2020.12.21

강은성의 보안 아키텍트ㅣ연말이면 쏟아지는 사이버 위협 보고서, 그래서 어쩌라고?

강은성 | CIO KR
올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다. 
 
ⓒGetty Images

그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다. 

또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다.

개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다. 

우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다. 
 
[그림] 2020년 상반기 랜섬웨어 발생 상위 10개국

소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반기에 랜섬웨어 발생 상위 10개국 중 미국은 발생 규모가 다른 나라를 압도한다. 데이터 복구 비용으로 수억 원을 지급한 미국 기업이 있고, 브라질과 영국에서는 수십억 원에서 수백억 원의 몸값을 지급한 기업도 있다는 보도도 있다. 표적 공격과 함께 서비스형 랜섬웨어(Ransomware as a Service)의 대중화가 영향을 미쳤을 것으로 보인다. 

결국 시간과 공간을 초월하는 사이버 위협 지형에서 우리나라의 어떤 기업도 표적 공격의 대상에서 벗어날 수 없다는 인식의 변화가 필요하다. 지금 우리나라에는 반도체, 자동차, 휴대폰, 2차전지 등 세계적으로도 유망한 산업에서 기술력과 시장을 확보한 중소기업이 많다.

우리는 ‘중소기업’이어서 괜찮을 거라는 생각은 순진한 발상이다. 몇 년 전 국내에서 랜섬웨어로 피해가 컸던 호스팅 업체도 중소기업이었다. 사업의 지속성을 위해 반드시 대비해야 한다.

둘째, 피싱은 코로나19 사태나 미국 대통령선거와 같이 사람들의 관심이 큰 이슈가 발생할 때 늘어나는 사회공학 공격이다. 보통 기업에서 하는 피싱 모의훈련은 주로 의심스러운 이메일을 열어보지 않거나 첨부 파일을 클릭하지 않도록 하는 데 집중된다. 

하지만 임직원 중에 단 한 명도 그런 행위를 하지 않으리라고 보증하기는 어렵다. 피싱 테스트를 주관하는 정보보안팀도 막상 표적 피싱(Spear phishing) 메일을 받으면 클릭하지 않을지 의문이다.

근본적으로 피싱 대책은 최소한 몇 명은 이메일을 열어 보거나 심지어 첨부파일을 클릭할 때에도 사고로 이어지지 않도록 솔루션을 구축하고 그것을 테스트하는 시험이 바람직하다. 피싱 메일을 받은 임직원이 신속하게 정보보안팀에 신고하고 정보보안팀은 신속하고 정확하게 대응하는 훈련 역시 중요하다. 

셋째, ‘원격’이다. 사실 원격 업무는 빈도나 규모만 다를 뿐이지 이미 회사에서 하는 업무 형태다. 외주 개발자나 장비 유지보수 인력이 외부에서 회사 내부로 접속하여 작업하기도 하고, 출장이나 휴가를 간 직원이 원격에서 접속하곤 한다. 과거에도 이런 환경을 악용한 사이버 공격으로 인해 개인정보 유출 사고 등 적지 않은 피해가 발생하였다. 

코로나19 환경에서 원격 업무가 자주, 대규모로 발생한다. 원격 업무 보안은 해당 임직원의 단말 보안, 물리적 보안까지 다뤄야 할 내용이 많고, 개인정보처리시스템을 외부에 접속할 때에는 가상사설망(VPN) 또는 이중인증을 쓰라는 법규도 있지만 기술적으로는 암호화 통신, 이중인증, 최대 접속 시간 제한을 제공하는 것이 핵심이다. 

올해에도 한 해의 사이버 위협을 정리하고 내년을 조망하는 보고서들이 많이 나오고 있는데, 우리 기업보안 담당자들에게 인사이트와 취할 수 있는 구체적 행동을 짚어주는 보고서가 있으면 좋겠다. 

특히 강력한 개인정보 법규가 있는 국내에서는 관련 법규의 변화가 무슨 의미이고, 기업의 담당 임직원이 어떤 일을 해야 할지 제시해 주는 것 역시 필요하다. 간단한 일은 아니겠지만, 올해 해외 사이버 위협 보고서를 많이 찾아보면서 느낀 점이다. 내년에는 한 발이라도 더 나아가면 좋겠다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr 
 



2020.12.21

강은성의 보안 아키텍트ㅣ연말이면 쏟아지는 사이버 위협 보고서, 그래서 어쩌라고?

