위협 지형을 평가하고 대책을 마련하면 지정학적 사건 또는 여타 운영 중단을 초래할 수 있는 사건에 대비하여 운영 탄력성을 구축할 수 있다.  연일 보도되는 우크라이나 사태로 인해 그곳에 거주하는 직원들의 안전을 우려하는 기업들이 많다. 그리고 더 나아가 이는 비즈니스에 영향을 미칠 수 있는 전 지구적 사건에 대비한 계획 수립의 중요성을 강조한다.  ‘비즈니스 연속성(Business Continuity)’은 CIO 및 CTO의 계획에 필수적인 부분이다. 아무도 예측하지 못한 이례적인 사건을 일컫는 ‘블랙스완(Black Swan)’은 비즈니스에 상당한 영향을 미칠 수 있다. 허나 앞서 말한 것처럼 예측할 수 없는 사건이 있지만 사전에 대비하거나 심지어 예상할 수 있는 것도 있다. 비즈니스 연속성은 위협 지형을 평가하고 계획을 수립하는 것이다. 이를 통해 예측 가능한 위협에 대처하고, 위협에 맞서 운영 탄력성을 구축할 수 있다.    위협 지형 리더십 팀의 베스트 프랙티스는 지속적으로 위협 지형을 고려하고, 잠재적인 문제를 파악하여 대비하는 것이다. 그렇게 하지 않으면 기업에 상당한 재정적 영향을 초래할 수 있다. 대비가 필요한 사건은 다음과 같다. • 지정학적 위협(예: 러시아의 우크라이나 침공) • 자연재해(예: 지진) • 직접적인 위협(예: 랜섬웨어) • 규제 변화 이런 위협에는 사전에 구축하고 실행해야 하는 경우가 있고 아니면 핵심 목표가 무엇인지, 위협에 직면했을 때 취해야 할 조치는 무엇인지 확실히 알 수 있도록 계획을 수립해야 하는 경우도 있다. CIO와 CTO는 위협 지형을 모니터링하고, 필요에 따라 업데이트해야 한다. SOC-2 인증(개인정보보호 관련 국제 인증)은 위협 표면을 점검할 수 있는 좋은 기능이다. 지정학적 위협 대비 개인적인 사례를 바탕으로 이야기하자면 소속 기업인 美 빅 데이터 회사 인플렉션(Inflection)에서는 (실제 사건 발생보다 1년 반 앞서) 우크라이나와 관련된 비즈니스 중단...

6일 전

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

전 세계 조직이 위협 탐지와 대응에 있어 많은 진전을 이루고 있다. 하지만 사이버 공격자 역시 새로운 갈취 기법과 랜섬웨어 TTP(tactics, techniques, and procedures)를 사용한 사이버 공격으로 표적 환경에 맞춰 진화하고 있다.  최근 맨디언트가 2020년 10월부터 2021년 12월까지 진행된 표적화된 공격 활동을 분석한 '2022 M-트렌드 보고서(M-Trends 2022)'에 따르면, 사이버 침입 잠복기가 감소하고 익스플로잇이 가장 일반적인 공격 벡터였으며, 비즈니스/전문가 및 금융 서비스 산업이 가장 많은 표적이 됐다. 중국과 관련한 스파이 활동의 증가도 포착됐다.    침입 잠복기 감소, 내부 및 외부 탐지 간의 격차 커 보고서에 따르면, 표적 환경에서 공격자가 발각되기 전까지의 기간을 나타내는 잠복기는 전 세계를 기준으로 2020년 24일에서 2021년 21일로 줄었다. 사고가 탐지되는 방식이 잠복기에 상당한 영향을 미치는 것으로 나타났다. 예컨대 외부에서 발견된 사고의 잠복기 중앙값은 73일에서 27일로 짧아진 반면, 내부에서 발견된 사고의 경우 12일에서 18일로 오히려 길어졌다.  2021년 외부에서 사고를 탐지해 해당 조직에 알린 속도는 2020년보다 62% 빨라졌다. 맨디언트는 외부 탐지 역량의 개선과 더 확고해진 커뮤니케이션 및 파견 프로그램이 기여했다고 판단했다. 흥미롭게도 2021년 내부 탐지 사고의 잠복기 중앙값은 2020년보다 길어졌으나, 그 알림 속도는 외부 탐지 사고의 알림 속도보다 36% 빨랐다. EMEA와 APAC 지역에서 2021년 발생한 침입은 대부분 외부에서 발견된 반면(각각 62%, 76%), 아메리카 지역에서는 60%가 조직 내부에서 탐지됐다. 잠복기의 분포도를 분석한 결과, 잠복기가 30일 미만인 침입은 55%였고, 일주일 이내에 발견된 침입은 67%였다. 조사 사례의 20%는 잠복기가 90~300일 사이로 급증했는데, 이는 공격 라...

