2019.11.22

토픽 브리핑 | "대해킹 시대" 침투 테스트의 필요성과 침투하기 어려운 기업 만들기

이대영 기자 | ITWorld
지난 5년 동안 사이버보안 세계에서는 도대체 무슨 일이 일어난 걸까? 금융, 제조, 호텔, 공공, 유통, IT는 물론, 무엇보다 보안에 치명적인 국방, 보안 분야에서도 해킹과 데이터 침해 사고가 있었다. 더욱 놀라운 것은 전문적으로 해킹하는 해킹 조직과 해킹 서버까지 당했고, 정부 조직들이 직간접적으로 해킹을 실행하고 있다는 사실 또한 공개됐다. 

NSA, 화웨이 본사 서버 해킹...뉴욕타임스 & 슈피겔
IT 업체를 무너뜨린 악명높은 해킹 사례 20선
'해킹 서버가 해킹된다', 제우스 관리자 패널 해킹...코딩 결함이 원인
라스트패스 해킹 : 앞으로 해야 할 일
감시 툴 전문 업체 해킹 팀, 해킹 당해 내부 자료 400GB 유출 - 1부
미육군 웹사이트, 해킹 당한 이후 폐쇄
대한민국 군 내부망 해킹 사건 개요와 분석
세계 최대의 성인 사이트 프렌드파인더, 해킹 당해 4억 1,200만 계정 유출
야후 유출 사건에 대해 알아야 할 것과 해야 할 것
2016년 최악의 데이터 보안 사고(해외편)

암호화라는 속성으로 안전할 것이라 여겨졌던 비트코인과 블록체인 또한 실제 해킹 사례가 많이 발생했으며, 일반 기업보다 높은 수준의 보안을 유지한다는 매니지드 서비스 업체마저 해킹을 당했다.  

비트코인과 블록체인 해킹 사례
매니지드 서비스 제공업체를 내부자 위협으로 간주해야 하는 이유

최근까지도 해킹과 침해 사건은 거의 매일같이 이어지고 있으며, 네트워크에서 가치 있는 모든 것이 해킹당하고 있다. 바야흐로 "대해킹 시대"가 도래한 것이다.  

디즈니+ 해킹 패닉… 비밀번호 관리의 중요성 일깨워
"이유없는 해킹을 방어하라"··· '캐피털원' 보안사고가 남긴 숙제

해킹이 많아지고 피해가 심각해질수록 보안 기술은 빠르게 발전한다. 하지만 보안 기술 발전보다 공격 기술이 한 발 더 앞서 나간다는 불편한 사실은 보안에 대해 허무함마저 느끼게 한다. 

대표적인 사이버 공격 "피싱"의 방법과 이를 예방하는 법
해커가 소프트웨어 설치 없이 시스템에 침투하는 방법…"파일리스 공격"의 이해
"피싱 성공 후 2시간 만에 네트워크에 칩입" 카바낙의 해킹 운영방법…비트디펜더
이중 인증을 우회하는 피싱 공격, "실행하기 더 쉬워졌다"…핵인더박스
'실제 사례로 본' 은행을 해킹하는 방법
Q&A로 알아보는 생체인식 보안과 모바일 해킹

이렇게 해킹과 데이터 침해는 이제 기업에서 보편적인 일상이 됐다. 사이버보안 사고가 발생하면 기업들은 큰 피해를 입음과 동시에 고객의 정보를 유출한 범죄의 가해자가 되어 각국의 법률에 따라 벌금과 함께 손해배상 소송의 피고가 된다.

지난 5년 사이 데이터 침해에 따른 평균 비용은 12% 증가해 392만 달러(약 47억 5,000만 원)가 됐다. 데이터 침해에 대해 부과된 벌금은 나날이 강력해지고 있으며 이는 규제 당국이 사용자 데이터를 제대로 보호하지 못하는 조직에 대해 점점 더 진지해지고 있다는 것을 시사한다. IBM과 포네몬 연구소의 최근 보고서에 따르면, 한국의 기업들은 데이터 유출로 인해 평균 약 31억 원의 금전적인 피해를 본 것으로 나타났다. 그리고, 유출 데이터 한 건당 비용은 약 14만 9,500원 정도인 것으로 조사됐다.

