2019.03.20

네트워크 가시성 확보로 랜섬웨어 방어 태세 갖춘 웨스트랜드시

Dan Swinhoe | CSO
지역 정부들은 최근 랜섬웨어 공격에 시달리고 있다. 콜로라도는 교통부가 샘샘(SamSam) 2018년 2월 랜섬웨어 공격을 받은 후 비상 사태를 선언하고 지원을 위해 주방위군의 사이버 팀을 호출했다. 2018년 3월, 애틀랜타시는 샘샘으로 인한 피해를 입고 이를 해결하는데 약 260만 달러의 비용을 지출했다(본래 요구한 대가는 52,000달러였음). 2019년 1월, 더블린의 루카스 전차 시스템의 웹사이트도 재물 강요 공격을 받았다.

미시간 주의 웨스트랜드시의 CIO(Chief Innovation Officer) 크레이그 브라운은 "다른 사람들과 마찬가지로 지방 정부에 대한 공격도 심각하다"라며, "현재 기술 부서 예산 부재로 인해 해커들이 지방 정부를 손쉬운 표적으로 여기고 있는 경향이 있는 것으로 보이며, 유감스러운 일이다"라고 말했다.

2018년 2월, 웨스트랜드는 랜섬웨어 공격을 받았으며, 시 정부는 피해가 그리 크지 않았음에도 불구하고 보안에 대한 생각을 바꾸어야 한다는 사실을 깨달았다.
 
ⓒ Getty Images Bank
 

작지만 강력한 IT팀

디트로이트에서 서쪽으로 16마일 떨어진 웨스트랜드에는 8만 4,000명이 거주하고 있다. 브라운은 2018년 10월 CIO로 임명되었으며 이전 5년 동안 시 정부의 여러 IT 역할을 담당했고, 그 전에는 미시간대학병원의 기술 부서에서 근무했었다.

브라운은 "CIO의 전통적인 역할과 함께 시 정부의 모든 부서에 기술을 통한 혁신을 제공하는 책임도 맡고 있다."고 브라운이 말했다. "우리는 업무 프로세스를 관리하며 더욱 향상되고 스마트하며 빠르고 비용 효율적으로 만들기 위해 노력하고 있다. 우리는 전기가 공급되는 모든 것을 관리하고 발전시킨다"고 그의 역할을 설명했다.

브라운과 5명으로 구성된 그의 팀은 시민 데이터 활성화, 제공, 보호와 함께 시 정부의 운영 신뢰성 확보를 담당하고 있다. 해당 팀의 소관에는 시 정보 웹사이트 및 소셜 미디어, 네트워크 인프라, 데이터베이스, 서버 및 상수도, 하수도, 쓰레기를 포함한 다양한 시 서비스, 노인 지원, 건축 부서, 공공 액세스 TV 방송국, 정부 건물의 HVAC 시스템이 포함된다.

시의 IT팀의 규모가 작기 때문에 모두가 다방면에 걸쳐 박식하다. 5명 모두가 보안 사이버팀이자 데이터베이스팀이고 네트워킹팀이지만 브라운은 기술 및 지식을 중심으로 자기 계발에 대한 지속적인 유인이 존재하며 시 정부는 자원 부족에 구애 받지 않는다고 말했다. 

그는 "우리는 스스로 기술과 혁신의 첨단을 달리고 있다고 생각한다. 더욱 빠르거나 비용 효율적인 프로세스 또는 시민들에게 연락하거나 그들이 우리에게 연락할 수 있는 더 나은 방법인지 여부에 상관없이 우리는 모든 워크플로와 프로세스를 지속적으로 다시 개발하고 있다"고 덧붙였다.
 

랜섬웨어 위기일발

웨스트랜드에 대한 랜섬웨어 공격은 한 직원이 피싱 공격에 빠져 악성 페이로드로써 크립토록커 랜섬웨어가 포함된 링크를 클릭하면서 시작되었다. 이 랜섬웨어는 장치의 파일을 암호화하고 잠금 해제 명목으로 장치당 2만 5,000달러를 요구했다.

브라운은 "2차로 엔드포인트와 연결된 서버에 즉시 영향을 끼쳤다. 하지만 우리는 이것을 멈출 수 있었다. 우리는 가까운 위치를 파악하고 더 확산되기 전에 멈출 수 있었다. 놀랍게도 그렇게 신속하게 멈출 수 있었다"고 설명했다.