2022.04.22

금융기관이 여전히 랜섬웨어 공격에 시달리고 있는 가운데, 단순히 계좌 거래를 탈취하는 데 그쳤던 금융기관 해킹이 기밀 산업 정보까지 노리는 차원으로 발전하고 있다. 기업이 계속 진화하는 사이버 공격에 어떻게 대비해야 할지 알아본다.    랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 이와 더불어 해커 카르텔의 수법이 다른 차원으로 발전하면서 예년에 비해 금융기관이 점점 더 큰 위협에 직면하고 있다고 VM웨어가 모던 뱅크 헤이스트(Modern Bank Heists) 보고서에서 밝혔다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다. VM웨어는 북미, 유럽, 아시아 태평양, 중남미, 아프리카 등의 지역에 있는 130명의 금융 부문 CIO 및 보안 책임자를 대상으로 설문조사를 실시했다. 보고서의 결과는 다른 보안 전문가의 의견과 일맥상통했다. 제러미 셰리던 전 미국 비밀경호국 부국장은 "금융 수사 과정에서 복잡한 사이버 사기가 진화하고 증가하고 있는 것을 경험했다"라며 "인터넷에 연결된 모든 시스템의 보안 체계는 미흡하다. 해커가 공격할 취약점을 남기기 마련이다"라고 경고했다.  만연한 콘티(Conti) 랜섬웨어  설문에 응한 보안 책임자의 74%가 지난해 한 번 이상의 공격을 경험했다고 전했다. 63%는 결국 랜섬을 지불하기까지 했다. 랜섬웨어 중 콘티(Conti) 랜섬웨어가 가장 흔한 것으로 나타났다.  응답자의 63%는 사이버 범죄자가 은행의 데이터와 침입 정보를 삭제하는 '파괴적 공격'이 증가했다고 답했다. 이는 지난해보다 17% 증가한 수치다.  이런 식의 사이버 공격은 모두 피해자의 시스템을 파괴, 중단 또는 저하하는 악성코드를 이용한다. 대표적으로 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 종료 또는 악성 코드 실행과 같은 작업을 통해 이루어진다. ...

