일단 침해가 발생하면 피해 기업은 공격자가 접근한 항목과 데이터에 접근한 방법을 알아내야 한다. 이 정보는 사용자의 데이터가 침해됐음을 사용자에게 알리고, 다음 공격으로부터 자사를 보호하는 방법을 배우는 데 도움이 된다.
먼저 조사에 필요한 자원과 준비가 마련되어 있는지 확인한다. 공격자가 네트워크에 어떻게 진입했는지 알아내는 프로세스는 종종 증거와 타임라인 분석을 기반으로 한다. 증거를 잘 처리하는 프로세스나 방법론은 침입이 발생하기 전에 계획을 세우는 것이 중요하다.
미 법무부의 사이버보안 부서에는 미리 계획을 세우는 데 도움을 줄 수 있는 몇 가지 리소스가 있다. 이 작업 체크리스트를 통해 데이터 침해에 좀 더 쉽게 대응하거나 피해를 최소화할 수 있다.
커뮤니케이션 계획 수립하기
기업에 대한 잠재적인 위협과 위험에 대해 경영진과 커뮤니케이션할 계획을 세우고 위협에 대해 대응하기 위한 계획과 도구를 마련한다. 경영진과는 정기적으로 만나 위험과 반응에 대해 논의한다. 기업의 주요 자산을 식별하고 이런 주요 자산을 보호하기 위한 프로세스를 파악한다. 다음으로, 침해가 발생할 경우 따라야 할 조치 계획을 세운다. 회사 이메일이 침해의 영향을 받거나 해킹 당할 수 있으므로, 회사 이메일 또는 인프라의 일부가 아닌 백업 전화번호 및 이메일 주소로 대체 통신 수단을 확보한다.
사전에 현지 법 집행 기관과의 연락 창구를 확보한다. 이 작업은 회사 규모에 따라 쉽게 수행할 수 있거나 사이버 보험 업체에게 지침을 받아야 할 수도 있다.
접근 및 보안 로그 파일의 외부 백업 유지하기
공격자가 네트워크에 대한 접근 권한을 얻는 방법 중에는 로그 파일을 파헤쳐 찾는 방법도 있다. 따라서 빠르게 덮어쓰는 경향이 있는 백업 및 로그 파일을 외부에 저장, 유지해야 한다.
적절한 접근 제어 장치 설치하기
네트워크 리소스에서 직원을 온보딩 및 오프보딩하는 프로세스를 문서화해 접근 권한이 적절하게 설정 또는 제거됐는지 확인한다. 또한 직원에게는 네트워크 접근을 위한 비밀번호와 다양한 애플리케이션에 필요한 비밀번호를 처리하는 적절한 방법을 교육한다. 비밀번호를 파일 저장소에 일반 텍스트로 남겨둬서는 안 된다.
원격 접속 제한하기
공격자가 네트워크 접근 권한을 탈취하기 위해 사용하는 많은 방법론은 자체 원격 접근 기술에 의존한다. 수년 동안 사용한 비밀번호는 수집되어 포럼에 공유되거나 온라인으로 판매됐을 수도 있다. 최근에는 현재 및 과거에 해킹된 윈도우 원격 데스크톱 서버 130만 대 이상이 RDP(Remote Desktop Protocol) 자격 증명이 러시아의 ‘UAS(Ultimate Anonymity Service)에 유출된 것으로 보고됐다. 이는 RDP 자격 증명이 유출된 사례로서는 가장 큰 규모다. 공격자가 RDP를 통해 접근하면 특히 관리 비밀번호를 획득한 경우, 네트워크에서 측면 이동을 수행할 수 있다. UAS 데이터베이스는 많은 서버가 불안정하고 추측하기 쉬운 자격 증명을 사용한다는 것을 보여줬으며, 서드파티 소프트웨어는 종종 공격자가 사용할 수 있는 기본 원격 접근 자격 증명과 비밀번호를 설치한 것으로 나타났다.
원격 접근 해킹 위험에 대처하는 방법은 여러 가지가 있다. 우선 초기 보호 수단으로 원격 데스크톱을 특정 IP 주소로 제한할 수 있다. 그런 다음 추가 인증으로 원격 데스크톱 게이트웨이를 통과하도록 원격 데스크톱을 설정하고 듀오(Duo)와 같은 도구를 사용해 이중 인증을 제공할 수 있다. 결론적으로 원격 데스크톱을 외부에 노출할 이유가 없다.
VPN, 최신 패치 유지
공격자가 원격 접근 권한을 얻기 위해 사용하는 또 다른 방법은 VPN(Virtual Private Networks)과 같은 외부 접근 소프트웨어의 취약점을 사용하는 것이다. 펄스 시큐어(Pulse Secure) VPN 서버의 취약점이 최근 공격에서 사용됐다. 또한 추가 접근 및 지속성을 위해 펄스 커넥트 시큐어 어플라이언스에 웹셸(Webshell)이 배치됐다. 2020년 1월에 시트릭스(Citrix) VPN 소프트웨어도 취약점에 노출됐다.네트워크에 연결된 VPN 소프트웨어의 패치 수준을 검토한다. VPN 패치가 최신 상태가 아니라면 네트워크를 위험에 노출시키는 것과 다를 바 없다.
특히 원격 시스템에 설치된 VPN 소프트웨어를 패치하는 것은 문제가 될 수 있다. 많은 기업이 인튠(Intune)과 같은 클라우드 도구를 사용해 시스템을 더 잘 제어하고 업데이트하고 있다. 서드파티 VPN 소프트웨어를 사용하는 경우, 공급업체와 함께 패치 및 배포 옵션을 검토한다. 항상 패치 담당자가 공급업체의 소프트웨어 업데이트 알림을 등록했는지 확인한다. editor@itworld.co.kr