Offcanvas

CIO / CSO / 랜섬웨어 / 리더십|조직관리 / 보안 / 비즈니스|경제 / 악성코드

현직 CIO·CSO가 말하는 '사이버 공격 대응 방법'

2017.04.06 Clint Boulton  |  CIO
IT임원이 가장 두려워하는 사이버보안 위협은 무엇일까? 금융기업과 공공기관 CIO 및 CSO 3인이 사이버보안 위협에 어떻게 대응하고 있고 선호하는 보안 툴은 무엇인지 정보를 공유했다.



CIO와 CISO에게 간밤에 잠을 설치게 하는 사이버보안 문제가 무엇인지 묻는다면 피싱(Phishing) 등의 소셜 엔지니어링 해킹뿐만이 아니라 범인들이 사용자의 웹사이트를 탈취할 수 있는 악성코드, 무서운 랜섬웨어, 서비스 거부(Denial Of Service) 공격 등 다양한 문제를 언급할 것이다. 업무에 따라 ‘앞서 말한 모든 것’을 지목하는 사람도 있을 것이다.

이러한 위협으로 인해 민족 국가 활동자, 외로운 늑대 공격자, 기타 기업 데이터에 접근하려는 불평분자로부터 기업 데이터를 보호하기 위한 사이버보안 툴 투자가 증가하고 있다. IT책임자들은 하나의 적절한 익스플로잇(Exploit) 공격으로도 기업 네트워크에 침투할 수 있다는 사실을 알고 있지만 최고의 접근방식이 공격면을 축소하고 공격 시 사고에 대응할 준비를 하는 것이라는 점도 인지하고 있다.

준비를 위해서는 인재와 기술에 대한 상당한 투자가 필요하다. IDC는 기업이 사이버보안 소프트웨어, 서비스, 하드웨어에 2016년에 지출한 것으로 예상되는 737억 달러보다 38% 증가한 1,016억 달러를 지출할 것이라고 밝혔다. 독자 여러분의 전략 개발을 돕기 위해 2명의 CSO와 1명의 CIO가 각각 자신이 선호하는 보안 툴에 대한 경험을 공유했다.

에이온(Aon) CSO 앤서니 벨피오르
가장 큰 보험 및 재보험사인 에이온은 해커들의 중요한 표적이다. 에이온의 CSO 벨피오르(왼쪽 사진)는 디도스(Distributed Denial Of Service) 공격이 가장 걱정된다고 밝혔다. 대부분의 기업은 사업을 더욱 신속하게 통합하기 위해 컴퓨팅 시스템을 대부분 통합했다. 그들은 VOIP, 채팅, 이메일을 포함하여 기업 소프트웨어를 하나의 중앙 시스템에서 운영하는 경향이 있다. 이런 구내 시나리오 외에도 많은 기업이 컴퓨팅 역량을 클라우드 업체에 집중하고 있다. 지난달, AWS(Amazon Web Services)가 그랬던 것처럼 클라우드 업체가 다운되면 이를 사용하는 기업이 즉시 느끼게 된다.

벨피오르는 “신이 사이버 핵이나 악성코드로부터의 디도스를 금지했다. 이들은 환경 전체를 다운시킬 수 있다”며 “다운되면 얼마나 안전한지는 중요하지 않다. 우리는 문제를 겪게 된다”고 말했다.

그렇다 하더라도 보안 책임자들은 데이터를 보호해야 한다. 에이온은 엔드포인트 보안 소프트웨어로 IT활동을 모니터링하고 악성코드 등의 위협을 감지하는 태니엄(Tanium)의 주요 고객이다. 벨피오르에 따르면, 이 소프트웨어는 서버 프로세서의 커널(Kernel) 운영부터 여기에서 운용되는 애플리케이션 포트폴리오까지 모든 것을 담당한다.

올해 태니엄의 이사회에 합류한 벨피오르는 “환경 내의 모든 자산을 감시하고 운영 및 보안과 관련된 속성에 대한 실시간 상태를 제공하는 일종의 비밀 요원이라고 생각하면 된다”며 “보안 및 운영을 위해 스테로이드를 복용하는 중앙 관리 시스템에 가깝다”고 이야기했다.

이밖에 타겟(Target)은 2013년 유출 사건 이후로 이를 이행했다. 에이온에 합류하기 전 벨피오르는 퍼스트 데이터(First Data)에서 태니엄을 활용해 소프트웨어 라이선스를 추적하고 JP모건체이스에서는 섀도우 IT(Shadow IT)를 청산했다.