3개의 엔드포인트만이 영향을 받았고 모든 백업을 이용할 수 있었으며 시 정부는 대가를 지불하지 않고 공격에서 회복할 수 있었고 혼란은 최소화되었다. 하지만 시의 IT팀은 보안 접근방식에 있어서 초점의 변화가 필요하다는 사실을 깨달았다. 센디오 이메일 보안 및 트렌드 마이크로 오피스스캔 종점 보호 같은 보안 솔루션은 모두 위협 진입 시 감지 및 정지에 치중하고 있었다.

"[우리 보안의 핵심은] 주로 경계 수준이었고 우리는 내부를 살펴보고 경계 보안을 우회하여 침투하는 것에 관해 알려줄 수 있는 것이 필요했다. 우리는 네트워크 내부의 상황을 정확히 이해하고 비정상적인 것을 즉시 해결할 수 있도록 즉시 파악할 수 있어야 한다."

브라운에 이어 CIO 댄 보르도도 시에 네트워크 내부 상황에 대한 더 큰 시인성과 실시간 원격 측정이 필요하다고 판단했다. 브라운은 "우리는 이미 매우 강력한 보안 인프라가 있었지만 크립토록커 공격을 받은 후 주변을 둘러보고 보안을 강화하며 기존과는 다른 추가적인 계층을 추가해야 한다고 판단했다"고 말했다.

"우리는 우리의 환경을 살펴볼 수 있는 툴이 있었지만 세부적이지 않았다. 우리가 잠재적으로 영향을 끼칠 수 있는 모두를 파악하기 위해 정말로 필요한 수준의 정보를 제공하지 못했기 때문에 해당 네트워크 섹션에 연결된 모두가 괜찮은지 파악하기 위해 더 많은 시간이 소요되었다."
 

실시간 가시성

네트워크에 대한 더 큰 가시성을 얻기 위해 웨스트랜드는 DEIS(Darktrace Enterprise Immune System)을 배치하기로 결정했다. 브라운은 "우리는 시장에 출시된 다양한 플랫폼을 살펴보기 시작했으며 다양한 플랫폼에 관한 정보를 얻기 위해 다른 지방 정부에 있는 동료들에게 연락했다. 다양한 시연을 검토한 후 [당시 CIO였던 보르도와 함께] 다크트레이스가 적합한 플랫폼이라고 판단했다"고 말했다. "우리는 네트워크 내부 상황을 신속하게 파악할 수 있는 손쉬운 수단이 필요했고 다크트레이스가 제공하는 그래픽 인터페이스가 거기에 적합하다. 게다가 타임라인 기능과 보고 기능까지 갖추었으니 금상첨화였다."

현재 해당 기업은 시 정부의 서버, 스마트폰, 노트북, 태블릿 등의 종점, 장치들 사이에서 자동화된 프로세스 등 단지 전체의 네트워크 트래픽에 대한 시인성을 확보하고 있으며, 이 시스템은 정상적인 일상 행동에 대해 학습하고 잠재적으로 의심스럽거나 비정상적인 활동을 플래그 처리한다. 

브라운은 "시 정부의 직원들이 자신의 기술을 이용해 무엇을 하고 있는지 자세히 파악하고 얼마나 많은 데이터가 교환되고 있는지 파악할 수 있게 되었다"고 말했다. 

브라운은 시의 기존 솔루션이 당시의 네트워크에 대한 가시성만 제공했지만 IT팀은 당시 그리고 소프트웨어에 로그인한 다음 시점 사이에 무슨 일이 있었는지에 대한 인사이트를 얻을 수 없었다고 말했다. "우리는 정보가 얼마나 부족한지 알아차렸다. [랜섬웨어 공격] 당시에 다크트레이스가 있었다면 나중에 수동으로 모든 것을 확인하는 대신에 의심스러운 행동을 즉시 파악하고 영향을 받은 종점을 즉시 알 수 있었을 것이다."

브라운과 팀이 확보한 시인성의 한 예로 그는 해당 기기를 설치한 후 한 직원이 시의 게스트 무선 네트워크에서 탈옥한 개인용 휴대전화로 비트토런트를 사용하고 있다는 사실을 발견했다고 말했다. "장치, 사용자, 네트워크 섹션, 시간을 정확히 파악할 수 있었고 누가 사용했는지 정확히 역추적할 수 있었다."
 