2022.04.21

팔로알토 네트웍스(www.paloaltonetworks.co.kr)의 최신 보고서에 따르면 2021년 평균 몸값 요구 금액은 전년대비 144% 늘어난 220만 달러를 기록하는 한편, 평균 지불 금액은 78% 늘어난 54만1,010달러를 기록한 것으로 조사됐다.   특히 콘티(Conti) 랜섬웨어 그룹은 2021년 팔로알토 전체 분석 건수 중 1/5 이상을 차지하며 가장 많은 지분을 차지했다. ‘소디노키비(Sodinokibi)’라고도 알려진 ‘레빌(REvil)’이 7.1%, 헬로키티(Hello Kitty)와 포보스(Phobos)가 동일하게 4.8%를 차지하며 그 뒤를 이었다. 콘티 그룹은 특히 다크웹 유출 사이트에 511개 조직의 이름을 올리며 가장 많은 비중을 차지했다. 이번 랜섬웨어 보고서에는 사이버 탈취 수법이 어떻게 진화했는지에 대한 내용과 지난해 새롭게 등장한 35개의 랜섬웨어 그룹에 대한 정보가 실렸다. 또한 범죄 집단들이 제로데이 취약점을 활용한 공격에 보다 간편한 툴을 사용함으로써 어떻게 많은 이윤을 달성하고 있는지 등의 내용을 확인할 수 있다.  2021년에 가장 많이 사용된 수법의 특징은 다음과 같다. ◇다중 갈취 기법- 조직 내 파일을 암호화할 뿐만 아니라 피해자의 이름을 특정하여 수치심을 유발하고 빠른 시일 내 몸값을 지불하지 않으면 DDoS 등의 추가 공격을 실행하겠다고 협박하는 방식이다. 2021년 랜섬웨어 유출 사이트에 게시된 피해자들의 이름 및 공격 시도 증명자료는 2020년 대비 85% 늘어난 2,566건으로 집계됐다. ◇서비스형 랜섬웨어(RaaS)- 일명 ‘스타트업 키트’와 ‘지원 서비스’까지 제공되는 서비스형 랜섬웨어 비즈니스 모델이 사이버 공격의 기술 진입장벽을 크게 낮춰 랜섬웨어가 대량 생산되고, 확산 속도도 빨라졌다. ◇무기로 악용되는 보안 취약점- 대표적인 사례로 Log4Shell이라고 불리는 CVE-2021-44228 취약점이 있다. 신속하게 패치를 적용하지 않는 경우 공격자들은 대규모...

2022.04.11

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

2022.03.30

빔 소프트웨어가 우리나라를 비롯한 전 세계 랜섬웨어 피해 상황과 향후 데이터 보호 전략 등을 조사한 ‘2022 데이터 보호 트렌드 리포트(2022 Data Protection Trends Report)’를 발표했다.   빔 소프트웨어가 기술시장 조사기관 벤슨 본에 의뢰해 수행한 이번 연구는 향후 12개월 간의 기업 데이터 보호 전략을 파악하기 위해 우리나라를 비롯한 전세계 28개국의 IT 의사결정권자 3,000여 명을 대상으로 조사했다. 이번 ‘2022 데이터 보호 트렌드 리포트’는 클라우드 사용 폭증과 사이버 위협 확대 등 기업들이 당면한 IT 과제들과 비즈니스 연속성을 확보하기 위한 데이터 보호 현대화 전략의 준비 상황을 보여준다. 보고서에 따르면 전체 설문조사 응답자의 89%는 데이터 공격시 예상되는 데이터 손실과 이를 대비하기 위한 백업 빈도 간에 격차가 있다고 응답했으며, 이에 따라 데이터 보호 역량이 비즈니스 요구 사항을 못 따라가고 있다고 답했다. 이 수치는 지난 12개월 동안 지속적으로 증가했는데, 이는 데이터의 규모와 중요성이 계속 증가함에도 불구하고 충분한 데이터 보호가 이뤄지지 않고 있음을 의미한다. 지난 12개월 동안 랜섬웨어를 적어도 한 번 이상 경험한 기업이 76%에 달할 정도로 사이버 공격은 지난 2년 연속 기업의 가동중단 최대 원인으로 지목되고 있다. 사이버 공격은 횟수뿐 아니라 그 영향면에 있어서도 위협적이다. 기업들이 사이버 공격으로부터 복구하지 못하는 데이터의 규모는 36%에 이르고 있으며, 이는 기존의 데이터 보호 전략이 랜섬웨어 공격에 충분히 않음을 보여준다. 기업들은 데이터 보호와 위협 문제를 해소하기 위해서 일반 IT 설비투자 대비 6% 더 높은 수준의 예산을 지출할 것으로 나타났는데, 이는 경영자들이 데이터 보호 현대화의 필요성을 인지하고 있다는 점에서 긍정적이다. 클라우드가 압도적인 데이터 플랫폼으로 떠오르는 가운데 조사 기업의 67%는 이미 데이터 보호를 위해 클라우드 서비스를 사용하고...

