보안

“알아야 대비한다” 대형 데이터 유출 사고 재발하는 이유 3가지

Maria Korolov  | CSO 2018.08.16
처음에는 쩔쩔매면서 침해 사고 사실을 발표한다. 그리고 며칠, 또는 몇 주 지나 먼젓번의 발표에서 빠뜨린, 수백 만의 기록이 유출됐다는 사실을 덧붙이는 발표를 한다. 그리고 나서, 또 한 번 더 발표를 한다. 생각보다 피해가 커서, 앞서 발표한 내용을 바로잡는다는 발표이다. 새로운 정보와 사실이 공개될 때마다 해킹 당한 조직의 신용과 평판이 하락하는 소리가 들리는 것 같은, 일반적인 정보 유출 대처다.

포어스카우트(ForeScout)의 기업 전략 수석 디렉터인 존 코네트는 “침해 사고 후에 지나치게 서둘러 발표하는 것도 문제다. 그래서 장기간에 걸쳐 서서히 피해를 입는 회사들이 많다. 대다수 기업이 사고를 정확히 파악하기 전, 영향을 최소화하려고 이른 발표의 따른 장점과 단점의 경중을 따지면서, 첫 감식 결과를 토대로 최초 성명을 발표하기 마련”고 분석했다.

그런데 침해 사고 범위를 정확히 몰랐을 때 치르는 대가는 ‘공개적인 망신'에 그치지 않는다. 유출된 데이터가 지적 재산 데이터인 이유 등으로 침해 사실을 공개하지 않는 경우도 마찬가지이다. 공격자가 무엇을 손에 쥐었는지 정확하게 파악하지 못하면 아주 큰 재정적 피해를 초래할 수도 있다.

또, 침입을 당한 시스템을 파악하지 못하면 공격자가 환경에 계속 머무르면서 계속 데이터를 빼내거나, 또 다른 공격을 감행할 준비를 할 수도 있다.

언론의 헤드라인에 데이터 유출 사고가 등장한 지가 오래라는 점을 감안했을 때, 아직도 기업이 이런 문제에 시달리고 있는 것이 놀라울 정도다. 그렇다면, 기업은 어떻게 해야 이런 문제를 처리할 수 있을까? LSEG(London Stock Exchange Group)의 애드리언 애셔 CISO는 “침해 사고 이후에만 초점을 맞추면 데이터 유출 문제를 극복할 수 없다”고 강조했다.

기업은 침해 사고가 발생하기 훨씬 오래 전부터 준비를 시작해야 한다. 애셔는 “통제책과 인력에 충분히 투자하지 않은 상태에서 침해 사고가 발생하면, 피해가 클 경우 제대로 대처할 수 없을 것”이라고 말했다.

애셔를 비롯한 전문가들은 자산 재고를 완벽히 파악하고, 모든 것을 기록해 유지하고, 도상 시뮬레이션 훈련과 연습을 실시해야 한다고 강조한다. 애셔는 “침해에 따른 영향의 범위와 정도에 있어 자신감을 갖도록 만들어 주는 것들”이라고 설명했다.

다음은 기업이 침해 범위 평가에 어려움을 겪는 이유 3가지와 사고를 효과적으로 대비하는 방법에 대한 조언을 정리한 내용이다.

1. 데이터 위치, 데이터 사용자, 사용 방식과 방법을 알아야 한다
애셔에 따르면, 출발점은 데이터가 위치한 장소를 아는 것이다. 여기에는 온프레미스(내부)와 클라우드가 모두 포함된다. 또 이 데이터에 액세스하는 사람, 이들이 어떤 식으로 데이터를 사용하는지, 무슨 목적으로 사용하는지 알아야 한다. 그는 “아주 단순한 요구사항이다. 그러나 오랜 기간 유기적으로 증가 또는 확대된 레가시 환경, 복잡한 환경을 보유 및 운영하고 있는 기업에게는 아주 복잡한 문제”라고 말했다.

듀요 시큐리티(Duo Security)의 마이크 헨리 부사장도 어떤 데이터가 어디에 위치해 있는지 파악하는 것이 아주 어려운 프로세스라고 확인해줬다. 헨리는 “여기에 더해, 보호하려는 비즈니스 프로세스와 자산을 파악해야 한다. 비즈니스가 데이터를 사용하는 방식을 모를 경우, 비즈니스 프로세스로 인해 데이터가 중복되는 장소와 관련된 ‘블라인드 스폿(숨겨진 부분)’이 생길 수도 있다”고 덧붙였다.

예를 들어, 데이터가 서드파티 업체나 파일 공유 플랫폼에 있거나, 아마존 버킷에 저장되어 있을 수 있다. 이 모두가 데이터 침해의 ‘근원’이 될 수 있다. 그런데 장소에 따라서 모니터링과 포렌식 분석이 달라져야 한다.

다른 사람이 데이터를 잃어버린 경우에도 책임을 져야 한다. 리스크레콘(RiskRecon)을 공동 창업한 에릭 블라테에 따르면, 서드파티 위험도 기업이 관리하고 책임져야 한다.

