머스크(Maersk)와 노스크 하이드로(Norsk Hydro)는 대대적인 랜섬웨어 공격을 받아 운영에 차질을 빚었지만 명확하고 간결하며 투명한 메시지와 대응은 긍정적인 평가를 받았다. 더블펄사(DoublePulsar)의 케빈 부몬트는 노스크 하이드로의 대응 전략에 대해 "지금까지 내가 본 최고의 사고 대응 계획"이라고 말했다.
우수한 사고 대응은 비즈니스에도 유익하다. 실제로 노스크는 이 사고로 인해 제조 비즈니스의 여러 부분에서 과거의 수작업으로 돌아가야 했고 공격 첫째 주에만 생산성 손실로 인해 4,000만 달러의 피해를 입었음에도 불구하고 이 기사를 쓰는 현재, 주식의 가치는 사고 당시보다 높다.
반면 브라이언 크렙스는 에퀴팩스(Equifax)의 2017년 침해 사고 대응을 두고 "무계획적이고 뒤죽박죽인 혼란 그 자체"라고 평가했다. 에퀴팩스는 한 달이 지나서야 침해 사실을 공개했으며 사고 대응 전용 웹사이트 서비스 약관에 이후의 모든 집단 소송 참여에 대한 포기 조항을 집어넣었다.
IAM(Identity and Access Management) 제공업체 원로그인(OneLogin)은 12개월 사이 두 건의 침해 사고를 겪었다. 그럼에도 불구하고 이 업체는 제자리를 되찾았고, 실수를 통해 배우고 이후 고객에게 보안 태세를 어떻게 바꾸었는지 보여줌으로써 최근에는 새로운 투자도 유치했다.
원로그인에 발생한 침해 사고
원로그인은 2009년에 창업된 클라우드 기반 IAM 제공업체로 미국 샌프란시스코에 본사를 두고 있다. 비상장 기업이며 전 세계 기업에 사용자 프로비저닝, 라이프사이클 관리, 다중 요소 인증(MFA) 서비스를 제공한다. 고객사로는 에어버스, 영국 적십자, 델, NASA, 미쓰비시 전기 등이 있다.2017년 5월 31일, 원로그인에 아마존 웹 서비스(AWS) 인프라와 관련된 보안 사고가 발생하면서 사용자 정보와 데이터가 유출됐다. 미국 데이터센터를 통해 서비스를 받는 모든 고객이 영향을 받았다. 공격자는 원로그인의 AWS 키 가운데 하나를 사용해 미국 중간 서비스 제공업체의 API를 통해 회사 AWS 플랫폼에 대한 액세스 권한을 획득했다.
공격자는 원로그인 인프라의 인스턴스를 여러 개 만들어 정찰하고 사용자, 앱, 다양한 유형의 키에 대한 정보가 포함된 데이터베이스 테이블을 액세스할 수 있는 권한을 입수했다. 원로그인 직원은 공격을 탐지하고 몇 분 이내에 영향을 받은 인스턴스와 해당 AWS 키를 종료했지만 그 시점은 공격이 이미 약 7시간 동안 실행된 후였다.
원로그인은 고객에게 일부 민감한 데이터는 암호화되어 있지만 "공격자가 데이터를 해독할 수 있는 역량을 확보했을 가능성을 배제할 수 없다"고 경고했다. 원로그인은 고객에 비밀번호를 변경하고 서비스의 API 키를 새로 생성하고 계정 로그인을 위한 새 오쓰(OAuth) 토큰을 만들고 새 보안 인증서를 만들 것을 당부했다.
이 사고는 첫 번째 사고가 발생하고 1년이 채 되지 않은 시점에 발생한 두 번째 사고였다. 첫 번째 사고에서는 침해로 인해 보안 노트(Secure Notes)에 저장된 정보가 공격자에게 일반 텍스트로 노출됐다.
원로그인의 침해 대응 방법
2017년 8월 사고 직후, 브래드 브룩스가 원로그인의 CEO로 선임됐다. 브룩스는 사고가 발생한 시점에는 회사에 공식적으로 소속되어 있지 않았지만 사고의 여파에 어떻게 대처해야 하는지에 대해 원로그인에 자문했다. 결과적으로 원로그인은 고객과 잘 소통했다는 평가를 받았다. 원로그인의 대응을 간단히 정리하면 다음과 같다.- 원로그인은 침해를 발견한 당일 공식 성명을 통해 공격을 발견해 차단했으며 사법 당국에 알렸음을 발표했다.
- 다음 날 공격 방법과 고객에 미친 영향을 정리한 업데이트된 정보를 게시했다.
- 이날 회사가 AWS 관련 보안을 개선하기 위해 취한 조치를 정리한 최종 업데이트를 발표했다.
- 최종 업데이트와 함께 회사는 모든 고객에게 더 세부적인 내용과 지원 페이지 안내가 포함된 이메일을 발송했다.
브룩스는 "고객에게 극히 투명해야 하며, 대부분의 경우 첫 36~48시간 이내에는 정확히 어떤 일이 일어났는지 모른다는 사실을 솔직히 인정해야 한다"면서, "처음 얻은 정보는 틀릴 가능성이 높다. 무엇을 알고 무엇을 모르는지 고객에게 명확히 전달하는 것이 중요하다"고 말했다.
브룩스는 "조사가 어떤 상태에 있든 고객과 대화를 하면서 추가 정보를 공유할 대략적인 시점을 예측할 수 있도록 하는 것이 중요하다"면서 "이런 투명함과 신속함이 중요하다. 에퀴팩스처럼 3~4개월 동안 숨기면 안 된다. 이 경우 신뢰가 완전히 무너지고, 브랜드와 회사 평판 하락이 그 뒤를 따른다"고 말했다.