보안 ROI 계산

확실한 투자수익을 제공하지 않는 기술의 예산을 정당화하기가 어려울 수 있다. 심지어 차단된 악성코드 공격 같은 확실한 지표도 없는 네트워크 가시성 같은 것은 더 어려울 수 있다. 브라운은 "예방 비용이 가장 중요하다. 기기의 비용과 비교한 예방의 가치는 무엇일까? 장치로 해결 가능할 수 있는 최악의 시나리오를 생각하고 해당 시나리오의 발생 가능한 비용을 파악해야 한다"고 설명했다.

그의 예에서 최소한의 방어책을 확보한 조직이 크립토록커 공격을 받아 연 1회 장비의 절반이 삭제되는 경우 X의 해결 비용이 발생하며, 이 X는 공격을 예방하는 보안 기기의 연간 ROI에 포함된다.

"350개 이상의 엔드포인트가 있기 때문에 크립토록커 공격이 시스템 전체로 확산될 경우 대가가 상당할 것이다. 우리는 3개의 장치가 감염된 시점에 이를 멈출 수 있었다."
 

보안 문화 조성

네트워크 시인성을 얻는 것 외에 브라운은 차기 보안 계획 중 하나가 직원들이 이메일 피싱이 무엇이며 수식한 이메일이 정상적인 이메일이 아닌 피싱 공격이라고 생각되는 경우에 어떤 행동을 해야 하는지 파악하는데 도움이 되는 교육 프로그램이라고 말했다. 해당 시는 이미 피싱 공격에 당할 경우 직원을 비난하지 않는 문화를 확산시키고 있다.

"이런 일이 발생하면 이를 숨기지 않고 우리에게 알려 도움을 받을 수 있다는 사실을 이해시켜야 한다."고 그가 말했다. "다른 도시와 정부에서는 사람들이 문제가 발생했을 때 기술 부서에 알리기를 꺼려하는 모습을 보았다."

브라운은 직원들이 비정상적인 것을 발견하고 잘못되었다는 것을 알고 있는 행동을 했을 때 IT 부서와 공유하는 문화 덕분에 시에서 자체적인 랜섬웨어 사건에 신속하게 대응할 수 있었다고 말했다. "영향을 받은 사람들이 버튼을 클릭하자 마자 이 메시지를 보고를 우리에게 즉시 알렸기 때문에 상황이 악화되기 전에 멈출 수 있었다." editor@itworld.co.kr
 


2019.03.20

네트워크 가시성 확보로 랜섬웨어 방어 태세 갖춘 웨스트랜드시

Dan Swinhoe | CSO
지역 정부들은 최근 랜섬웨어 공격에 시달리고 있다. 콜로라도는 교통부가 샘샘(SamSam) 2018년 2월 랜섬웨어 공격을 받은 후 비상 사태를 선언하고 지원을 위해 주방위군의 사이버 팀을 호출했다. 2018년 3월, 애틀랜타시는 샘샘으로 인한 피해를 입고 이를 해결하는데 약 260만 달러의 비용을 지출했다(본래 요구한 대가는 52,000달러였음). 2019년 1월, 더블린의 루카스 전차 시스템의 웹사이트도 재물 강요 공격을 받았다.

미시간 주의 웨스트랜드시의 CIO(Chief Innovation Officer) 크레이그 브라운은 "다른 사람들과 마찬가지로 지방 정부에 대한 공격도 심각하다"라며, "현재 기술 부서 예산 부재로 인해 해커들이 지방 정부를 손쉬운 표적으로 여기고 있는 경향이 있는 것으로 보이며, 유감스러운 일이다"라고 말했다.

2018년 2월, 웨스트랜드는 랜섬웨어 공격을 받았으며, 시 정부는 피해가 그리 크지 않았음에도 불구하고 보안에 대한 생각을 바꾸어야 한다는 사실을 깨달았다.
 
ⓒ Getty Images Bank
 

작지만 강력한 IT팀

디트로이트에서 서쪽으로 16마일 떨어진 웨스트랜드에는 8만 4,000명이 거주하고 있다. 브라운은 2018년 10월 CIO로 임명되었으며 이전 5년 동안 시 정부의 여러 IT 역할을 담당했고, 그 전에는 미시간대학병원의 기술 부서에서 근무했었다.

브라운은 "CIO의 전통적인 역할과 함께 시 정부의 모든 부서에 기술을 통한 혁신을 제공하는 책임도 맡고 있다."고 브라운이 말했다. "우리는 업무 프로세스를 관리하며 더욱 향상되고 스마트하며 빠르고 비용 효율적으로 만들기 위해 노력하고 있다. 우리는 전기가 공급되는 모든 것을 관리하고 발전시킨다"고 그의 역할을 설명했다.

