코로나19 시대에 얻은 사이버 보안 관련 교훈 10가지

코로나19 시대에 얻은 사이버 보안 관련 교훈 10가지: 고다솔 / 2021-03-17 14:39:31

코로나19 확산세 때문에 재택근무와 온라인 강의가 확산되었다. 이에 따라 온라인 사용 시간이 증가하면서 각종 사이버 범죄가 그 어느 때보다 기승을 부리게 되었다. 실제로 미국 온라인 테크 매체 벤처비트는 다국적 전문 네트워크 서비스 기업 PwC가 '2021년도 글로벌 디지털 신뢰 인사이트: 사이버보안 시대'라는 제목의 보고서를 인용, 코로나19 확산세 때문에 비즈니스 및 테크 전문 임원 96%가 사이버 보안 투자를 중요시 여기게 되었다고 설명했다.

그리고, PwC의 보고서 내용을 기반으로 코로나 시대에 얻게 된 사이버 보안 관련 교훈 10가지를 아래와 같이 설명했다.

1. 현실 세계의 공급망, 사이버 공격에 취약하다
미국 국토안보보 산하 사이버 보안 및 기반 시설 보안국(CISA)에 따르면, 사이버 범죄 조직과 지능형 지속 공격(APT) 세력이 신뢰할 수 있는 기관으로 위장해, 기밀 접근 권한을 얻은 뒤 코로나19 박신 공급망을 공격한 사례가 수차례 보고됐다.

주로 피싱과 멀웨어 유포, 합법적인 도메인 명칭 위장과 같은 수단으로 사업 공격을 개시해, 코로나19 백신 공급에 혼선을 빚도록 만들었다. 이와 같은 수단으로 원격 접근 권한을 악용해, 재택근무 기반 시설도 공격했다.

2. 가상 업무 인력의 엔드포인트 자가 진단 및 자가 교정은 필수
많은 인력이 가상 근무로 전환하면서 엔드포인트 보호가 그 어느 때보다 중요해졌다. 엔드포인트 플랫폼은 안전한 구성과 패치 작업, 운영체제 및 애플리케이션 관리가 가능해야 한다. 이를 위해 보안 프로토콜 업데이트가 제때 이루어져야 한다.

앱솔루트 소프트웨어(Absolute Software)의 접근 방식에서 보안 보호 조치는 델과 HP, 레노버 등 23개 제조사가 출시한 PC의 기본 입출력 시스템에 설치되었다.

3. 비접촉 추세와 함께 위협 벡터가 된 QR 코드
코로나19 확산세를 막기 위해 여러 기업이 비접촉 거래를 위한 수단으로 QR 코드를 채택했다. 그러나 QR 코드 사용이 증가하면서 이를 사기 수단으로 악용하는 사례가 우후죽순으로 등장했다. 많은 사이버 범죄자가 가짜 QR 코드를 제작해, 피해자의 은행 계좌 접근, 기기에 멀웨어 설치 혹은 기업 네트워크 파괴 등과 같은 피해가 발생했다.

4. 관리 서비스 제공 업체 겨냥한 사이버 범죄 증가
기업 내부 시스템에 쉽게 접근해, 수많은 고객사 정보를 한 번에 쉽게 탈취할 수 있다는 점에서 여러 사이버 범죄 조직이 관리 서비스 제공 업체를 공격 대상으로 삼고 있다. 해커는 관리 서비스 제공 업체를 해킹한 뒤, 해당 기업 고객사의 POS 시스템을 노린다. 그리고, 비즈니스 이메일 보안을 해치고 랜섬웨어 공격을 개시한다.

관리 서비스 제공 업체 한 곳에 해킹 피해가 발생하면, 그 고객사까지 겨냥한 사이버 공격이 추가로 이어질 위험성이 크다. 이에, 많은 사이버 전문가가 이를 예방하기 위한 대책으로 모든 데이터에 암호화 기능을 사용할 것을 추천한다.

