 가치와 개별 노동자와 기업의 생산성 향상 방안을 연구하는 에센셜 솔루션(Essential Solutions)의 수석 애널리스트이다. 에센셜 솔루션은 컴퓨터 업계와 기업 고객이 IT의 잠재성을 규정하고 실현하는데 도움을 주는 컨설팅 서비스를 제공한다. ciokr@idg.co.kr