라스베이거스 시 정부 CIO 마이크 셔우드
지방자치단체 IT를 관리할 때는 그만의 문제가 있다. 직원들은 업무를 완료하는 데 도움이 되는 정보를 찾기 위해 다양한 웹사이트에 접근해야 한다. 예를 들어, 사법부 관계자들은 다크웹 사이트, 범죄자들이 유혹하는 와일드 웨스트(Wild West), 알려진 악성코드와 알려지지 않은 악성코드가 있는 함정 등으로 이어지는 조사를 수행하곤 한다. 피싱 사기, 랜섬웨어, 여러 위험한 페이로드(Payload) 등의 위협 때문에 라스베이거스의 CIO 마이트 셔우드(왼쪽 사진)는 항상 긴장하고 있다. 셔우드가 말했듯이 “모든 사람이 책상에 앉아 항상 제대로 된 링크만 클릭하는 것은 아니다.”

셔우드는 다크트레이스(Darktrace)의 소프트웨어 형태로 구성된 비장의 무기가 있으며, 그는 이것을 캘리포니아의 어바인(Irvine, Calif.)에서 CIO로 재직하던 당시부터 사용하기 시작했다. 이 애플리케이션은 그의 컴퓨터 네트워크에서 유입/유출 트래픽을 모니터링하는데, 이 업무는 1명의 보안 엔지니어와 4명의 계약직 근로자로는 절대로 할 수 없는 중요한 일이었다.

다크트레이스는 인공지능과 기계학습 기능을 이용해 취약성을 발견하면서 더 많은 것들을 배운다. 셔우드의 직원들은 다크트레이스가 특정 위협을 감시하고 관리자들에게 경고하며 해결을 위한 여러 권고사항을 제시하도록 프로그램했다. 셔우드는 “학습과 적응에서는 인간 엔지니어만큼 훌륭하다”고 말했다.

다크트레이스는 어바인에서 충분한 성과를 보였기 때문에 셔우드는 2016년 라스베이거스의 CIO로 부임하면서 이 툴을 먼저 구매했다. 그는 시내를 트래픽 흐름과 기타 활동을 모니터링하는 센서와 연결하는 라스베이거스의 ‘스마트 시티’ 계획 때문에 이 도시의 영역이 훨씬 넓다고 밝혔다. 셔우드는 다크트레이스에 관해 “내가 가는 곳이면 어디서나 사용한다”고 강조했다.

D.A. 데이비슨(D.A. Davidson) 정보 보안 부사장 빈스 스키너
사이버 공격이 진행되면서 D.A. 데이비슨(D.A. Davidson)은 이미 최악의 공포를 경험했을 수 있다. 2007년, 라트비아의 해커들이 SQL 주입 공격을 이용해 금융 기업에 침투해 데이터베이스에 접근했으며, 이 공격으로 해당 기업에는 37만 5,000달러의 벌금이 부과됐다. 2008년, D.A 데이비슨은 사이버보안 프로그램을 구축하기 위해 빈스 스키너(왼쪽 사진)를 고용했다.

스키너는 D.A. 데이비슨의 디지털 방어벽을 강화하기 위해 많은 재량과 자원이 제공됐지만 자본이 많다고 해서 성공이 보장되는 것은 아니라고 단정했다. 이어서 “돈이 있더라도 사람, 프로세스, 기술이 있어야 기업을 적절히 보호할 수 있다”고 덧붙였다.

라트비아의 해킹 이후 약 10년이 지났다. 스키너는 사이버 공격들이 더욱 정교해지긴 했지만 놀라운 정도로 유사하며 모든 사이버 전문가들이 파워쉘(PowerShell) 및 매크로 공격을 감지하고 있다고 말했다. 해킹된 지메일 계정은 인터넷 뱅킹을 이용한 금융 사기의 시발점이 됐고 랜섬웨어가 확산됐다. 스키너는 빈번한 침투 시험을 통해 네트워크와 애플리케이션의 취약성을 찾으면서 회사를 보호하고 있다.

스키너는 이상을 감지하는 데 도움이 되는 애플리케이션 화이트리스트(Whitelist) 작성과 행동 분석을 위해 카본 블랙(Carbon Black)을 사용한다. 해당 소프트웨어는 실행 가능한 코드가 알려져 있는지, 알려지지 않은지, 알려져 있지만 익스플로잇 공격이 가능한지 아닌지를 알려준다.

“카본 블랙의 방어가 성공한 이유는 보호 기능과 피드백 루프(Loop)를 통해 공격망 이면의 세부사항을 제공하기 때문이다”고 스키너는 덧붙였다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.