5. 사이버 범죄 집단, 소프트웨어 공격망 보안 공격
대표적인 사례로 러시아 정부 산하 해커 조직이 미국 소프트웨어 제공 업체 솔라윈즈를 해킹한 사건을 언급할 수 있다. 당시 해커는 솔라윈즈 공급망 네트워크를 공격하고, 실행 파일을 변경하면서 사이버 공격 감지를 피하기 위해 프로토콜 트래픽을 모방했다.

이 때문에 솔라윈즈 고객사 1만 8,000여 곳의 네트워크가 공격 위험에 노출됐으며, 실제로 미국 정부 산하 기관을 비롯한 여러 공공 기관 및 민간 기업이 피해를 보았다. 이를 계기로 대대적인 사이버 공격 피해를 막기 위해 개인 정보 관리자의 전략이 중요하다는 사실이 강조되었다.

6. 소셜 엔지니어링, SNS 플랫폼 보안 위협한다
사이버 범죄 조직이 페이스북 사용자 2억 6,700만 명의 프로필을 범죄 집단 온라인 커뮤니티에 540달러에 판매한 사건이 발생했다. 또, 고위급 정치인과 유명인의 트위터 계정도 해킹돼, 암호화폐 갈취 사기 사건이 발생했다.

이 과정에 당시 해커는 트위터 직원에게 뇌물을 건네 계정 기밀 접근 권한과 관리 툴 접근 권한을 얻는 등 수단과 방법을 가리지 않았다. 이 때문에 SNS 플랫폼 로그인 과정에서 다중 인증 방식의 중요성이 부각됐다.

7. 철저한 신원 확인 및 인증 과정, 기기 정보 확인에 활용할 것
사물인터넷(IoT) 센서와 기기를 생산 환경에 배포하는 IT 팀은 기관의 철저한 신원 확인 및 인증 과정으로 구성된 프레임워크와 부합하도록 네트워크를 더 작은 세그먼트로 분할해야 한다. 기기 보안, 혹은 최소한 접근 권한을 강화하기 위해 철저한 신원 확인 및 인증 과정은 필수이다.

실제로 수많은 IoT 기기의 신원 확인 및 인증 과정이 철저하게 이루어지지 않으며, 보안 수준이 매우 허술해 사이버 공격에 취약한 것으로 파악됐다.

8. 사이버 범죄 조직의 헬스케어 기록 노린 공격 기승
의료 센터의 노트북 탈취부터 의료진에게 뇌물을 건네 관리자 로그인 정보를 탈취하는 등 사이버 범죄 조직이 헬스케어 기록을 노린 사이버 공격을 그 어느 때보다 활발하게 개시하고 있다.

실제로 미국 오리건주의 보건복지 기관의 어느 한 공급사의 노트북 도난 사고가 발생하면서 환자 65만 4,000여 명의 보건 기록이 유출되었다. 유출된 정보에는 환자의 이름과 연락처 정보, 생년월일, 의료 ID 번호 등이 포함된 것으로 알려졌다.

9. 클라우드 보안 구성 문제, 클라우드 데이터 공격의 주된 원인
제대로 구성되지 않은 클라우드 시스템은 해커가 클라우드 보안 공격을 개시하기 좋은 조건을 형성한다. 실제로 미국의 최고정보보안 관리자 300명을 대상으로 한 설문 조사에서 미국 기업 10곳 중 8곳이 허술한 클라우드 서버 및 계정 구성 때문에 데이터 유출 피해를 본 것으로 확인됐다.

허술한 클라우드 구성 이외에도 생성 확인 접근 정보 확인이 불가능한 문제와 잘못 구성된 신원 접근 관리 문제도 클라우드 보안 공격을 일으키는 주범인 것으로 파악됐다.

10. 인프라 감시는 필수
간혹 관리자가 모니터링 절차를 제대로 두지 않거나 이례적인 사건을 제대로 구성하지 않는 문제 때문에 보안 공격이 발생하기도 한다. 로그 모니터링 시스템이 시스템 엔드포인트 및 구성, 성능 이상을 실시간으로 찾아내는 데 매우 중요하다는 사실이 입증됐다. 따라서 보안을 위해 인프라 감시는 필수이다.