2016년은 특히 사이버 공격자들이 주로 랜섬웨어를 사용해 눈에 띄는 성공을 거두면서 조직들에게 위협을 가한 한 해였습니다. 아시아 태평양 지역의 조직들도 예외가 아닙니다. 올해에는 어떤 산업 분야도 안전하지 않다는 값진 교훈을 남겼습니다. 보안에 헛점이 있을 경우 공격자가 작심하고 달려들면 그 헛점을 찾아낸다는 점입니다.

2017년은 조직들이 사이버 보안에서 앞서 가기 위해 정규 보안 위험 평가 프로그램을 실시할 수 있는 기회로 삼아야 합니다. 신기술과 나날이 높아져만 가는 연결성 수준으로 인해 지역 전반에 걸쳐 비즈니스가 변화함과 동시에 비즈니스 개발 기회가 열리고 있습니다.

보안 문제를 인지는 신기술을 완전히 회피한다는 뜻이 아닙니다. 오히려, 보안 문제를 지각하고 현재 및 잠재적 위협과 위험을 완화하기 위해 할 수 있는 일이 무엇인지 이해함으로써 사이버 범죄자보다 앞서가려고 노력하는 것을 뜻합니다.

2017년 아시아 태평양 지역에 대한 저의 예측은 다음과 같습니다.

1. 산업용 제어 시스템이 여러분의 적이 될 수 있습니다.

ICS(산업용 제어 시스템)는 모든 비즈니스, 특히 아시아 태평양 지역에서 필수불가결한 부분입니다. 몇 가지 예를 들자면 빌딩 관리 시스템, 난방/통풍/공기조화(HVAC) 및 보안 출입문 등이 포함됩니다.

대부분의 비즈니스에서는 자체 빌딩 관리 요건을 아웃소싱하므로 타사 제공업체가 적절한 보안을 갖추었는지 알지 못합니다. 악성 공격자가 상당한 피해를 입힐 수 있는 공격을 실행하는 일이 불가능한 것이 아닙니다.

예를 들어, 공격자는 회사 서버 룸이나 데이터 센터의 온도를 50°C까지 올린 다음, 모든 빌딩 출입을 불가능하게 하여 누구도 내부로 들어가 하드웨어를 더 안전한 장소로 옮길 수 없게 만들 수 있습니다. 하드웨어는 결국 과열되어 비즈니스는 물론, 고객 및 파트너까지 상당한 피해를 겪게 될 것입니다.

고려해야 할 사항:

  • 생각해보면 거의 모든 비즈니스가 이와 같은 공격의 위험에 처할 수 있습니다. 비즈니스 리더는 기본적인 보호 절차 이상의 보안에 대해 생각해야 합니다. 조직은 자체 네트워크뿐 아니라 타사를 통해서도 잠재적인 취약 지점을 포괄적으로 살펴볼 필요가 있습니다. 뿐만 아니라 모든 공격 가능성에 대비한 계획을 마련해야 합니다.
  • 자신의 비즈니스가 어떤 IT 외 장비에 의존하는지 그리고 그 장비에 어떤 보안이 갖춰져 있는지 확인해 보셨습니까? 그 장비들은 인터넷에 연결되어 타사의 관리를 받고 있습니까?
  • 타사에 아웃소싱한 경우 보안 보증 수준은 어느 정도로 설정되어 있습니까? 그 업체가 스스로에 어떤 보안 조치를 취하고 있는지 그리고 궁극적으로 귀하의 네트워크 및 시스템을 어떻게 보호하고 관리하는지에 대한 정보를 제공할 수 있습니까?

2. 사물 인터넷(IoT) 장치가 사이버 범죄의 목표물이 될 것입니다.

시장 조사 업체 Gartner는 연결된 ‘사물’의 숫자는 2015년 65억 개에서 2020년 거의 210억 개로 늘어날 것이라고 예측합니다. 이에 따라, 연결된 장치를 통해 버스 브레이크 교체 시기부터 광산의 모든 기계가 허용되는 매개변수 내에서 작동하고 있는지 여부까지 모든 것에 대한 정보를 제공받게 됨으로써 고객 체험이 향상될 것입니다.

그러나 연결된 장치는 사이버 범죄의 목표물이 되기도 합니다. 이는 사람들이 타사 공급업체가 안전하다는 터무니없는 믿음을 갖고 있기 때문에 더욱 그렇습니다. 이 엔드포인트 장치들은 조직 네트워크에 침입할 수 있는 수천 개의 잠재적 진입 지점을 제공합니다. 그 지점들을 보호해야 합니다. 2016년에 우리는 침입을 당한 장치가 봇넷에 서로 연결되어 은행과 인터넷 인프라의 핵심 부분에 공격을 가한 실제 사례들을 처음으로 목격하였습니다.

