2017.01.17

사이버 공격의 주요 표적이 된 중소기업, SIEMaaS가 해법일수 있다

Linda Musthaler | CIO
2016년 2월, 패스트푸드 레스토랑인 웬디스 컴퍼니(The Wendy's Company)는 일부 프랜차이즈 가맹점의 카드 결제가 비정상적이라는 점을 발견했다. 그리고 5월 일부 매장의 POS 시스템이 악성코드에 감염됐다는 증거를 발견했다. 침해 사고가 발생했음이 확인된 것이다. 6월에도 악의적 활동이 보고됐다.

이 회사는 CEO 이름으로 발표한 성명서에서 "사이버 공격은 서비스 공급업체의 원격 액세스 크리덴셜이 해킹당해, 일부 프랜차이즈의 POS 시스템에 악성코드가 배포된 것이 원인으로 판단하고 있다.

침해 사고가 발생한 장소는 웬디스가 직접 소유한 매장은 아니다. 그러나 웬디스와 프랜차이즈 계약을 체결한 가맹점이기 때문에 데이터 침해 사고로 브랜드 평판에 피해가 발생했다"고 설명했다. 웬디스에만 이런 일이 일어난 것이 아니다. 서브웨이(Subway), 데어리 퀸(Dairy Queen), 윈드햄 호텔(Wyndham Hotel), UPS 등도 프랜차이즈 가맹점에서 데이터 침해 사고가 발생했다.

이는 미국 기업 시장의 취약점을 알려준다. 1,500여 브랜드의 프랜차이즈 가맹점인 약 4%의 중소기업들이다. 다양한 레스토랑, 호텔, 피트니스 센터, 차량 관련 서비스, 주택 관련 서비스, 개인 서비스 등 브랜드의 프랜차이즈 가맹점이 약 78만 5,000여 개에 달한다. 통상 독립적으로 운영되는 중소기업이기 때문에 자신의 사업과 대표 브랜드를 보호하기 위해 효과적으로 사이버보안을 적용할 전문성, 지식, 자원이 없다.

프랜차이징닷컴(Franchising.com)의 기사에 따르면, 데이빗 제투니와 루이스 너트 변호사는 프랜차이저(총판권 수여자)인 브랜드 업체들이 프랜차이지(가맹점)들에게 보안 사고를 의무적으로 고지하도록 요구해야 한다고 말했다.

이 변호사들은 "프랜차이저는 브랜드를 보호하고, 신속하면서도 적절히 데이터 보안 사고에 대응하기 위해 가맹점에게 보안 사고를 바로 즉시 보고하고, 사고 조사와 관련된 법적 의무를 준수하고, 법이 요구할 경우 관련 사고를 정부 당국과 소비자들에게 알리도록 의무화해야 한다"고 주장했다.

침해 후 통지는 법적 요구 사항을 준수하기 위한 방법일 수도 있다. 그러나 더 나은 방법이 있다. 보안 사고 방지, 감지, 대응/경감에 도움을 주는 사이버보안 시스템을 구축하는 것이다. 다시 말해, 침해 사고를 보고하는 대신 예방하는 것이다.

위협이 더 광범위하게 확산되고 정교해지면서, '레이더 밖'이라 생각했던 중소기업이 주요 표적이 되었다. 지난 해, 전세계적으로 33만 개의 현금 등록기에서 사용된 오라클 마이크로(MICROS) POS 시스템의 악성코드 감염으로 수많은 소매업체가 데이터 유출 위험에 직면했다.

중소기업들은 시스템 침해 사실을 파악할 방법이 없어, 은행과 신용카드 업체, 법 집행 기관이 문제를 통보했을 때 알게 된 경우가 아주 많았다.

관리형 데이터 및 네트워크 보안 서비스 공급업체인 넷수리온(Netsurion)은 프랜차이즈 같이 여러 지역에서 사업을 하는 사업체에 첨단 위협 감지 솔루션을 제공하는 새로운 서비스를 출시했다.

심엣더엣지(SIEM-at-the-Edge)라는 이름을 가진 서비스로 사업장 워크스테이션에 직접 구현하는 이벤트추적 SIEM 기술, 보안 이벤트 감시 기능, MDR(Managed Detection and Response)로 구성되어 있다.

SIEM(Security Information and Event Management)는 복잡성과 비용 때문에 중소기업이 도입하는 경우가 드물었다. 대부분 중소기업과 프랜차이즈는 내부에 IT 전문성이 없다. 보안 이벤트를 모니터하고, 사고 발생시 대응할 사람이 거의 없다는 의미다.

