2021.10.07

"간과되고 있다" 기기/머신 ID의 내부자 위협

Christopher Burgess | CSO
기기/머신 ID는 특히 RPA(Robotic Process Automation)와 관련된 경우, 의도적이거나 의도하지 않은 내부 침해의 통로가 될 수 있다. 
 
ⓒ Getty Images Bank

사실 인간은 보안에 대해 강점이자 약점이다. 위험을 경감해 줄 것과 악의적이거나 부주의한 직원의 행동에 대해서는 개선해 줄 것을 요청하면 된다. 하지만 기기/머신 ID는 어떠한가? 지금껏 기기/머신 ID가 내부자 위험 관리에 어떤 영향을 미치는지에 대해 논의조차 부족했다.
    
DTEX 시스템즈(DTEX Systems) 최고 고객 책임자 라잔 쿠는 “내부자 위험 체계를 인간에게 적용하는 것과 같은 수준으로 기기에 더 많이 적용해야 한다”라고 말했다.

사빈트(Saviynt) 최고 전략 책임자 야시 프라카시는 “내부자 위협으로 기업에 위험이 생기는 경우가 점점 늘고 있다. 최근 몇 년 동안 인간 ID와 머신 ID(예: API, 봇, 업체 계정 등)를 포괄하기 위해 내부자 ID가 늘어난 것이 주요 원인이다. 기업들은 조직의 ID 프로그램을 강화해 더욱 효과적으로 위험을 완화할 수 있고, 가짜를 조기에 발견하고 중요 데이터의 유출을 방지함으로써 악의적인 내부자가 미치는 영향을 줄일 수 있다”라고 설명했다.


권한 있는 사용자로서의 봇

인간-머신 업무가 어떻게 악용될 수 있는지 좀 더 구체적으로 설명하기 위해 프라카시는 상품권 결재 및 결제를 담당하는 한 재무 부서의 예를 들었다. 담당자에게는 결재 과정을 자동화하는 스크립트가 있는데 이는 일상적인 작업의 자동화를 늘림으로써 좀 더 복잡한 작업에 집중할 시간을 얻기 위해서이다. 효율성 관점에서 보면 여러 면에서 이득이다. 사이버 위험 관점에서 보면, 소프트웨어 봇(RPA)이 이제 재무 프로세스 내에 권한 있는 사용자이며 새로운 위험을 드러낸다.

접근 권한이 있는 RPA를 워크플로우 내에 도입하면 위험이 따른다. 봇이 시스템 접근, 검사, 분석, 처리 등 필요한 업무 프로세스를 수행하려면 자격을 부여해야 하는데 자격 인증서는 프로세스 내에 쉽게 변경할 수 없게 기록되고 업데이트되는 일은 있다 해도 드물기 때문이다. 

그 다음으로는 CISO의 프로세스에서 벗어나 자신만의 봇을 만드는 직원들이 있다. 직원들이 자신의 섀도우 IT 프로세스를 발전시키는 방식과 대동소이하다. 직원들은 상사를 위해 각자의 업무를 완수하려고 노력했을 뿐이지만 쿠가 제시한 다음 사례에서는 자신이 마치 업무에 전념하는 것처럼 회사를 눈속임하려 했다. 

쿠는 조사 중에 발견한, 네트워크 접속 패턴이 사인 곡선을 닮은 한 직원의 사례를 제시했다. 즉, 0700에 로그인해 앱에 접근해 열고 점심 시간 전후에 앱을 새로고침 하며 1800에 앱을 닫고 로그아웃하는 패턴이었다. 이와 같은 하루 11시간 근무일은 해당 직원이 땡땡이를 치고 싶은 날에 마치 근무 중인 것처럼 보이기 위해 만든 스크립트로 모두 제어된 것이다.

또 다른 사례에서 쿠는 인간이 한 것이 아닌 동작 또는 스크립트/봇 동작을 통해 회사 CFO의 재무 프레젠테이션 내용이 유출된 사례를 보여줬다. 사태가 진정되고 난 후, CFO가 표적 피싱 공격을 받아 인증 정보가 해킹된 사실이 확인됐다. 이 해킹을 통해 공격자는 CFO에게 부여된 권한에 많은 RPA 봇을 포함시킬 수 있었다. 흥미롭게도 이 경우에 공격자는 복잡한 악성코드를 전혀 사용하지 않았다. 시중의 평범한 기성품 애플리케이션을 사용해 CFO의 인스턴트를 통해 접근 가능한 정보를 파일로 전송했다.

  
가시성 개선이 필요하다

CISO들에게 당연히 제기되는 질문은 “정보보안 팀은 해당 네트워크 내부의 RPA 봇들에 대해 어떤 수준의 가시성을 확보하고 있으며, 해킹된 인증 정보로는 권한을 의도된 것 이상으로 상승시킬 수 없게 하기 위한 프로세스는 무엇인가?”이다.

RPA 봇을 넘어 기업 내 기기 인증 정보의 ‘영구적’ 인스턴스를 가능한 한 많이 제거해야 하며, 모든 인스턴스에서 스크립트, 머신 등 각종 형태의 자동화가 활성화되기에 앞서 반드시 인증 프로세스가 발생하도록 해야 한다.

