| 기업 데이터 보안 침해 9가지 패턴과 대응법 | 2014.08.26 |
9가지 패턴이 10만건 넘는 보안사고의 92% 포괄 [보안뉴스 김태형] 최근 버라이즌(Verizon)이 발표한 ‘Verizon 2014 데이터 보안 침해조사 보고서(2014 DBIR)’에 의하면 기업에서 발생할 가능성이 있는 거의 모든 공격은 9가지 패턴으로 분류된다. 이를 통해 보안위협을 이해하고 보안 관련 업무의 우선 순위를 지정할 수 있다.
‘2014 DBIR 데이터 세트’에는 대규모 및 소규모 조직을 비롯해 농업부문부터 전문 서비스에 이르기까지 19개 업종을 대표하는 95개국의 조직을 대상으로 발생한 보안사건이 포함되어 있다. Verizon이 분류한 9가지 공격 패턴과 대응 방법은 다음과 같다. △ 기타 오류 간단히 말하면 보안을 저해하는 모든 실수를 의미한다. 개인정보를 공개 사이트에 실수로 게시하거나 정보를 잘못된 수신자에게 전송하거나, 문서 또는 자산을 안전하게 폐기하지 못하는 것 등이 포함된다. 어떠한 업계에서 일하든 모든 업무 과정에서 실수는 일어난다. 그러나 공공부문, 행정, 교육, 의료 서비스처럼 정보전달을 다루는 업종의 피해가 가장 심각하다. △ 크라임웨어 범주가 넓은 크라임웨어에는 서버 및 데스크톱 등의 시스템을 침해하는 모든 멀웨어(주로 웹 기반) 사용이 포함되며 피싱 또한 이 패턴에 포함된다. 공공부문, 정보 유틸리티 및 제조업계의 위험이 가장 높은 것으로 나타났다. 이에 대응하기 위해서는 안티바이러스 및 브라우저 패치를 수행해 공격을 차단하고 브라우저에서 Java 사용을 해제한다. 그간 나타난 취약성으로 볼 때 가능한 한 Java 브라우저 플러그인 사용을 피하는 것이 좋다. 또 이중 인증의 사용으로 자격 증명의 도난을 방지하지는 않지만 피해범위를 제한할 수 있도록 하고 구성 변경 모니터링 구축을 통해 주요 지표를 관찰함으로써 수많은 공격 방법을 손쉽게 감지할 수 있다. △ 내부자 및 권한의 잘못된 사용 주로 내부자의 잘못된 사용으로 발생하지만 공모에 가담한 외부인 및 권한이 있는 파트너가 문제를 일으키는 경우도 있다. 일선 직원부터 이사회에 이르기까지 기업 내 모든 직급에서 문제가 일어날 수 있다. 공격대상 업종은 매우 광범위해 부동산, 공공부문, 광업, 행정 등이 포함된다. 직원의 신뢰성이 중요한 기업이라면 언제나 이 위험요소가 존재한다. 이에 대응하기 위해서는 데이터 관련 현황을 파악해야 한다. 데이터 보호의 첫 걸음은 데이터가 어디에 있고 액세스 권한이 누구에게 있는지 아는 것이다. 또 중요 데이터 액세스 권한이 있는 사용자를 확인한 다음, 퇴사하거나 직무가 바뀌면 액세스 권한을 취소하는 프로세스를 구축해야 한다. 또한 조직 외부로 나가는 데이터 전송을 감시하는 수단을 마련하고 익명의 감사 결과 및 공개를 통해 정책의 집행 및 유지 상태를 보여주고 이를 통한 강력한 억제 효과를 가져올 수 있다. △ 물리적 도난 및 분실 노트북·USB 드라이브, 인쇄된 서류 및 기타 정보 자산의 분실/도난을 의미하며 대부분 사무실에서 일어나지만 차량 및 가정에서도 발생한다. 이는 어디에서나 일어나는 사건이지만, 특히 의료 서비스 부문 전체 보안 사건의 45%가 여기에 해당된다. 공공부문에서도 이 패턴에 해당되는 사건이 자주 발생한다. 이에 대응하기 위해서는 장치 암호화가 필요하다. 암호화해도 자산 분실 가능성에는 큰 변화가 없지만 저장된 데이터는 보호된다. 또 정기적인 백업은 주요 데이터의 손실을 예방하고 다운타임을 줄이며 보안 침해가 발생한 경우 범죄 수사에 도움을 준다. 또 잠금 장치 설정으로, IT 장비는 움직일 수 없는 설비에 고정하고 종이 문서를 비롯한 민감한 자산은 별도 보안구역에 보관한다. △ 웹 앱 공격 CMS(콘텐츠 관리 시스템) 또는 전자상거래 플랫폼 같은 웹 애플리케이션에서 공격자가 훔친 자격 증명을 사용하거나 취약성을 악용하는 경우다. 현재는 대부분의 업종이 웹에 접속하는 애플리케이션을 많이 사용하고 있지만 주요 공격 대상은 정보 유틸리티, 제조 및 소매업체이다. 