2022.03.21

SK쉴더스가 트렌드마이크로, 지니언스, 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등 국내외 주요 기업과 함께 민간 랜섬웨어 대응 협의체 ‘KARA(Korea Anti-Ransomware Alliance)’를 발족했다고 3월 21일 발표했다.   랜섬웨어는 매년 공격 대상과 방식, 몸값 요구방법 등이 다양해지면서 피해 규모가 급격히 증가하고 있으며, 단일 솔루션 및 서비스로 대처하기에는 한계가 있어 전문적이고 종합적인 대응이 요구된다고 업체 측은 설명했다. 이에 SK쉴더스는 안전한 사이버 환경을 조성하고, 더불어 랜섬웨어 공격에 대한 체계적인 대응 프로세스를 마련하기 위해 민간 주도의 대응 협의체 구성을 추진하게 됐다고 밝혔다. KARA는 SK쉴더스의 주도 아래 트렌드마이크로, 지니언스, 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등 총 7개 기업으로 구성됐으며, 국정원, 경찰 사이버안전국, KISA, 금융보안원 등 유관기관과는 상시 정보 공유체계를 구축하고, 글로벌 기업과의 교류 및 관련 협의체 참여도 추진한다. 앞으로 KARA는 참여사가 보유한 랜섬웨어 정보를 바탕으로 정기 보고서 발간, 이슈 랜섬웨어 분석, 사고 사례 분석 등 정보공유 활동을 추진한다. 더불어 정부기관 합동조사 참여, 글로벌 업체 협력 등 적극적인 대외활동도 추진할 계획으로 오는 4월 공동 세미나 개최를 준비하고 있다. 특히 랜섬웨어 대응에 필요한 전 과정을 원스톱(One-stop)으로 처리하는 통합 대응 프로세스를 구축한다. 협의체에 가입된 전문 기업들이 사고 접수부터 원인파악, 피해복구, 협상, 배상, 재발방지 대책 등의 모든 절차를 빠짐없이 지원하도록 했다. 먼저 SK쉴더스는 24시간 사고를 접수할 ‘SK쉴더스 랜섬웨어 대응센터(1600-7028)’를 새롭게 개소하고, 이번 협의체의 구심점 역할을 맡아 전체 대응 과정을 컨설팅한다. 지니언스는 서버를 포함한 엔드포인트(Endpoint) 보안을 책임지며, 트렌드마이크로는 네트워크 보안을, 맨디언트는 외...

2022.03.21

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

2022.03.17

최근 해커조직 랩서스(Lapsus$)가 삼성전자를 해킹해 190GB에 달하는 기밀 데이터를 탈취했다고 주장했고, 이 주장이 사실로 확인되면서 업계가 발칵 뒤집혔다.  삼성전자는 특정 내부 회사 데이터의 보안 침해를 확인했으며, 랩서스의 공격 수법은 랜섬웨어로 추정된다. 한편 이번 사건은 랩서스가 엔비디아(Nvidia)의 서버에서 1TB에 달하는 데이터를 훔쳐 20GB의 문서 아카이브를 공개한 지 불과 일주일 만에 발생했다.    지난 3월 4일 이 랜섬웨어 그룹은 삼성 소프트웨어에서 C/C++ 명령의 스냅샷을 사용하여 데이터 탈취를 처음으로 공개했다. 이후 암호화, 접근 제어, 하드웨어 암호화에 사용되는 삼성의 트러스트존(TrustZone) 환경에 설치된 모든 트러스티드 애플렛(Trusted Applet; TA)의 소스코드를 언급하면서 이번 데이터 해킹 사건을 설명했다.  아울러 랩서스는 탈취한 데이터를 3개의 토렌트 파일로 압축하여 올렸다. 이 3개의 파일을 합친 용량은 190GB에 이른다. 블리핑 컴퓨터(Bleeping Computer)에 따르면 이 토렌트에는 3개의 아카이브 각각에 어떤 콘텐츠가 담겼는지 소개하는 간략한 설명이 포함돼 있다.  • ‘1부(Part 1)’에는 보안(Security)/디펜스(Defense)/녹스(Knox)/부트로더(Bootloader)/트러스티드앱스(TrustedApps) 및 기타 여러 항목의 소스코드와 관련 데이터가 포함돼 있다.  • ‘2부(Part 2)’에는 기기 보안 및 암호화에 관한 소스코드와 관련 데이터가 포함돼 있다.  • ‘3부(Part 3)’에는 모바일 디펜스 엔지니어링(mobile defense engineering), 삼성 계정 백엔드(Samsung account backend), 삼성 패스 백엔드/프론트엔드(Samsung pass backend/frontend), SES 등 삼성 깃허브의 다양한 리포지토리가 포함돼 있다. ...

