기업용 스토리지 및 백업 기기에서 발견된 평균 취약점 개수
14
자료 제목 :
2023년 스토리지 및 백업 보안 상태 보고서
State of Storage and Backup Security Report 2023
자료 출처 :
Continuity
원본자료 다운로드
발행 날짜 :
2023년 03월 22일
보안

“기업용 스토리지·백업 기기 평균 취약점 14개…작년과 비슷” 컨티뉴이티 보고서

Michael Hill | CSO 2023.03.23
기업용 스토리지 및 백업 기기에 평균적으로 약 14개의 취약점이 있는 것으로 나타났다. 그중 3개는 악용될 경우 심각한 손상을 초래할 수 있는 치명적인 취약점이었다.
 
ⓒ Getty Images Bank

사이버보안 업체 컨티뉴이티(Continuity)의 2023년 스토리지 및 백업 보안 상태 보고서(State of Storage and Backup Security Report 2023)에 따르면, 다른 계층의 IT 및 네트워크 보안과 비교했을 때 기업용 스토리지/백업 기기의 보안 격차는 상당히 컸다. 컨티뉴이티는 델, 넷앱(NetApp), 베리타스(Veritas), 히타치 밴타라(Hitachi Vantara)를 비롯한 주요 공급업체의 8,589개 스토리지 및 백업 기기가 있는 245개 환경에 대한 평가를 기반으로 보고서를 작성했다. 

컨티뉴이티가 조사한 기업 대부분은 금융 부문이었으며, 의료 및 통신, IT 서비스 부문의 기업도 포함됐다. 기업의 랜섬웨어 복구 계획에서 데이터 백업에 대한 의존도가 높아지고 있는 점을 고려할 때 스토리지 및 백업 기기에 영향을 미치는 취약점이 확산한다는 연구 결과는 큰 의미를 갖는다.


취약점 관리에 실패한 기업들 

보고서에 따르면, 컨티뉴이티가 감지한 개별 보안 문제(취약점 및 보안 구성 오류)는 총 9,996건이다. 이들 보안 문제가 제대로 준수하지 않은 보안 원칙은 270개 이상에 걸쳐 있었다. 또한 기업용 스토리지/백업 기기에 평균 14개의 취약점이 있다는 통계(평균 3개는 위험 등급이 높거나 심각함)는 작년의 조사와 거의 동일했다. 해결 조치가 거의 이루어지지 않았음을 의미한다.

보고서 집필팀은 스토리지/백업 시스템의 패치되지 않은 취약점은 대부분 랜섬웨어의 주요 공격 지점이지만, 기존의 취약점 관리 도구가 이런 시스템을 잘 다루지 못한다는 사실을 인식하지 못하고 있다고 지적했다.

옴디아 수석 애널리스트 데니스 한은 “기업용 스토리지 및 백업 시스템을 보호하는 것은 기업의 사이버 탄력성 전략에서 중요한 부분이다. 데이터가 손실되거나 탈취됐을 때 신속한 데이터 복구만큼 중요한 것이 바로 비즈니스 연속성이다. 따라서 데이터가 존재하는 모든 곳에서 데이터를 보호하고 스토리지 및 백업 시스템이 공격 진입점이 되지 않도록 하는 것이 훨씬 중요하다”라고 말했다.


상위 5가지 스토리지/백업 기기 보안 위험

컨티뉴이티가 탐지한 상위 5가지 스토리지/백업 기기의 보안 위험은 다음과 같다.
 
  1. 안전하지 않은 네트워크 설정(취약한 프로토콜 혹은 암호화)
  2. 해결되지 않은 CVE
  3. 접근 권한 문제(과다 노출)
  4. 안전하지 않은 사용자 관리 및 인증
  5. 불충분한 로깅 및 감사

빈도는 낮지만 위험도가 높았던 다른 요소에는 소프트웨어 공급망 관리 취약점, 구성오류, 안티 랜섬웨어 기능 미사용, 문서화되지 않고 안전하지 않은 API/CLI가 포함됐다. 컨티뉴이티는 러시아-우크라이나 분쟁, 컴플라이언스 및 보험 문제, IT 인프라와 보안팀 간의 구분과 같은 요소가 위험에 기여한다고 덧붙였다.


스토리지/백업 기기의 보안 위험을 해결하는 방법

컨티뉴이티는 보고서에서 5가지 가장 일반적인 스토리지/백업 기기의 보안 위험이 비즈니스에 미치는 영향과 이를 완화하는 방법을 소개했다.

위협 행위자는 안전하지 않은 네트워크 설정을 악용해 구성 정보와 저장된 데이터를 검색하고 이를 변조할 수 있다. 이런 위험을 해결하기 위해 컨티뉴이티는 스토리지/백업 네트워크에 대한 보안 개념과 위험 및 베스트 프랙티스에 대한 지식 격차를 줄이고 업계 권장 사항을 적용하도록 내부 요구 사항을 정리하며, 요구 사항과 실제 설정 간의 격차를 식별 및 수정하고 스토리지/백업 보안 태세를 효과적으로 지속적으로 평가하는 프로세스를 마련하라고 조언했다.

해결되지 않은 CVE은 파일 유출, DoS 공격, 파일 및 블록 디바이스 소유권 획득으로 이어질 수 있으므로 스토리지/백업 환경을 스캔해 CVSS 점수가 높거나 중요한 취약점을 최대한 빨리 식별하고 수정하는 것이 좋다. 컨티뉴이티는 이런 기능을 제공하는 도구를 통해 CVE 식별 및 수정 시스템을 개선할 것을 권고했다.

액세스 권한 문제는 기업과 데이터, 데이터의 복사본을 위험에 노출시킨다. 경우에 따라 해당 스토리지를 사용하는 호스트의 운영체제까지 손상될 수 있다. 컨티뉴이티는 관리 및 제어 평면과 최소 권한 액세스 모델을 구현해 최대한 자주 감사하고 최대한 빨리 문제를 수정해야 한다고 강조했다.

위협 행위자는 부정확하고 안전하지 않은 구성을 악용해 스토리지/백업 시스템을 완전히 제어해 데이터와 복사본을 유출하고 파괴할 수 있다. 완화 방법은 기본 사용자 계정 잠금 혹은 이름 바꾸기(가능한 경우 삭제), 로컬 사용자 계정 제거, 기본 데이터 복사본과 보조 데이터 복사본에 대한 책임 및 액세스 역할 분리, MFA(Multi-factor Authentication)이 대표적이다.

불충분한 로깅/감사는 사이버 범죄자의 악의적인 활동을 숨기고 중앙 보안 도구의 이상 감지 기능에 방해가 될 수 있다. 이런 위험을 최소화하려면 외부 리포지토리에 로그를 기록해야 한다. 이때 각 기기에 대한 중복 로깅 대상과 최소 2개의 NTP 소스를 사용한 외부 타임피킹을 구성하고 인증 실패, 관리/보안 구성 이벤트, 민감 데이터에 대한 스토리지 엑세스 이벤트를 모두 기록해야 하며, 로깅을 세분화해야 한다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.