브라운과 5명으로 구성된 그의 팀은 시민 데이터 활성화, 제공, 보호와 함께 시 정부의 운영 신뢰성 확보를 담당하고 있다. 해당 팀의 소관에는 시 정보 웹사이트 및 소셜 미디어, 네트워크 인프라, 데이터베이스, 서버 및 상수도, 하수도, 쓰레기를 포함한 다양한 시 서비스, 노인 지원, 건축 부서, 공공 액세스 TV 방송국, 정부 건물의 HVAC 시스템이 포함된다.

시의 IT팀의 규모가 작기 때문에 모두가 다방면에 걸쳐 박식하다. 5명 모두가 보안 사이버팀이자 데이터베이스팀이고 네트워킹팀이지만 브라운은 기술 및 지식을 중심으로 자기 계발에 대한 지속적인 유인이 존재하며 시 정부는 자원 부족에 구애 받지 않는다고 말했다. 

그는 "우리는 스스로 기술과 혁신의 첨단을 달리고 있다고 생각한다. 더욱 빠르거나 비용 효율적인 프로세스 또는 시민들에게 연락하거나 그들이 우리에게 연락할 수 있는 더 나은 방법인지 여부에 상관없이 우리는 모든 워크플로와 프로세스를 지속적으로 다시 개발하고 있다"고 덧붙였다.
 

랜섬웨어 위기일발

웨스트랜드에 대한 랜섬웨어 공격은 한 직원이 피싱 공격에 빠져 악성 페이로드로써 크립토록커 랜섬웨어가 포함된 링크를 클릭하면서 시작되었다. 이 랜섬웨어는 장치의 파일을 암호화하고 잠금 해제 명목으로 장치당 2만 5,000달러를 요구했다.

브라운은 "2차로 엔드포인트와 연결된 서버에 즉시 영향을 끼쳤다. 하지만 우리는 이것을 멈출 수 있었다. 우리는 가까운 위치를 파악하고 더 확산되기 전에 멈출 수 있었다. 놀랍게도 그렇게 신속하게 멈출 수 있었다"고 설명했다.

3개의 엔드포인트만이 영향을 받았고 모든 백업을 이용할 수 있었으며 시 정부는 대가를 지불하지 않고 공격에서 회복할 수 있었고 혼란은 최소화되었다. 하지만 시의 IT팀은 보안 접근방식에 있어서 초점의 변화가 필요하다는 사실을 깨달았다. 센디오 이메일 보안 및 트렌드 마이크로 오피스스캔 종점 보호 같은 보안 솔루션은 모두 위협 진입 시 감지 및 정지에 치중하고 있었다.

"[우리 보안의 핵심은] 주로 경계 수준이었고 우리는 내부를 살펴보고 경계 보안을 우회하여 침투하는 것에 관해 알려줄 수 있는 것이 필요했다. 우리는 네트워크 내부의 상황을 정확히 이해하고 비정상적인 것을 즉시 해결할 수 있도록 즉시 파악할 수 있어야 한다."

브라운에 이어 CIO 댄 보르도도 시에 네트워크 내부 상황에 대한 더 큰 시인성과 실시간 원격 측정이 필요하다고 판단했다. 브라운은 "우리는 이미 매우 강력한 보안 인프라가 있었지만 크립토록커 공격을 받은 후 주변을 둘러보고 보안을 강화하며 기존과는 다른 추가적인 계층을 추가해야 한다고 판단했다"고 말했다.

"우리는 우리의 환경을 살펴볼 수 있는 툴이 있었지만 세부적이지 않았다. 우리가 잠재적으로 영향을 끼칠 수 있는 모두를 파악하기 위해 정말로 필요한 수준의 정보를 제공하지 못했기 때문에 해당 네트워크 섹션에 연결된 모두가 괜찮은지 파악하기 위해 더 많은 시간이 소요되었다."
 

실시간 가시성

네트워크에 대한 더 큰 가시성을 얻기 위해 웨스트랜드는 DEIS(Darktrace Enterprise Immune System)을 배치하기로 결정했다. 브라운은 "우리는 시장에 출시된 다양한 플랫폼을 살펴보기 시작했으며 다양한 플랫폼에 관한 정보를 얻기 위해 다른 지방 정부에 있는 동료들에게 연락했다. 다양한 시연을 검토한 후 [당시 CIO였던 보르도와 함께] 다크트레이스가 적합한 플랫폼이라고 판단했다"고 말했다. "우리는 네트워크 내부 상황을 신속하게 파악할 수 있는 손쉬운 수단이 필요했고 다크트레이스가 제공하는 그래픽 인터페이스가 거기에 적합하다. 게다가 타임라인 기능과 보고 기능까지 갖추었으니 금상첨화였다."