데이터 침해로 인한 비용, "어느 정도일까"
2019 사상 최대의 데이터 침해 벌금과 벌칙 그리고 합의 사항
2018년 최대의 벌금형을 받은 데이터 침해 사고들
“한국 기업의 데이터 유출 평균 피해액 기업당 약 31억 원”…IBM

이 보고서에 따르면, 전 세계 조직의 약 30%가 향후 24개월 이내에 최소 한 번의 침해를 경험할 가능성이 높다. 또한 침해 이후 기업은 몇 년 동안 침해 대가를 치른다는 사실이 밝혀졌으며, 기업의 피해 대처 행동에 따라 향후 결과가 달라질 수 있다는 것을 알게 됐다. 

침해 이후 원로그인의 대응과 고객 신뢰 회복 방법…원로그인 CEO 브래드 브룩스 인터뷰

이처럼 업종과 기업 규모에 관계없이 모든 기업이 사이버 공격의 목표물이 될 수 있는 만큼 데이터 침해에 대응하는 방식이 중요하다. 사후 대응이 중요하긴 하지만 사실 사고가 나지 않게 하는 것이 무엇보다 중요하다. 해킹이 불가능한 기업은 없지만 침투하기 어려운 곳은 분명 존재한다. 다음과 같은 5가지 IT 보안 교훈은 침투하기 어려운 기업을 만드는 데 큰 도움을 줄 것이다. 

1. 대응과 보안 인식 교육이 가장 중요하다
2. 탐지 시스템, 제대로 작동하고 있는가
3. 망 분리 강화
4. 액세스 권한에 대한 감사
5. 레드 팀을 꾸리고 운영하라


해커들이 말하는 '침투하기 어려운' 네트워크란?...블랙햇 컨퍼런스 설문조사
소니 해커 기소문을 통해 알아보는 5가지 IT 보안 교훈들

특히 '펜 테스트(pen testing)'나 '윤리적 해킹(ethical hacking)'으로도 부르는 침투 테스트(Penetration test)는 침투하기 어려운 기업으로 만드는 데 도움을 준다. 침투 테스트는 기본적으로 보수를 받고 합법적으로 컴퓨터나 기기에 침투하는 일이다.

침투 테스트를 통해 현재 구현된 방어 체계를 뚫는다면, 의뢰한 기업에 해커가 발견하기 전에 취약점을 없앨 기회를 줄 수 있다. 발견된 문제가 없다면 고객은 더 기뻐할 것이다. 화이트 해커조차 뚫을 수 없을 정도로 보안이 튼튼한 제품이라고 선언할 수 있기 때문이다. 한 마디로 '윈-윈'이다. 이미 많은 기업에서 침투 테스트나 레드팀을 구성하고 결과 데이터를 사용해 보안 팀의 성능을 측정하고 IT 책임자와 결과를 검토하며 보안 제어 및 프로세스를 재평가한다. 

"해커에서 침투 테스터로의 변신" 침투 테스트의 기초와 요구 사항
소셜 엔지니어링 공격의 성공률, "무려 150%!"...화이트햇 해커 조쉬 베리
보안 전문가가 사용하는 10가지 침투 테스트 도구

침투 테스트를 하는 집단을 레드 팀이라고 하는데, 조직의 컴퓨터 자산을 해킹해서 방어선에 존재하는 약점을 드러내는 역할을 하는 직원 또는 계약업체다. 모든 조직은 환경과 애플리케이션/서비스/사이트를 대상으로 정기적인 레드 팀 훈련을 해야 한다. 훈련 빈도는 조직이 결정할 일이지만 연 1~2회도 되지 않는다면 문제가 있다. 아예 하지 않는 조직이라면 미처 모르는 다수의 취약점이 존재할 가능성이 높다. 또한 연 1~2회를 실시하는 기업 가운데 대부분이 2주 이하의 침투 테스트 및 레드팀을 운영하는데, 급변하는 IT 환경에서 보안 방어에 대한 2주간의 테스트만으로는 충분하지 않다. 