컴퓨터나 네트워크에 연결된 것은 무엇이든지 잠재적 위험에 처해 있습니다. 장치의 유형은 CCTV 카메라부터 복잡한 기계류에 부착된 작은 센서에 이르기까지 다양합니다. 보안 전문가들이 이러한 장치에 항상 최우선적으로 관심을 두지는 않습니다. 그러나 그 장치가 인터넷에 연결되어 있거나 타사가 관리하는 경우, 비즈니스를 위험에 빠뜨릴 수 있습니다.

열성적인 사이버 범죄자는 가능한 한 모든 방법을 사용하며 자신이 원하는 정보에 접근하기 위해 창의적인 노력을 기울여 침입 방법을 모색할 것입니다.

고려해야 할 사항:

  • IoT가 앞으로 가능한 일이나 미래 프로젝트가 아님을 이해하는 것이 중요합니다. IoT는 지금 일어나고 있는 현실입니다. 보안 보증 서비스를 제공하는 공급업체에 제공하는 장치의 보안을 어떻게 보증할 수 있는지 반드시 물어보십시오. 우리가 여러 번 보았듯이 보안이 없을 수도 있고, 아니면 장치에 기본 설정된 사용자 이름이나 암호를 사용할 수도 있습니다. 이러한 관행은 그러한 장치가 귀하의 네트워크에 연결되는 순간 바뀌어야 합니다.
  • 보안에 공장 설정을 그대로 사용하는 장치는 마치 침입해 달라고 초대하는 것과 다름없습니다. IT 관리자는 그러한 장치들의 기본 관리자 암호를 변경하여 목표물이 되지 않도록 해야 합니다.
  • 또한 이러한 장치가 회사의 보안 정책을 준수하는지 정기적으로 점검해야 합니다.

 

3. 우리는 랜섬웨어 혼란 사태로 경악하게 될 수 있습니다.

랜섬웨어는 공격자들이 기업의 데이터를 잠근 후, 해제를 대가로 금품을 요구하는 방식입니다. 공격자들이 데이터에 접근하여 배상금을 챙기고 데이터를 피해자에게 되돌려주었던 2016년이 랜섬웨어의 피해를 입은 한 해였다고 한다면, 2017년은 2016년보다 더 안 좋은 해가 될 것입니다. 더 정교한 기술을 사용함으로써 공격의 양이 증가할 것입니다. Locky 랜섬웨어의 발견이 고려할 문제라면, 2017년에는 금융 멀웨어가 상승 궤도에 놓이게 될 것입니다.

예상하지 못한 결말은 기업 및 개인이 이미 값을 지불했기 때문에 그 액수가 더 높아지리라는 것입니다. 배상금을 지불한 후 데이터의 잠금이 해제되었다가, 피해자가 다시 공격을 받은 사례도 있었습니다. 조직 내 하나 이상의 시스템에 대한 잠금 해제를 대가로 돈을 지불했다고 해서, 자신의 환경 내에 유포될 수 있는 위협에 대해 면역성을 얻을 수 있는 것은 아닙니다. 저희의 조언은 항상 같았습니다. 지불하지 마십시오.

고려해야 할 사항:

  • 72시간 내에 응답해야 하는 경우, 이러한 공격에 반격을 가할 수 있는 종합 백업 전략 및 응답 절차가 준비되어 있습니까?
  • 백업을 마지막으로 테스트하고 확인한 게 언제입니까?
  • 기본 파일 차단을 적용하여 위협이 조직에 침투하지 못하도록 해놓았습니까? 일부 파일 유형은 조직에 위험 요인이 될 수 있습니다. 다음과 같이 자문해보십시오. "모든 파일을 허용할 것인가, 아니면 문제를 일으킬 수 있는 악성 파일 유형을 허용하지 않음으로써 위험을 관리할 것인가?"

 

4. 심각한 데이터 신뢰 문제를 겪게 될 것입니다.

사람들은 계속해서 (실제로 그렇지 않은데도) 안전하다고 지나치게 믿거나 그러한 생각에 빠지는 우를 범할 것입니다. 예를 들어, 출처가 조직인 것처럼 보이지만 실제로는 악성 공격자가 심어 놓은 기밀 데이터를 노출하거나 사용 가능한 상태로 전환할 수 있습니다. 어떻게 하든 간에 비즈니스 평판과 관련된 위험이 따르고, 지불해야 할 금전적 대가가 존재합니다.