2022.03.08

2021년 5월 7일 랜섬웨어의 공격을 받은 미국 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)은 시스템 복원을 위해 비트코인 75개를 지급했다. 그러나 그 돈을 다 잃은 것은 아니었다. 여러 디지털 지갑을 거쳐 움직이는 돈을 미국 연방수사국(FBI)이 추적해 냈기 때문이다. 5월 27일 어느 한 시점에 비트코인 75개 중 63.7개가 어떤 주소로 전송된 후 이동을 멈췄고, FBI는 해당 비트코인 지갑을 풀 수 있는 개인키를 확보했고, 콜로니얼 파이프라인이 낸 몸값의 일부를 회수했다.   미국 법무부 랜섬웨어 대책반의 쾌거였다. 랜섬웨어는 한 해에 전세계 조직 중 1/3 이상에 심각한 피해를 입혔고, 피해 조직 중 2/3은 상당한 수익 손실을 호소했다. 블록체인 데이터 플랫폼 체이널리시스(Chainalysis)의 최근 보고서에 따르면, 2021년 지급된 랜섬웨어 몸값 총액은 6억 달러가 넘는다.   FBI는 개인키를 입수한 경위와 콜로니얼 파이프라인의 몸값 일부를 회수한 방법에 대해서 말을 아꼈지만, 블록체인 상에서의 트랜잭션 추적은 사이버범죄 수사의 필수 요소로 자리잡고 있다. 사법 당국은 원시 블록체인 데이터에 대한 인사이트를 제공하는 소프트웨어 툴을 제공하거나 전담 전문가를 보유한 분석 회사와 자주 공조를 진행한다.  암호화폐 트랜잭션 추적 소프트웨어를 제공하는 블록체인 정보 전문업체 TRM 랩의 티알엠 랩(TRM Labs)의 사법 및 공공 책임자 아리 레드보드는 “우리는 자금의 흐름을 예전에는 불가능했던 방식으로 추적할 수 있다”고 강조했다.  원시 블록체인 데이터를 파악하면, 랜섬웨어 피해자가 지급한 몸값을 회수하는 것은 물론, 블록체인 상의국가 지원 해킹 활동부터 금융 사기와 심지어 유괴 사건에 이르기까지 다양한 범죄 행각을 해결하는 데도 도움이 된다.   블록체인 조사 대행업체인 사이퍼블레이드(CipherBlade)의 사건 책임자 폴 시베니크는 수사에는 대개 몇 주가 걸리고...