이에 대응하기 위해서는 이중인증 사용으로 소프트 토큰과 바이오인식 기능을 함께 사용한다. 정적 CMS로의 전환을 고려한다. 모든 요청에 대한 코드를 실행할 필요가 없으므로 악용의 기회가 줄어든다. 또 반복적인 로그인 실패 시 계정이 잠기도록 잠금 정책을 실시하면 무차별 암호 대입 공격을 제지하는데 도움이 되고 아웃바운드 접속 모니터링을 통해 서버에서 수백만 개의 패킷을 외국 정부 시스템에 전송해야 할 이유가 없다면 해당 기능을 잠글 수 있다. △ DoS 공격 보안 침해 시도가 아니라 공격을 의미한다. 공격자가 PC 및 강력한 서버를 ‘봇넷’으로 사용해 조직의 시스템 및 애플리케이션을 악성 트래픽으로 마비시켜 결국 정상적인 비즈니스 운영을 멈추는 경우이다. 금융, 소매 및 유사한 업종의 중요한 상거래 시스템을 주로 공격한다. 대응방법은 보안 패치를 즉시 수행하고 필요한 사용자에게만 액세스 권한을 부여하고 핵심 서버를 분리해 소형 백업 서킷을 구입하고 IP 공간을 분리하면 공격을 받더라도 운영 시스템에 영향이 없다. 또한 안티 DoS 설치 후 방치하지 말고 제 기능을 하는지 확인해야 하며 핵심 운영팀은 공격 발생 시 대응 방법을 숙지해야 한다. 아울러 기본 안티 DoS 서비스의 작동 중단 시 대응 요령도 알고 있어야 한다. △ 사이버 스파이 정부와 관련된 스파이가 지적 재산을 노려 주로 피싱 공격을 통해 조직의 보안을 침해하는 것을 의미한다. 스파이는 정부 및 군사 기관만의 문제가 아니다. 전문 서비스, 운수, 제조, 광업 및 공공부문도 모두 인기 있는 공격 대상이다. 대응방법으로는 즉시 보안 패치를 수행해야 하고 안티바이러스를 사용하고 제품을 최신 버전 상태로 유지해야 한다. 이는 제로 데이 공격을 막을 수는 없지만 많은 피해가 발생하는 잘 알려진 위협을 방지할 수 있다. 또한 사용자 교육을 통해 위험 신호를 인식하고 보고하는데 필요한 지식을 확실히 교육하고 시스템, 네트워크, 애플리케이션 활동을 기록한다. 이는 보안사고 대응 시 훌륭한 토대가 되며 사전 예방적 조치에 도움이 된다. △ POS 침입 공격자가 결제 데이터 유출을 목적으로 POS 애플리케이션을 실행하는 컴퓨터 및 서버를 손상시키는 경우다. 가장 많은 POS 장치를 보유하고 있는 접객 및 소매 업체가 당연히 최다 공격 대상이지만 의료 서비스, 결제 처리 등의 다른 업무 부문 역시 위험하다. 이에 대응하기 위해서는 POS 시스템에 대한 타사의 원격 액세스를 제한하고 강력 한 암호정책을 수행해야 한다. 버라이즌 PCI 규정 준수 보고서에 따르면 25% 이상의 기업에서 출하 시 기본값을 그대로 사용하고 있다. 또한 POS 작업용 POS 시스템을 별도 확보해 직원이 웹 사이트 검색, 이메일 확인 또는 게임 용도로 사용하는 것을 금해야 한다. △ 결제카드 조작 ATM, 주유 펌프 또는 POS 단말기에 ‘조작 장치’를 설치해 결제 시 카드 데이터를 읽는 것을 의미한다. 은행, 소매 업체 및 접객 업체가 주요 공격대상이다. 이에 대응하기 위해서는 부당 변경 방지 단말기를 사용해야 한다. 일부 단말기는 조작에 특히 취약하다. 부당 변경 감시를 통해 조작 장치를 찾아내고 미심쩍은 행동을 간파할 수 있도록 직원 교육을 실시한다. 이상 9가지의 패턴이 10만건이 넘는 보안 사고의 92%를 포괄할 뿐만 아니라, 평균적으로 그 중 3가지 패턴이 어떠한 업계든 보안사건의 72%를 포괄한다. 즉, 한 업종의 보안사건 가운데 9가지 패턴 중 단 3가지로 설명 가능한 사건의 비율이 72%를 차지한다는 것. 또 대부분의 업종에서 보안 사건의 50% 이상이 위의 9가지 패턴 중 단 3가지에 해당한다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
기업은 이를 통해 보안위협 상황을 더욱 간편하게 이해할 수 있어 전략에 집중하고 보안관련 투자 우선순위를 더욱 효과적으로 정할 수 있다.