넷수리온은 자사가 제공하는 서비스가 이런 문제점을 경감해준다고 주장한다. 사업장에는 기존 워크스테이션이나 서버에 센서만 설치한다. 이 센서가 넷수리온에 이벤트 정보를 전송하고, 그러면 이벤트 추적기 SIEM이 정보를 분석한다. 보안 이벤트로 의심되는 경우, 또는 확인된 경우, 넷수리온이 조치를 취한다.

프랜차이즈 사업체의 서버에 악성코드가 설치되었다고 가정하자. 시그니처 업데이트 시기에 따라, 안티바이러스 소프트웨어가 이를 탐지하지 못할 수 있다. 넷수리온은 시스템에 로딩된 모든 것을 조사한다.

새로운 무엇이 확인될 경우, 이를 57개 안티바이러스 시스템의 해시 버전과 비교한다. '적색 신호'로 의심되기 충분한 경우, 넷수리온은 이 소프트웨어를 문제의 소지가 있는 소프트웨어로 분류한다. 그리고 누군가 이의 악성 여부를 확인할 때까지 격리를 시킨다.

넷수리온은 타당할 경우 고객 사업자가 제공하는 정보 없이도, 이를 처리할 수 있는 보안 전문가들을 보유하고 있다. 악성으로 분류한 소프트웨어는 피해를 초래하기 전에 제거한다.

특정 사업장 한 곳이 넷수리온에 서비스를 요청할 수 있다. 또 브랜드가 모든 가맹점에 서비스를 이용하도록 권고할 수 있다. 후자의 경우, 모든 가맹점의 데이터를 통합해 여러 가맹점에 영향을 준 이벤트를 확인할 수 있다. 전부는 아니지만 적지 않은 매장이 감염으로 데이터 침해 사고가 발생했던 웬디스 같은 상황에 아주 유용하다. 특정 가맹점 한 곳에서 악성코드를 발견한 경우, 그 즉시 다른 가맹점을 조사할 수 있다.

내부에 사고에 대응할 IT 전문가가 없는 가맹점의 경우, 넷수리온이 사업체에 경고를 해서 후속 조치나 대응을 할 수 있도록 도와준다. 고객은 넷수리온의 자동 대응 서비스, 또는 경고만 받는 서비스를 선택해 신청할 수도 있다. 넷수리온은 고객에게 지나치게 많은 경고가 전달되지 않도록 적절한 이벤트만 선별한다. 심엣더엣지는 구독형(Subscription) 서비스이다. 월 요금은 20-50달러다. editor@itworld.co.kr 


2017.01.17

사이버 공격의 주요 표적이 된 중소기업, SIEMaaS가 해법일수 있다

Linda Musthaler | CIO
2016년 2월, 패스트푸드 레스토랑인 웬디스 컴퍼니(The Wendy's Company)는 일부 프랜차이즈 가맹점의 카드 결제가 비정상적이라는 점을 발견했다. 그리고 5월 일부 매장의 POS 시스템이 악성코드에 감염됐다는 증거를 발견했다. 침해 사고가 발생했음이 확인된 것이다. 6월에도 악의적 활동이 보고됐다.

이 회사는 CEO 이름으로 발표한 성명서에서 "사이버 공격은 서비스 공급업체의 원격 액세스 크리덴셜이 해킹당해, 일부 프랜차이즈의 POS 시스템에 악성코드가 배포된 것이 원인으로 판단하고 있다.

침해 사고가 발생한 장소는 웬디스가 직접 소유한 매장은 아니다. 그러나 웬디스와 프랜차이즈 계약을 체결한 가맹점이기 때문에 데이터 침해 사고로 브랜드 평판에 피해가 발생했다"고 설명했다. 웬디스에만 이런 일이 일어난 것이 아니다. 서브웨이(Subway), 데어리 퀸(Dairy Queen), 윈드햄 호텔(Wyndham Hotel), UPS 등도 프랜차이즈 가맹점에서 데이터 침해 사고가 발생했다.

이는 미국 기업 시장의 취약점을 알려준다. 1,500여 브랜드의 프랜차이즈 가맹점인 약 4%의 중소기업들이다. 다양한 레스토랑, 호텔, 피트니스 센터, 차량 관련 서비스, 주택 관련 서비스, 개인 서비스 등 브랜드의 프랜차이즈 가맹점이 약 78만 5,000여 개에 달한다. 통상 독립적으로 운영되는 중소기업이기 때문에 자신의 사업과 대표 브랜드를 보호하기 위해 효과적으로 사이버보안을 적용할 전문성, 지식, 자원이 없다.

프랜차이징닷컴(Franchising.com)의 기사에 따르면, 데이빗 제투니와 루이스 너트 변호사는 프랜차이저(총판권 수여자)인 브랜드 업체들이 프랜차이지(가맹점)들에게 보안 사고를 의무적으로 고지하도록 요구해야 한다고 말했다.