2022.03.08

IBM 시큐리티(IBM Security)의 연례 보고서 ‘엑스포스 위협 인텔리전스 인덱스(X-Force Threat Intelligence Index)’에 따르면, 2021년 기업의 주요 사이버보안 문제는 ‘랜섬웨어’와 ‘피싱’이었으며, 아시아에서 가장 많은 사이버 공격이 발생했다. 해당 보고서는 IBM의 위협 정보 공유 플랫폼 엑스포스(X-Force)가 관찰한 트렌드와 패턴을 종합한 것으로, 네트워크 및 엔드포인트 탐지 기기와 같은 주요 데이터 포인트와 침해사고 대응(Incident Response, IR)R까지 포괄적으로 다뤘다.    보고서에 따르면, 2021년의 최상위 공격 유형은 랜섬웨어이며, 피싱과 패치되지 않은 취약점이 가장 많이 사용된 공격 벡터였다. 또 클라우드와 오픈소스, 도커 같은 환경에 가장 초점을 맞춘 악성코드가 증가했으며, 가장 많은 사이버 공격을 받는 업종은 제조업, 지역은 아시아인 것으로 조사됐다.  정부의 감시에도 확산한 랜섬웨어 IBM 시큐리티의 조사 결과 랜섬웨어는 2021년 전체 사이버 공격의 21%를 차지했다. 이는 2020년보다 2% 감소한 수치다. IBM 시큐리티는 2021년 많은 정부가 랜섬웨어에 주목하면서 공격 건수가 줄었지만, 2022년에는 다시 증가할 가능성이 높다고 예상했다. 2021년 발생한 랜섬웨어 공격의 37%는 레빌(REvil)이 사용됐고, 류크(Ryuk)가 13%, 록빗 2.0(Lockbit 2.0)이 7%로 뒤를 이었다. 이외에 2021년 사이버 공격에 사용된 랜섬웨어는 다크사이드(DarkSide), 크리스탈(Crystal), 블랙매터(BlackMatter), 라그나로커(Ragnar Locker), 비트록커(BitLocker), 메두사(Medusa), E킹(Eking), 엑소리스트(Xorist)가 있다. 보고서에 따르면, 랜섬웨어 공격 집단의 평균 수명은 평균 17개월이다. IBM 시큐리티 엑스포스의 사고대응 부문 글로벌 총괄 로렌스 다인은 “...

2022.03.02

퓨어스토리지가 최근 기업들을 대상으로 한 랜섬웨어 공격에 대한 종합적인 데이터 보호 전략과 이를 위한 백업 및 복구의 중요성을 강조했다. 글로벌 리서치 기업 사이버시큐리티 벤처스에 따르면 랜섬웨어로 인한 피해는 전 세계적으로 2031년까지 최대 2,650억 달러(한화 약 314조 6,610억 원)에 이를 전망이다. 퓨어스토리지는 이와 같은 위험을 기업들이 인식하고 있지만, 실제 파악하고 있는 보안 조치들의 현황과 이상적인 상태 사이의 격차가 여전히 크다고 분석했다. 이와 관련하여 퓨어스토리지는 플래시어레이(FlashArray) 및 플래시블레이드(FlashBlade)에 내장된 세이프모드(SafeMode) 및 포트웍스 PX-백업(Portworx PX-Backup) 등 데이터 보호를 위한 포트폴리오를 통해 데이터 손실, 손상 및 사이버보안 위협들로부터 글로벌 기업들을 지키고 있다고 밝혔다. 퓨어스토리지 보안 부문 CTO 라틴더 폴 싱 아후자 박사는 “오늘날 비즈니스의 성공을 위해서는 랜섬웨어 공격에 대한 대응 뿐만 아니라 사전 및 사후 조치를 모두 포함하는 데이터 보호 전략을 취하는 것이 중요하다”라며, “퓨어스토리지의 솔루션들은 대량의 데이터를 신속하게 복구하여 비즈니스의 중단 및 경제적인 손실을 방지하는 데 도움을 준다”라고 말했다. 퓨어스토리지는 다양한 글로벌 기업들이 퓨어스토리지의 데이터 보호 솔루션을 통해 데이터를 보호하고 종합적인 데이터 보호 전략의 이점을 누릴 수 있도록 지원하고 있다고 밝혔다. 호주 광석철강연합의 ICT 부문 수석 얼 멧칼프는 “굉장히 빠르게 진행되는 업무 특성상, 데이터를 보호할 뿐만 아니라 문제 발생시 다운타임을 줄일 수 있는 벤더가 필요했다”라며, “퓨어스토리지는 우리의 요구사항을 충족시켜주는 믿을 수 있는 파트너”라고 말했다. 인도네시아 뽄독인다 병원의 IT인프라 및 보안 담당자 위리아 마틴은 “퓨어스토리지의 세이프모드 덕분에 환자 데이터를 안전하게 보호할 수 있었으며, 이를 통해 신뢰받는 헬스케어 제공업체로 ...