성공적인 레드 팀 운용을 위한 5가지 조언
사이버 위험 관리가 좀 더 쉬워지는 "CAPAT"의 의미와 효과  editor@itworld.co.kr 
 


2019.11.22

토픽 브리핑 | "대해킹 시대" 침투 테스트의 필요성과 침투하기 어려운 기업 만들기

이대영 기자 | ITWorld
지난 5년 동안 사이버보안 세계에서는 도대체 무슨 일이 일어난 걸까? 금융, 제조, 호텔, 공공, 유통, IT는 물론, 무엇보다 보안에 치명적인 국방, 보안 분야에서도 해킹과 데이터 침해 사고가 있었다. 더욱 놀라운 것은 전문적으로 해킹하는 해킹 조직과 해킹 서버까지 당했고, 정부 조직들이 직간접적으로 해킹을 실행하고 있다는 사실 또한 공개됐다. 

NSA, 화웨이 본사 서버 해킹...뉴욕타임스 & 슈피겔
IT 업체를 무너뜨린 악명높은 해킹 사례 20선
'해킹 서버가 해킹된다', 제우스 관리자 패널 해킹...코딩 결함이 원인
라스트패스 해킹 : 앞으로 해야 할 일
감시 툴 전문 업체 해킹 팀, 해킹 당해 내부 자료 400GB 유출 - 1부
미육군 웹사이트, 해킹 당한 이후 폐쇄
대한민국 군 내부망 해킹 사건 개요와 분석
세계 최대의 성인 사이트 프렌드파인더, 해킹 당해 4억 1,200만 계정 유출
야후 유출 사건에 대해 알아야 할 것과 해야 할 것
2016년 최악의 데이터 보안 사고(해외편)

암호화라는 속성으로 안전할 것이라 여겨졌던 비트코인과 블록체인 또한 실제 해킹 사례가 많이 발생했으며, 일반 기업보다 높은 수준의 보안을 유지한다는 매니지드 서비스 업체마저 해킹을 당했다.  

비트코인과 블록체인 해킹 사례
매니지드 서비스 제공업체를 내부자 위협으로 간주해야 하는 이유

최근까지도 해킹과 침해 사건은 거의 매일같이 이어지고 있으며, 네트워크에서 가치 있는 모든 것이 해킹당하고 있다. 바야흐로 "대해킹 시대"가 도래한 것이다.  

디즈니+ 해킹 패닉… 비밀번호 관리의 중요성 일깨워
"이유없는 해킹을 방어하라"··· '캐피털원' 보안사고가 남긴 숙제

해킹이 많아지고 피해가 심각해질수록 보안 기술은 빠르게 발전한다. 하지만 보안 기술 발전보다 공격 기술이 한 발 더 앞서 나간다는 불편한 사실은 보안에 대해 허무함마저 느끼게 한다. 

대표적인 사이버 공격 "피싱"의 방법과 이를 예방하는 법
해커가 소프트웨어 설치 없이 시스템에 침투하는 방법…"파일리스 공격"의 이해
"피싱 성공 후 2시간 만에 네트워크에 칩입" 카바낙의 해킹 운영방법…비트디펜더
이중 인증을 우회하는 피싱 공격, "실행하기 더 쉬워졌다"…핵인더박스
'실제 사례로 본' 은행을 해킹하는 방법
Q&A로 알아보는 생체인식 보안과 모바일 해킹

이렇게 해킹과 데이터 침해는 이제 기업에서 보편적인 일상이 됐다. 사이버보안 사고가 발생하면 기업들은 큰 피해를 입음과 동시에 고객의 정보를 유출한 범죄의 가해자가 되어 각국의 법률에 따라 벌금과 함께 손해배상 소송의 피고가 된다.

지난 5년 사이 데이터 침해에 따른 평균 비용은 12% 증가해 392만 달러(약 47억 5,000만 원)가 됐다. 데이터 침해에 대해 부과된 벌금은 나날이 강력해지고 있으며 이는 규제 당국이 사용자 데이터를 제대로 보호하지 못하는 조직에 대해 점점 더 진지해지고 있다는 것을 시사한다. IBM과 포네몬 연구소의 최근 보고서에 따르면, 한국의 기업들은 데이터 유출로 인해 평균 약 31억 원의 금전적인 피해를 본 것으로 나타났다. 그리고, 유출 데이터 한 건당 비용은 약 14만 9,500원 정도인 것으로 조사됐다.