요약하자면, 내부자 위험 관리 전략을 다룰 때는 개인에게 하는 것처럼 기기 및 프로세스에도 똑같이 주의를 기울여야 한다. editor@itworld.co.kr


2021.10.07

"간과되고 있다" 기기/머신 ID의 내부자 위협

Christopher Burgess | CSO
기기/머신 ID는 특히 RPA(Robotic Process Automation)와 관련된 경우, 의도적이거나 의도하지 않은 내부 침해의 통로가 될 수 있다. 
 
ⓒ Getty Images Bank

사실 인간은 보안에 대해 강점이자 약점이다. 위험을 경감해 줄 것과 악의적이거나 부주의한 직원의 행동에 대해서는 개선해 줄 것을 요청하면 된다. 하지만 기기/머신 ID는 어떠한가? 지금껏 기기/머신 ID가 내부자 위험 관리에 어떤 영향을 미치는지에 대해 논의조차 부족했다.
    
DTEX 시스템즈(DTEX Systems) 최고 고객 책임자 라잔 쿠는 “내부자 위험 체계를 인간에게 적용하는 것과 같은 수준으로 기기에 더 많이 적용해야 한다”라고 말했다.

사빈트(Saviynt) 최고 전략 책임자 야시 프라카시는 “내부자 위협으로 기업에 위험이 생기는 경우가 점점 늘고 있다. 최근 몇 년 동안 인간 ID와 머신 ID(예: API, 봇, 업체 계정 등)를 포괄하기 위해 내부자 ID가 늘어난 것이 주요 원인이다. 기업들은 조직의 ID 프로그램을 강화해 더욱 효과적으로 위험을 완화할 수 있고, 가짜를 조기에 발견하고 중요 데이터의 유출을 방지함으로써 악의적인 내부자가 미치는 영향을 줄일 수 있다”라고 설명했다.


권한 있는 사용자로서의 봇

인간-머신 업무가 어떻게 악용될 수 있는지 좀 더 구체적으로 설명하기 위해 프라카시는 상품권 결재 및 결제를 담당하는 한 재무 부서의 예를 들었다. 담당자에게는 결재 과정을 자동화하는 스크립트가 있는데 이는 일상적인 작업의 자동화를 늘림으로써 좀 더 복잡한 작업에 집중할 시간을 얻기 위해서이다. 효율성 관점에서 보면 여러 면에서 이득이다. 사이버 위험 관점에서 보면, 소프트웨어 봇(RPA)이 이제 재무 프로세스 내에 권한 있는 사용자이며 새로운 위험을 드러낸다.

접근 권한이 있는 RPA를 워크플로우 내에 도입하면 위험이 따른다. 봇이 시스템 접근, 검사, 분석, 처리 등 필요한 업무 프로세스를 수행하려면 자격을 부여해야 하는데 자격 인증서는 프로세스 내에 쉽게 변경할 수 없게 기록되고 업데이트되는 일은 있다 해도 드물기 때문이다. 

그 다음으로는 CISO의 프로세스에서 벗어나 자신만의 봇을 만드는 직원들이 있다. 직원들이 자신의 섀도우 IT 프로세스를 발전시키는 방식과 대동소이하다. 직원들은 상사를 위해 각자의 업무를 완수하려고 노력했을 뿐이지만 쿠가 제시한 다음 사례에서는 자신이 마치 업무에 전념하는 것처럼 회사를 눈속임하려 했다. 

쿠는 조사 중에 발견한, 네트워크 접속 패턴이 사인 곡선을 닮은 한 직원의 사례를 제시했다. 즉, 0700에 로그인해 앱에 접근해 열고 점심 시간 전후에 앱을 새로고침 하며 1800에 앱을 닫고 로그아웃하는 패턴이었다. 이와 같은 하루 11시간 근무일은 해당 직원이 땡땡이를 치고 싶은 날에 마치 근무 중인 것처럼 보이기 위해 만든 스크립트로 모두 제어된 것이다.

또 다른 사례에서 쿠는 인간이 한 것이 아닌 동작 또는 스크립트/봇 동작을 통해 회사 CFO의 재무 프레젠테이션 내용이 유출된 사례를 보여줬다. 사태가 진정되고 난 후, CFO가 표적 피싱 공격을 받아 인증 정보가 해킹된 사실이 확인됐다. 이 해킹을 통해 공격자는 CFO에게 부여된 권한에 많은 RPA 봇을 포함시킬 수 있었다. 흥미롭게도 이 경우에 공격자는 복잡한 악성코드를 전혀 사용하지 않았다. 시중의 평범한 기성품 애플리케이션을 사용해 CFO의 인스턴트를 통해 접근 가능한 정보를 파일로 전송했다.

  
가시성 개선이 필요하다

CISO들에게 당연히 제기되는 질문은 “정보보안 팀은 해당 네트워크 내부의 RPA 봇들에 대해 어떤 수준의 가시성을 확보하고 있으며, 해킹된 인증 정보로는 권한을 의도된 것 이상으로 상승시킬 수 없게 하기 위한 프로세스는 무엇인가?”이다.

RPA 봇을 넘어 기업 내 기기 인증 정보의 ‘영구적’ 인스턴스를 가능한 한 많이 제거해야 하며, 모든 인스턴스에서 스크립트, 머신 등 각종 형태의 자동화가 활성화되기에 앞서 반드시 인증 프로세스가 발생하도록 해야 한다.

요약하자면, 내부자 위험 관리 전략을 다룰 때는 개인에게 하는 것처럼 기기 및 프로세스에도 똑같이 주의를 기울여야 한다. editor@itworld.co.kr


X