2022.01.25

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

2022.01.24

코로나19 팬데믹이 2년째에 접어들었다. 코로나19가 사람의 개인적 일상과 업무의 모든 측면에 영향을 미쳤다 해도 과언이 아니다. 엔터프라이즈 보안 측면에서도 팬데믹은 많은 것을 바꿔 놓았다.   수많은 근무자가 이제 집안의 Wi-Fi를 통해 기업 네트워크나 클라우드 기반 리소스에 액세스한다. IT 작업자는 원격 액세스를 통해 핵심 시스템의 문제를 해결한다. 공급망이 큰 압박에 휘청거리고, 사이버 공격자는 이런 잠재적 취약점을 지체하지 않고 악용한다.  불행한 일이지만, 2022년에도 사이버 공격의 범위와 수준은 더욱 높아질 것이 분명하다. 2022년 전망되는 사이버보안과 관련한 9가지 동향을 살펴보자.  2022년 사이버보안 동향 9가지 1. 강세 : 랜섬웨어 2. 강세 : 크립토마이닝/크립토재킹 3. 강세 : 딥페이크 4. 강세 : 비디오컨퍼런싱 공격 5. 약세 : VPN 6. 강세 : IoT 및 OT 공격 7. 강세 : 공급망 공격 8. 강세 : XDR 9. 약세 : 암호 강세 : 랜섬웨어는 사라지지 않는다 랜섬웨어 공격이 계속해서 증가하고 있으며 누그러질 기미도 보이지 않는다. 사이버보안 전문가 시라 루비노프는 “랜섬웨어 공격은 기하급수적으로 증가했고, 팬데믹으로 인해 온라인 활동과 디지털 환경이 늘어난 만큼 앞으로도 증가할 것이다. 재택근무 전환에 따라 기업은 사이버보안 태세를 서둘러 강화하고 있다. 이제 기업은 안전이 보장되지 않은 환경에서 여러 디바이스로 일과 개인적 활동을 병행하는 직원에 대처해야 한다”라고 말했다. 루비노프는 기업이 피싱 공격 방지에 도움이 되도록 전 직원을 대상으로 교육을 진행하는 등 사이버 위생을 구현하는 데 초점을 두어야 하며, 데이터 보호를 선제적으로 다루고 제로 트러스트 보안 모델 구현을 고려해야 한다고 조언했다. 주요 수치 : 가트너가 최근 발행한 ‘새로운 위험 모니터 보고서(Emerging Risks Monitor Report)’에 따르면, 기업 경영진이 가장 우려하는 것은 ‘...