블라테는 “모른 척하고 있을 수 없다. 데이터가 위치한 장소를 파악해 기록으로 유지해야 한다. 직접 계약을 체결한 계약업체는 물론, 이런 계약업체가 아웃소싱을 한 공급업체도 파악하고 있어야 한다”고 강조했다.

지난해 아마존 S3와 액센츄어, 다우 존스, 버라이즌, 우버 등 여러 유수 기업에서 데이터가 유출됐다. 올해도 마찬가지다. 페덱스와 혼다, 로스엔젤레스 카운티 정부에서 데이터 침해 사고가 발생했다.

데이터 재고 조사 및 파악은 귀찮고, 수익을 창출하지 않는 작업이며, 침해 사고를 방지시키는 그런 작업도 아니다. 어쩌면 무한정 연기할 수도 있는 아주 기본적인 보안 작업이다.

필요성을 인식하고 있음에도 불구하고 이를 수행하지 않고 있을 수도 있다. 세이프브리치(SafeBreach)를 공동 창업한 이치크 코틀러 CTO는 “데이터 재고 파악보다 먼저 처리하고 싶은 일이 있을 수 있다. 회사마다 상황이 다르기 때문이다. 규제가 있는 경우 간단하다. 규제를 준수하는 일을 할 수밖에 없다. 그렇지 않은 경우는 ‘미결 문제’가 된다”고 말했다.

2. 적절한 침해 포렌식 수행 로그가 있어야
침해가 발생한 장소, 잃어버린 데이터에 대해 말해줄 수 있는 로그가 제대로 유지되지 않고 있는 기업이 많다. 크라우드스트라이크(CrowdStrike)의 토마스 에더릿지 서비스 담당 부사장은 몇 가지 이유가 있다고 말한다.

먼저 필요한 로그를 몰라 로그를 적절히 유지하지 않는 경우가 있다. 또 재정적인 이유가 있을 수 있다. 에더릿지는 “로그 저장과 유지관리에는 돈이 든다. 이와 관련된 예산과 투자를 확보하는 것이 아주 중요하다”고 강조했다.

마지막으로 로그를 올바르게 구성해야 하고, 로그 정보로 무엇을 할지 알아야 한다. 에더릿지에 따르면, 연습으로 효과를 볼 수 있다. 침해 사고를 시뮬레이션하면 ‘적용 범위’에 있어 미흡한 부분을 파악할 수 있기 때문이다. 자격을 갖춘 유능한 포렌식 전문가를 찾아 채용하기 힘들기 때문에, 일부 회사들은 외부 포렌식 팀을 계속 고용해 활용한다.

로그에 있어 또 다른 문제는 수집해야 할 양을 모르는 것이다. 이는 비정상적인 동작이 발생한 경우와 모든 것이 정상으로 보이는 경우 모두에 해당된다. 콘트래스트 시큐리티(Contrast Security)를 공동 창업한 제프 윌리엄스 CTO는 "포스트 요청 본문의 SQL 주입 공격을 예로 들자. 이런 데이터의 대부분은 로그로 기록되지 않는다. 방화벽이나 앱 서버에서 로그로 기록되지 않는다. 애플리케이션이 로그로 기록할지 결정한다. 그러나 애플리케이션 관점에서는 문제가 없는 데이터다”라고 설명했다. 즉 어느 장소에서도 공격이 로그로 기록되지 않는 것이다.

다양한 주입식 공격에 더해, 드러나지 않게 발생할 수 있는 또 다른 공격 형태는 ‘인증 실패’다. 윌리엄스는 “권한이 없는 누군가 비밀번호를 빼내 사용자를 가장해 로그인을 할 경우, 시스템은 이런 형태의 공격을 인지하지 못한다. 누군가 권한을 상승시켜 권한이 없는 일을 할 경우에도 통상 로그로 기록되지 않는다”고 설명했다. 또 암호화 관련 문제도 거의 로그로 기록되지 않는다.

처토프 그룹(The Chertoff Group)의 밥 앤더슨 사장은 “때론 거의 전부를 파악하지 못할 수도 있다.”고 말했다. 법 집행 분야에서 30년을 일한 앤더슨은 최근 수천 만, 수십 억 달러에 달하는 집단 소송 몇 건에 ‘전문가’ 증인으로 소환이 됐다. ‘뉴스화’ 되지 않은 것은 비밀 합의가 이뤄진 소송이기 때문이다.

앤더슨은는 “침해가 얼마나 큰 금전적 손해를 초래하는지 모르는 기업들이 아주 많다고 생각한다. 소송에서 승리한 경우에도 변호사 비용으로 많은 돈을 지불해야 한다”고 말했다. 기업이 로그 기록을 적절히 유지하지 않을 경우, 이런 집단 소송에서 더 큰 금전적 손해가 발생할 수도 있다.