수년 동안 정보 보안 전문가들은 기밀성, 무결성 및 가용성을 지향하는 CIA 3요소로 알려진 모델에 집중해왔습니다. 이 모델은 조직 내 정보 보안 정책에 대한 지침을 제공하도록 설계되었습니다. 오랫동안 많은 조직들은 기밀성을 데이터 도난에서 보호할 수단으로 보거나, 가용성을 데이터 또는 시스템에 접근하게 해주는 수단으로 보아왔지만, 데이터나 시스템의 무결성에 대해서 집중한 시간은 얼마나 될까요?

수년에 걸쳐 진행 중인 데이터 프로젝트에서 조직이 수집 및 분석해온 데이터가 손상되었다고 상상해봅시다. 예를 들어, 연구 및 개발에 많은 투자를 해온 자원 회사가 페타바이트 단위의 데이터를 수집하여 그 다음 시추 현장을 전망하고 있다 해도, 공격자가 그 정보를 조작하여 무가치한 것으로 만들어 버릴 수 있습니다. 데이터의 무결성이 조작되어 소량의 정보라도 변경될 수 있다면, 그 회사는 엉뚱한 장소를 시추하여 시간과 돈을 낭비하고 소중한 환경을 파괴할 가능성도 있습니다. 또한 회사로 하여금 잘못된 의사 결정을 하게 만들어 상당한 파문을 일으킬 수 있습니다. 공격을 받은 후 발생한 모든 흔적이 지워져 시스템이 완전히 삭제되어버리는 경우에 대해서도 같은 말을 할 수 있습니다.

만약 한 사람의 유전적 성향을 잘 이해하여 어떤 약이 효과가 있을지 시행착오를 겪지 않고도 의사가 정확하게 약을 처방할 수 있는 맞춤형 의료가 또 다른 무서운 예가 될 수 있습니다. 이러한 프로그램에 저장된 데이터를 공격자가 변경하는 경우, 약의 효과에 영향을 미칠 뿐 아니라 환자에게 영구적으로 해를 입히고, 심지어는 생명을 위협할 수도 있기 때문에 그 위험성은 너무나 큽니다.

그렇다면 우리는 어떻게 대처해야 할까요?

우선, 모든 기업은 이러한 변화가 서비스를 더욱 디지털화함으로써 삶의 방식을 개선하는 방법이라는 점에서 환영해야 합니다. 그러나 우리가 제공하거나 제공을 받는 서비스를 더욱 디지털화하려는 모든 노력과 더불어, 데이터 보호가 보장되도록 해야 합니다. 모든 플랫폼의 중심에, 모든 발전 단계마다, 그리고 모든 제공업체와 고객 간 관계의 핵심에 인증 시스템이 자리를 잡아야 합니다. 무결성은 인증을 받지 않은 당사자에 의해 변경될 수 없도록 보호해야 합니다. 데이터는 필요할 때 정보에 액세스하도록 인가를 받은 당사자만 사용할 수 있어야 합니다.

고려해야 할 사항:

  • 기업들은 두 가지 주요 사항에 주목해야 합니다. 즉 민감한 데이터가 어디에 저장되어 있으며, 비즈니스 운영에 중대한 역할을 하는 데이터는 무엇인지에 대한 것입니다. 놀랍게도 많은 조직들이 이 질문에 답하는데 어려움을 겪습니다. 이로 인해 자원들이 가장 필요한 곳에 집중되기보다는 조직 전체에 걸쳐 폭넓게 사용되는 보안 제어의 형태로 남용될 수 있습니다. 이렇게 되면 결국 보안 조치를 획득하고 사용하는 데 드는 비용이 늘어나게 됩니다.
  • 직원 중에서 민감한 데이터의 액세스 권한을 가진 사람은 누구입니까? 단지 문서나 빅 데이터 스토어에 대한 액세스 권한을 누가 갖고 있는지 아는 것만으로는 그들이 어떤 데이터에 액세스할 수 있는지 이해할 수 없습니다.
  • 민감한 정보에 대한 위험을 줄이는 데 가장 중요한 방법 역시 데이터 보호 방식을 이해하는 것입니다. 보호 조치가 제대로 마련되어 있고, 그 조치가 비즈니스에 중요할 수 있는 사항에 대한 위험을 완화할 수 있도록 적정 수준을 유지하고 있습니까?

2017년 사이버 보안에 대해 어떻게 예측하십니까? 댓글을 통해 생각을 공유하십시오.

cp17-infographic-phase8