2022.01.14

2021년은 다사다난(多事多難)했던 한 해였다. 한 설문조사 결과에 따르면 디지털 생태계 수요 증가로 사이버 보안 공격이 급증해 기업들은 미화 약 6조 달러의 피해를 본 것으로 추산된다. 더욱더 우려스러운 점은 전 세계 사이버 범죄 비용이 향후 5년간 15% 증가해 2025년에는 연간 10조 5,000억 달러에 이를 것으로 예상된다는 것이다.    디지털 자산을 보호할 때 보안 리더는 화면 반대편에 있는 악의적인 행위자보다 앞서 나가기 위해 모든 기반을 다뤄야 한다. 2022년 보안 리더가 우선순위에 둬야 할 보안 영역을 살펴본다.    주요 인프라 공격이 물리적인 피해를 줄 것 악의적인 행위자는 운영 기술만 표적으로 삼는 것에서 벗어나 IT 시스템을 손상시키는 것을 목표로 하고 있다. 비용은 저렴하지만 영향력이 큰 공격(예: 랜섬웨어 등)은 악의적인 행위자가 비즈니스 운영을 마비시키기 위해 택하는 주요 전략이다. 이에 따라 보안 리더는 액티브 디렉토리(Active Directory)가 핵심 타깃인 취약한 인프라에 주의를 기울여야 한다. 또 디지털 시스템 개선에 투자하고 이를 보호하기 위해 이해관계자부터 직원들까지 모두 사이버보안 침해가 비즈니스에 미치는 위험을 인지하도록 해야 한다.  잘못 구성된 ‘액티브 디렉토리’는 문제를 초래할 것 하이브리드 근무와 디지털 통합의 시대에서 ‘액티브 디렉토리(Active Directory; AD)’는 데이터 보존, 구성, 배포의 핵심이다. 하지만 여러 업계에서 AD가 SaaS 및 클라우드 컴퓨팅 확장의 기준이 된 이후, 최근 몇 년 동안 이는 악의적인 행위자의 주요 표적이 됐다. 제로로그온(Zerologon) 취약점, 솔로리게이트(Solorigate) 백도어 악성 프로그램 등의 주요 공격 사건은 AD 구성 오류가 내포하는 위험을 입증했다. 특히 공격자는 취약한 패치를 통해 쉽게 접근할 수 있는 도메인 컨트롤러(Domain Controller)를 주로 노린다. 2022년에도...

2022.01.07

美 뉴저지의 ‘해컨색 메리디안 헬스(Hackensack Meridian Health; HMH)’는 지난 2021년 수천 대의 크롬북을 배포하고, 4만 명의 직원들을 오피스 365에서 구글 워크스페이스 생산성 스위트로 마이그레이션했다.  해컨색 메리디안 헬스(HMH)에게 2021년은 ‘큰 변화의 해’였다. 총 17곳의 병원을 운영하는 HMH는 직원들이 원격근무 체제로 신속하게 전환할 수 있도록 수천 대의 크롬북을 배포했다. 이는 또한 4만 명의 직원들을 대상으로 오피스 365를 구글 워크스페이스를 바꾸고, 구글 클라우드 플랫폼을 도입하는 광범위한 프로젝트의 첫 번째 단계였다.   이 프로젝트는 코로나19 팬데믹으로 인해 가속화됐다. 직원들이 의료시설 밖에서 근무할 수 있도록 서둘러 지원해야 했기 때문이다. HMH의 수석 부사장, CIO, CTO인 마크 에이머는 “팬데믹이 시작됐을 당시 완전한 UC 플랫폼이 출시된 상태는 아니었다. 내부에서는 대부분의 애플리케이션이 잘 작동했지만 모바일 인력에게는 잘 작동하지 않았다”라고 밝혔다.  이어서 그는 “팬데믹 위기 때문에 빠르게 변화해야만 했다. CEO는 직접적으로 환자를 돌보지 않는 직원들은 모두 재택근무를 해야 한다고 말했다. 3,000대의 크롬북을 구매해 키오스크 모드로 구성한 후 직원들을 집으로 보냈다”라고 덧붙였다. 에이머에 따르면 이는 팬데믹 기간 동안 원격의료 방문 횟수가 증가하는 결과로 이어졌다. 아울러 원격근무자의 생산성도 (HMH가 직원들의 번아웃 문제를 해결하기 위해 최고 웰니스 책임자(chief wellness officer)를 채용할 정도로) 높아졌다. HMH는 하이브리드 원격 전략을 장기적으로 지속할 계획이다. 이에 따라 5,000대의 크롬 OS 기기가 추가돼 일선 직원들에게 지급됐다. 지난해 비대면 환자 진료와 50곳의 외래진료 시설로 시작됐던 해당 서비스는 2022년 1월부터 모든 병원으로 확대된다. 이를 통해 직원들은 크롬북 기기에서 시트릭스 워크스페이...

2022.01.03