이 변호사들은 "프랜차이저는 브랜드를 보호하고, 신속하면서도 적절히 데이터 보안 사고에 대응하기 위해 가맹점에게 보안 사고를 바로 즉시 보고하고, 사고 조사와 관련된 법적 의무를 준수하고, 법이 요구할 경우 관련 사고를 정부 당국과 소비자들에게 알리도록 의무화해야 한다"고 주장했다.

침해 후 통지는 법적 요구 사항을 준수하기 위한 방법일 수도 있다. 그러나 더 나은 방법이 있다. 보안 사고 방지, 감지, 대응/경감에 도움을 주는 사이버보안 시스템을 구축하는 것이다. 다시 말해, 침해 사고를 보고하는 대신 예방하는 것이다.

위협이 더 광범위하게 확산되고 정교해지면서, '레이더 밖'이라 생각했던 중소기업이 주요 표적이 되었다. 지난 해, 전세계적으로 33만 개의 현금 등록기에서 사용된 오라클 마이크로(MICROS) POS 시스템의 악성코드 감염으로 수많은 소매업체가 데이터 유출 위험에 직면했다.

중소기업들은 시스템 침해 사실을 파악할 방법이 없어, 은행과 신용카드 업체, 법 집행 기관이 문제를 통보했을 때 알게 된 경우가 아주 많았다.

관리형 데이터 및 네트워크 보안 서비스 공급업체인 넷수리온(Netsurion)은 프랜차이즈 같이 여러 지역에서 사업을 하는 사업체에 첨단 위협 감지 솔루션을 제공하는 새로운 서비스를 출시했다.

심엣더엣지(SIEM-at-the-Edge)라는 이름을 가진 서비스로 사업장 워크스테이션에 직접 구현하는 이벤트추적 SIEM 기술, 보안 이벤트 감시 기능, MDR(Managed Detection and Response)로 구성되어 있다.

SIEM(Security Information and Event Management)는 복잡성과 비용 때문에 중소기업이 도입하는 경우가 드물었다. 대부분 중소기업과 프랜차이즈는 내부에 IT 전문성이 없다. 보안 이벤트를 모니터하고, 사고 발생시 대응할 사람이 거의 없다는 의미다.

넷수리온은 자사가 제공하는 서비스가 이런 문제점을 경감해준다고 주장한다. 사업장에는 기존 워크스테이션이나 서버에 센서만 설치한다. 이 센서가 넷수리온에 이벤트 정보를 전송하고, 그러면 이벤트 추적기 SIEM이 정보를 분석한다. 보안 이벤트로 의심되는 경우, 또는 확인된 경우, 넷수리온이 조치를 취한다.

프랜차이즈 사업체의 서버에 악성코드가 설치되었다고 가정하자. 시그니처 업데이트 시기에 따라, 안티바이러스 소프트웨어가 이를 탐지하지 못할 수 있다. 넷수리온은 시스템에 로딩된 모든 것을 조사한다.

새로운 무엇이 확인될 경우, 이를 57개 안티바이러스 시스템의 해시 버전과 비교한다. '적색 신호'로 의심되기 충분한 경우, 넷수리온은 이 소프트웨어를 문제의 소지가 있는 소프트웨어로 분류한다. 그리고 누군가 이의 악성 여부를 확인할 때까지 격리를 시킨다.

넷수리온은 타당할 경우 고객 사업자가 제공하는 정보 없이도, 이를 처리할 수 있는 보안 전문가들을 보유하고 있다. 악성으로 분류한 소프트웨어는 피해를 초래하기 전에 제거한다.

특정 사업장 한 곳이 넷수리온에 서비스를 요청할 수 있다. 또 브랜드가 모든 가맹점에 서비스를 이용하도록 권고할 수 있다. 후자의 경우, 모든 가맹점의 데이터를 통합해 여러 가맹점에 영향을 준 이벤트를 확인할 수 있다. 전부는 아니지만 적지 않은 매장이 감염으로 데이터 침해 사고가 발생했던 웬디스 같은 상황에 아주 유용하다. 특정 가맹점 한 곳에서 악성코드를 발견한 경우, 그 즉시 다른 가맹점을 조사할 수 있다.

내부에 사고에 대응할 IT 전문가가 없는 가맹점의 경우, 넷수리온이 사업체에 경고를 해서 후속 조치나 대응을 할 수 있도록 도와준다. 고객은 넷수리온의 자동 대응 서비스, 또는 경고만 받는 서비스를 선택해 신청할 수도 있다. 넷수리온은 고객에게 지나치게 많은 경고가 전달되지 않도록 적절한 이벤트만 선별한다. 심엣더엣지는 구독형(Subscription) 서비스이다. 월 요금은 20-50달러다. editor@itworld.co.kr 


X