현재 해당 기업은 시 정부의 서버, 스마트폰, 노트북, 태블릿 등의 종점, 장치들 사이에서 자동화된 프로세스 등 단지 전체의 네트워크 트래픽에 대한 시인성을 확보하고 있으며, 이 시스템은 정상적인 일상 행동에 대해 학습하고 잠재적으로 의심스럽거나 비정상적인 활동을 플래그 처리한다. 

브라운은 "시 정부의 직원들이 자신의 기술을 이용해 무엇을 하고 있는지 자세히 파악하고 얼마나 많은 데이터가 교환되고 있는지 파악할 수 있게 되었다"고 말했다. 

브라운은 시의 기존 솔루션이 당시의 네트워크에 대한 가시성만 제공했지만 IT팀은 당시 그리고 소프트웨어에 로그인한 다음 시점 사이에 무슨 일이 있었는지에 대한 인사이트를 얻을 수 없었다고 말했다. "우리는 정보가 얼마나 부족한지 알아차렸다. [랜섬웨어 공격] 당시에 다크트레이스가 있었다면 나중에 수동으로 모든 것을 확인하는 대신에 의심스러운 행동을 즉시 파악하고 영향을 받은 종점을 즉시 알 수 있었을 것이다."

브라운과 팀이 확보한 시인성의 한 예로 그는 해당 기기를 설치한 후 한 직원이 시의 게스트 무선 네트워크에서 탈옥한 개인용 휴대전화로 비트토런트를 사용하고 있다는 사실을 발견했다고 말했다. "장치, 사용자, 네트워크 섹션, 시간을 정확히 파악할 수 있었고 누가 사용했는지 정확히 역추적할 수 있었다."
 

보안 ROI 계산

확실한 투자수익을 제공하지 않는 기술의 예산을 정당화하기가 어려울 수 있다. 심지어 차단된 악성코드 공격 같은 확실한 지표도 없는 네트워크 가시성 같은 것은 더 어려울 수 있다. 브라운은 "예방 비용이 가장 중요하다. 기기의 비용과 비교한 예방의 가치는 무엇일까? 장치로 해결 가능할 수 있는 최악의 시나리오를 생각하고 해당 시나리오의 발생 가능한 비용을 파악해야 한다"고 설명했다.

그의 예에서 최소한의 방어책을 확보한 조직이 크립토록커 공격을 받아 연 1회 장비의 절반이 삭제되는 경우 X의 해결 비용이 발생하며, 이 X는 공격을 예방하는 보안 기기의 연간 ROI에 포함된다.

"350개 이상의 엔드포인트가 있기 때문에 크립토록커 공격이 시스템 전체로 확산될 경우 대가가 상당할 것이다. 우리는 3개의 장치가 감염된 시점에 이를 멈출 수 있었다."
 

보안 문화 조성

네트워크 시인성을 얻는 것 외에 브라운은 차기 보안 계획 중 하나가 직원들이 이메일 피싱이 무엇이며 수식한 이메일이 정상적인 이메일이 아닌 피싱 공격이라고 생각되는 경우에 어떤 행동을 해야 하는지 파악하는데 도움이 되는 교육 프로그램이라고 말했다. 해당 시는 이미 피싱 공격에 당할 경우 직원을 비난하지 않는 문화를 확산시키고 있다.

"이런 일이 발생하면 이를 숨기지 않고 우리에게 알려 도움을 받을 수 있다는 사실을 이해시켜야 한다."고 그가 말했다. "다른 도시와 정부에서는 사람들이 문제가 발생했을 때 기술 부서에 알리기를 꺼려하는 모습을 보았다."

브라운은 직원들이 비정상적인 것을 발견하고 잘못되었다는 것을 알고 있는 행동을 했을 때 IT 부서와 공유하는 문화 덕분에 시에서 자체적인 랜섬웨어 사건에 신속하게 대응할 수 있었다고 말했다. "영향을 받은 사람들이 버튼을 클릭하자 마자 이 메시지를 보고를 우리에게 즉시 알렸기 때문에 상황이 악화되기 전에 멈출 수 있었다." editor@itworld.co.kr
 


X