데이터 침해로 인한 비용, "어느 정도일까"
2019 사상 최대의 데이터 침해 벌금과 벌칙 그리고 합의 사항
2018년 최대의 벌금형을 받은 데이터 침해 사고들
“한국 기업의 데이터 유출 평균 피해액 기업당 약 31억 원”…IBM

이 보고서에 따르면, 전 세계 조직의 약 30%가 향후 24개월 이내에 최소 한 번의 침해를 경험할 가능성이 높다. 또한 침해 이후 기업은 몇 년 동안 침해 대가를 치른다는 사실이 밝혀졌으며, 기업의 피해 대처 행동에 따라 향후 결과가 달라질 수 있다는 것을 알게 됐다. 

침해 이후 원로그인의 대응과 고객 신뢰 회복 방법…원로그인 CEO 브래드 브룩스 인터뷰

이처럼 업종과 기업 규모에 관계없이 모든 기업이 사이버 공격의 목표물이 될 수 있는 만큼 데이터 침해에 대응하는 방식이 중요하다. 사후 대응이 중요하긴 하지만 사실 사고가 나지 않게 하는 것이 무엇보다 중요하다. 해킹이 불가능한 기업은 없지만 침투하기 어려운 곳은 분명 존재한다. 다음과 같은 5가지 IT 보안 교훈은 침투하기 어려운 기업을 만드는 데 큰 도움을 줄 것이다. 

1. 대응과 보안 인식 교육이 가장 중요하다
2. 탐지 시스템, 제대로 작동하고 있는가
3. 망 분리 강화
4. 액세스 권한에 대한 감사
5. 레드 팀을 꾸리고 운영하라


해커들이 말하는 '침투하기 어려운' 네트워크란?...블랙햇 컨퍼런스 설문조사
소니 해커 기소문을 통해 알아보는 5가지 IT 보안 교훈들

특히 '펜 테스트(pen testing)'나 '윤리적 해킹(ethical hacking)'으로도 부르는 침투 테스트(Penetration test)는 침투하기 어려운 기업으로 만드는 데 도움을 준다. 침투 테스트는 기본적으로 보수를 받고 합법적으로 컴퓨터나 기기에 침투하는 일이다.

침투 테스트를 통해 현재 구현된 방어 체계를 뚫는다면, 의뢰한 기업에 해커가 발견하기 전에 취약점을 없앨 기회를 줄 수 있다. 발견된 문제가 없다면 고객은 더 기뻐할 것이다. 화이트 해커조차 뚫을 수 없을 정도로 보안이 튼튼한 제품이라고 선언할 수 있기 때문이다. 한 마디로 '윈-윈'이다. 이미 많은 기업에서 침투 테스트나 레드팀을 구성하고 결과 데이터를 사용해 보안 팀의 성능을 측정하고 IT 책임자와 결과를 검토하며 보안 제어 및 프로세스를 재평가한다. 

"해커에서 침투 테스터로의 변신" 침투 테스트의 기초와 요구 사항
소셜 엔지니어링 공격의 성공률, "무려 150%!"...화이트햇 해커 조쉬 베리
보안 전문가가 사용하는 10가지 침투 테스트 도구

침투 테스트를 하는 집단을 레드 팀이라고 하는데, 조직의 컴퓨터 자산을 해킹해서 방어선에 존재하는 약점을 드러내는 역할을 하는 직원 또는 계약업체다. 모든 조직은 환경과 애플리케이션/서비스/사이트를 대상으로 정기적인 레드 팀 훈련을 해야 한다. 훈련 빈도는 조직이 결정할 일이지만 연 1~2회도 되지 않는다면 문제가 있다. 아예 하지 않는 조직이라면 미처 모르는 다수의 취약점이 존재할 가능성이 높다. 또한 연 1~2회를 실시하는 기업 가운데 대부분이 2주 이하의 침투 테스트 및 레드팀을 운영하는데, 급변하는 IT 환경에서 보안 방어에 대한 2주간의 테스트만으로는 충분하지 않다. 

성공적인 레드 팀 운용을 위한 5가지 조언
사이버 위험 관리가 좀 더 쉬워지는 "CAPAT"의 의미와 효과  editor@itworld.co.kr 
 


X