시스템에 등록되지 않는 공격에 추가, 제로 데이 취약점을 사용하거나 공격자가 고의로 흔적을 지우는 공격에서 가장 흔한 문제점 중 하나는 로그 기록 시스템을 보유하고도 이를 활성화시키지 않는 문제점이다. 앤더슨은 “많은 회사가 자동으로 꺼져 있는 상태에서 기본적으로 실행되는 소프트웨어가 무엇인지 모르고 있다. 로그 시스템을 보유하고 있음에도 로그 기록이 없는 것이다. 이는 아주 큰 문제”라고 지적했다.

3. 적시에 침해 사실을 포착할 것
침해 사실 포착이 늦어질 수록 공격자가 초래할 수 있는 피해가 커지고, 피해에 대한 평가가 어려워진다. 디지털 가디언(Digital Guardian)의 팀 반도스 사이버보안 부사장은 “과거 대형 화학회사에서 일한 적이 있는데, 침해 사고가 발생한 후 가장 먼저 대답해야 할 질문은 ‘침입 범위’였다. 이런 경우, 침해 당한 모든 엔드포인트를 파악하는 것이 중요하다. 해커가 백도어와 도구 등을 남겨뒀을 수 있기 때문”이라고 말했다.

반도스는 단 한 번의 침해가 수천 개의 기기에 영향을 준 사고를 경험한 적이 있다. 공격자가 머무는 시간이 길어질 수록 유출되는 요주의 정보와 설치되는 멜웨어 수가 증가한다. 또 시스템의 감염을 복구하기도 더 어려워진다.

이스라엘 보안회사인 파노레이스(Panorays)의 엘라드 샤피라 조사 책임자는 “침해 후 침해 사고가 완전히 해결되었으며 앞으로 놀랄 일이 없다고 자신하기 힘들다. 서버가 침해당했고, 이를 정상 상태로 복구했다고 가정하자. 이 경우에도 ‘근원’을 찾아 없애지 못하면 침해 사고가 다시 발생한다”고 강조했다.

해커가 훔친 데이터를 공개하고, 이후 더 많은 데이터를 추가 공개하면서 떠들썩해진 사고들이 있었다. 어나니머스(Anonymous)의 HG개리(HGGary) 공격 사례, 쉐도우 브러커 해킹 그룹(Shadow Brokers Hacking Group)이 여러 차례 CIA 문건을 공개한 공격 사례를 예로 들 수 있다. 그는 “랜섬웨어에 감염된 경우, 사이버 몸값을 지불한 후에 다시 공격을 당하지 않는다는 보장이 없다. 또 추가 피해가 없다고 확신할 수도 없다”고 덧붙였다.

최근 발표된 버라이즌의 데이터 침해 조사 보고서(Verizon Data Breach Investigations Report)에 따르면, 발견에 몇 달 이상이 소요된 침해 사고가 전체의 68%에 달한다. 에더릿지에 따르면, 다른 회사가 알려줘서 그때야 침해 사실을 알게 되는 회사들도 많다. 고객 기록이 다크 웹에 등장하거나, 도난당한 신용카드 번호가 사기 거래에 악용되기 시작하면서 침해 사실을 알게 되는 경우가 여기에 해당된다.

사고 대응 계획을 철저히 연습하는 것이 아주 중요하다. 또 외부 전문가를 활용해 사고 대응 계획을 테스트하고, 침해 사고 발생 이후 포렌식을 실시하는 방법을 고려해야 한다. 브이아머(vAromour)의 최고 사이버보안 전략가 겸 수석 부사장인 마크 웨더포드는 “심지어 포츈 500대 기업도 외부 전문 업체를 활용한다”고 강조했다.

웨더포드는 침해 사고가 발생하기 훨씬 전에 이런 협력 관계를 구축해야 한다고 말했다. 또, “사고가 발생하고 나서야 도움을 청할 사람이나 회사를 찾는 것이 가장 좋지 않다”고 덧붙였다.

더 엄격해지는 GDPR 등의 규제 기관 경향에 대비하라
지난 5월 발효된 유럽의 새로운 GDPR(General Data Protection Regulation) 규정에 따르면, EU 사용자가 있는 기업은 침해 사고가 발생한 경우 73시간 이내에 침해 범위를 보고해야 한다. GDPR이나 미국의 침해 통지 관련 법에 따르면, 침해 사실을 파악하지 못했을 때 해당하는 처벌은 없다. 그러나 고의로 주의를 게을리한 경우에는 집단 소송이 제기될 위험이 있다.

GDPR과 미국 캘리포니아 주의 데이터 프라이버시 규정은 기업이 데이터 관리 전략을 재고하고, 데이터의 위치를 추적하고 액세스를 모니터링하는 시스템을 구현하는 기회가 될 전망이다. 이 규정은 또한 고위 경영진의 관심을 촉발하고, 필요한 예산이 확보되도록 도움을 줄 것이다.

계속되고 있는 기업의 디지털 변혁 노력도 새로운 가능성을 창출하고 있다. LSEG의 애셔는 “클라우드는 문제를 바로잡을 수 있는 기회가 될 수 있다. 크고 작은 기업에 미래를 위해 어떤 유산을 구축할지를 생각하라고 충고한다”고 말했다. editor@itworld.co.kr   

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.