강은성 | CIO KR
올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다. 
 
ⓒGetty Images

그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다. 

또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다.

개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다. 

우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다. 
 
[그림] 2020년 상반기 랜섬웨어 발생 상위 10개국

소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반기에 랜섬웨어 발생 상위 10개국 중 미국은 발생 규모가 다른 나라를 압도한다. 데이터 복구 비용으로 수억 원을 지급한 미국 기업이 있고, 브라질과 영국에서는 수십억 원에서 수백억 원의 몸값을 지급한 기업도 있다는 보도도 있다. 표적 공격과 함께 서비스형 랜섬웨어(Ransomware as a Service)의 대중화가 영향을 미쳤을 것으로 보인다. 

결국 시간과 공간을 초월하는 사이버 위협 지형에서 우리나라의 어떤 기업도 표적 공격의 대상에서 벗어날 수 없다는 인식의 변화가 필요하다. 지금 우리나라에는 반도체, 자동차, 휴대폰, 2차전지 등 세계적으로도 유망한 산업에서 기술력과 시장을 확보한 중소기업이 많다.

우리는 ‘중소기업’이어서 괜찮을 거라는 생각은 순진한 발상이다. 몇 년 전 국내에서 랜섬웨어로 피해가 컸던 호스팅 업체도 중소기업이었다. 사업의 지속성을 위해 반드시 대비해야 한다.

둘째, 피싱은 코로나19 사태나 미국 대통령선거와 같이 사람들의 관심이 큰 이슈가 발생할 때 늘어나는 사회공학 공격이다. 보통 기업에서 하는 피싱 모의훈련은 주로 의심스러운 이메일을 열어보지 않거나 첨부 파일을 클릭하지 않도록 하는 데 집중된다. 

하지만 임직원 중에 단 한 명도 그런 행위를 하지 않으리라고 보증하기는 어렵다. 피싱 테스트를 주관하는 정보보안팀도 막상 표적 피싱(Spear phishing) 메일을 받으면 클릭하지 않을지 의문이다.

근본적으로 피싱 대책은 최소한 몇 명은 이메일을 열어 보거나 심지어 첨부파일을 클릭할 때에도 사고로 이어지지 않도록 솔루션을 구축하고 그것을 테스트하는 시험이 바람직하다. 피싱 메일을 받은 임직원이 신속하게 정보보안팀에 신고하고 정보보안팀은 신속하고 정확하게 대응하는 훈련 역시 중요하다. 

셋째, ‘원격’이다. 사실 원격 업무는 빈도나 규모만 다를 뿐이지 이미 회사에서 하는 업무 형태다. 외주 개발자나 장비 유지보수 인력이 외부에서 회사 내부로 접속하여 작업하기도 하고, 출장이나 휴가를 간 직원이 원격에서 접속하곤 한다. 과거에도 이런 환경을 악용한 사이버 공격으로 인해 개인정보 유출 사고 등 적지 않은 피해가 발생하였다. 

코로나19 환경에서 원격 업무가 자주, 대규모로 발생한다. 원격 업무 보안은 해당 임직원의 단말 보안, 물리적 보안까지 다뤄야 할 내용이 많고, 개인정보처리시스템을 외부에 접속할 때에는 가상사설망(VPN) 또는 이중인증을 쓰라는 법규도 있지만 기술적으로는 암호화 통신, 이중인증, 최대 접속 시간 제한을 제공하는 것이 핵심이다. 

올해에도 한 해의 사이버 위협을 정리하고 내년을 조망하는 보고서들이 많이 나오고 있는데, 우리 기업보안 담당자들에게 인사이트와 취할 수 있는 구체적 행동을 짚어주는 보고서가 있으면 좋겠다. 

특히 강력한 개인정보 법규가 있는 국내에서는 관련 법규의 변화가 무슨 의미이고, 기업의 담당 임직원이 어떤 일을 해야 할지 제시해 주는 것 역시 필요하다. 간단한 일은 아니겠지만, 올해 해외 사이버 위협 보고서를 많이 찾아보면서 느낀 점이다. 내년에는 한 발이라도 더 나아가면 좋겠다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr 
 

X