한국CISO협의회, 제129차 CISO포럼 18일 더플라자호텔에서 개최
S2W의 곽경주 이사, ‘2023년 상반기 다크웹 랜섬웨어 조직범죄 및 피해 기업 현황’ 발표
IBM 자회사 Randori의 브라이언 해저드 CEO, ‘사이버 공격 표면 관리 방법’ 공유

[보안뉴스 박은주 기자] 한국CISO협의회(회장 이기주)가 개최한 제129차 CISO(Chief Information Security Officer, 정보보호최고책임자)포럼이 18일 서울 더 플라자 호텔 다이아몬드 홀에서 열렸다.


공공기관 및 기업의 CISO 약 80여명이 참석한 자리에서 2023년 상반기에 조직적으로 벌어지는 랜섬웨어 공격에 따른 피해기업 현황을 공유하고, 디지털 혁신 시대에 사이버 공격의 표면 관리 방법을 알아보는 시간을 가졌다.

한국CISO협의회 이기주 회장은 “오늘 포럼에서는 현실적인 보안 이슈로 CISO분들에게 큰 도움이 될 수 있도록 다크웹 기반 랜섬웨어 공격과 공격표면 관리방안이라는 두 가지 주제로 강연이 이뤄질 예정”이라며 강연에 대한 기대감을 드러냈다.

강연은 S2W의 곽경주 이사의 ‘2023년 상반기 다크웹 랜섬웨어 조직범죄 및 피해 기업 현황 분석’에 대한 내용으로 시작됐다. 그는 “다크웹 시장은 Enabler(조력자), Offender(공격자), Monetization(재정관리) 총 3개의 축으로 이뤄져 있다”며, 전반적인 랜섬웨어 생태계에 대해 설명했다. 이어서 ‘딥웹’과 ‘다크웹’ 중심으로 다크웹 생태계가 진화하고 있다고 밝혔다.

곽 이사는 “신규 랜섬웨어 조직이 늘어나고 기업의 내부 정보 및 초기 침투 정보를 판매하는 최초 접근 브로커 IAB(Initial Access Broker)가 랜섬웨어 공격을 돕고 있다”고 말했다. 또한, “다크웹을 기반으로 2023년 상반기 1,846곳의 기업이 피해를 보았다”며 랜섬웨어 그룹 클롭(CLOP)과 북한의 APT 그룹 안다리엘(Andariel) 사례를 소개했다.

랜섬웨어로 인한 피해는 2022년 상반기 1,237건에서 2023년 1,846건으로 늘어났으며, 가장 큰 피해를 입은 국가는 미국, 영국, 프랑스 등이며 제조업, 비즈니스 서비스, 건설업 순으로 많은 피해를 입은 것으로 드러났다.

곽 이사는 진화하는 랜섬웨어 생태계에서 랜섬웨어 기업과 파트너를 맺는 Affiliate Program을 우려하며 “신생 랜섬웨어 그룹은 스타트업처럼 활발하게 활동하며 인재를 양성하고 조직을 체계화하는 데 힘쓰고 있다. 해당 그룹이 한국을 목표로 삼는다면 공격을 피해 가긴 어렵다”고 말했다.

또한, 귀신(Gwisin) 랜섬웨어를 예로 들며 한국의 보안 취약점을 파악하고 있고 언어의 장벽을 뛰어넘는 조력자가 있을 것이라 예상했다. 더불어 내부자가 공격에 가담할 경우 “내부망을 통한 공격은 최초 진입지를 파악하기 어려워진다”며 내부자 공모에 대한 우려를 전했다.

이에 내부 공모자를 잡아낼 수 있는 솔루션의 필요성과 보안 위협 모니터링의 중요성을 강조했다. 곽경주 이사는 “최근 클라우드 전환이 많이 이뤄지는데, 보안 유지를 위해서는 클라우드의 습성을 파악하는 것이 중요하다. 이와 함께 오픈소스를 사용할 때 보안 유의사항을 지속적으로 확인해야 한다”고 말했다. 그는 보안 유지를 위해 다크웹 유출에 대한 가시성 확보와 함께 다크웹 상에 정보 유출에 대한 주기적인 체크가 필요하다고 설명했다. 끝으로 “위협 상황을 빠르게 파악할 수 있는 가시성을 갖추는 것이 가장 중요하다”고 전하며 발표를 마쳤다.


이어 2022년 IBM이 인수한 란도리(Randori)의 공동 창업자인 브라이언 해저드(Brian Hazzard)가 ‘디지털 혁신 시대의 사이버 공격 표면 관리 방법’에 대한 강연을 진행했다. 하자드는 우선 랜도리 솔루션의 탄생 배경에 대해 “공격자가 노리는 것과 사용자가 보호하는 대상이 다를 때 위험이 발생한다”며 “공격자의 시선에서 공격표면을 알아내는 것에서 시작됐다”고 설명했다.

이때 공격 표면은 기업 또는 조직의 하드웨어, 소프트웨어, SaaS와 클라우드 자산 등으로 외부 자산 중 공격자가 공격을 시도하는 지점을 의미한다. 공격 표면을 통해 내부 환경을 타깃으로 한 본격적인 공격이 시작되는 것이다.

그는 “사이버 보안의 근본은 어떤 정보를 보호하는지 아는 것이지만, 디지털 대전환과 코로나19를 겪으며 업무환경이 역동적이고 다변화하고 있어 모든 정보를 파악하는 데 한계가 있다”며 “보호되지 않는 표면과 관리되지 않은 자산, 쉐도우 IT 등으로 보안 위협이 시작된다”고 말했다.

이에 해저드는 외부 공격으로부터 기업의 자산을 보호하기 위해서는 ‘공격 표면 관리(ASM, Attack Surface Managment)’가 필요하다고 말했다. 그는 “공격 표면 관리란 공격자 입장에서 공격 표면을 이해하고 취약점을 찾아내 보완함으로써 공격자로부터 자산 탈취를 어렵게 하는 것”이라고 설명했다.

해저드는 IBM의 Randori 솔루션을 소개하며 “공격자의 시선을 통해 보안의 사각지대를 파악하는 플랫폼”이라며, “공격자에게 드러난 공격 표면을 관리하고 보안의 우선순위를 정해 보안을 유지한다”고 말했다. 끝으로 공격 표면 관리를 통해 “보안 담당자들이 기업의 중요한 자산은 손상되지 않을 것이란 자신감을 느끼도록 하는 것이 목표”라고 전했다.

한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>