상황을 정확히 파악하기 시작하면 현재와 미래의 조치, 실행 시점에 대한 명확한 행동 계획을 수립하고 각 행동을 이끄는 경영진 내의 책임자 이름을 알리는 것이 중요하다. 브룩스는 "구체적인 날짜, 경영진 내의 구체적인 이름을 제공함으로써 무슨 일이 일어났는지, 어떻게 해결할 지를 회사가 잘 파악했고 책임감이 있다는 인상, 실제로 계획대로 되고 바뀔 것이라는 인상을 줄 수 있다"고 말했다.
브룩스는 "애매한 태도를 취하고 숨기고 싶은 생각, 취약점을 노출하면 다시 악용되거나 해커를 시스템으로 불러들일 것이라는 잘못된 생각 등 정보 공유에 대한 공포심을 극복해야 최선의 대응을 신속하게 실천할 수 있다"고 조언했다.
원로그인 침해 사고의 장기적인 영향
브룩스에 따르면, 침해 사고에 따른 가장 뚜렷한 결과는 6개월에 걸쳐 회사의 성장이 멈췄다는 점이다. 일부 고객이 이탈했고, 파이프라인에 있던 잠재 고객도 관심을 접고 상황을 지켜보겠다는 입장으로 돌아섰기 때문이다.브룩스는 "영업 프로세스가 대략 한 분기 동안 멈췄다. 잠재 고객은 더 자세한 정보를 입수해 원로그인이 실제로 생존할 수 있을 것인지 확인할 때까지 뒤로 물러났다. 결과적으로 약 두 분기에 걸쳐 회사의 성장이 지연됐다"고 설명했다.
브룩스는 "영업이 위축될 것으로는 예상했지만 처음 몇 개월 동안 이어진 심각한 수준까지는 예상하지 못했다"고 말했다.
사고 이후 원로그인은 책임성이 회사 내에서 중요한 원칙 가운데 하나가 됐으며, 침해를 이유로 IAM 제공업체를 변경하고자 한 소수 고객에게는 새로운 업체로 최대한 쉽게 전환할 수 있도록 지원했다. 브룩스는 "나중에 다시 돌아오기를 희망하지만 과거 자사의 고객이었다는 점에 책임감도 느끼고 있다. 해당 고객에게 피해를 입혔기 때문이다"고 말했다.
침해 사고 후 원로그인이 바뀐 점
원로그인은 2017년 침해 사고를 계기로 회사가 하는 모든 일에서 보안을 가장 중시하는 원칙을 세웠다. 브룩스는 "앞으로 바뀌어야 한다는 의식이 있었다. 다른 무엇보다 보안이 중요하다. 다른 부분은 모두 보안을 위해 타협할 수 있다. 비용, 기능 우선 순위 모두 타협이 가능하다. 항상 보안을 가장 우선해 다른 부분을 최적화할 것이다"고 말했다.가장 먼저 바꾼 것 중 하나는 코드베이스 내의 취약점 관리 방식이다. 원로그인은 초기 분석 후 코드베이스에서 150가지 결함을 발견했고 2개월 만에 모두 제거했다. 그 다음에는 우선 순위 또는 심각성에 관계없이 어떠한 버그도 발견 시점을 기준으로 48시간 이상 코드에 남아 있어서는 안 된다는 규칙이 정해졌다.
2018년 4월에는 저스틴 칼머스가 원로그인 CSO로 선임됐다. 칼머스는 버그 바운티 플랫폼인 해커원(Hackerone), 제네피츠(Zenefits)의 CIO와 CSO, 세일즈포스와 링크드인의 보안 책임자 직책을 두루 거쳤다. 브룩스는 "침해 후 칼머스가 들어온 다음부터 전체 보안 모델을 새로 구축했다. 칼머스는 해커처럼 생각한다. 이런 공격적 사고방식이 회사가 한 단계 더 성숙하는 데 크게 기여했다"고 말했다. 원로그인은 침해 이후 보안을 개선하기 위해 다음과 같은 조치를 취했다.
- AWS를 사용할 때 유비키(YubiKeys)를 통해 다중 요소 인증과 같은 새로운 통제 수단 구현
- 외부 침투 테스트 실행(회사 인프라와 현장에서 모두)
- 버그 바운티 프로그램 참여
- 레드 팀과 블루 팀을 채용해 보안 태세 테스트 및 개선
- 회사 보안 태세의 방향을 잡기 위한 보안 자문 위원회 구성
원로그인은 자체 침투 테스트 팀을 갖춘 고객을 초청해 그 회사의 코드베이스에서 직접 결함을 조사할 것을 독려하고 이를 통해 취약점을 찾아 수정했다. 브룩스는 "중요한 것은 끝은 없다는 점이다. 지속적으로 개선하면서 필요한 모든 투자를 하고 근시안적인 시야에 갇히지 않도록 해야 한다. 혼자서 하는 것이 아니라 전체 커뮤니티와 협력해 우리를 해킹하고 압박해서 개선을 이끌어야 한다"고 말했다.
원로그인은 회사에 대한 고객의 인식을 측정하기 위해 분기별로 순 추천 고객(Net Promoter) 지수를 평가한다. 브룩스는 "이 과정에서 보안과 보안 프로세스에 대한 고객의 인식을 묻고 지속적으로 측정한다"고 말했다.
브룩스는 "침해 사고에도 불구하고 회사에 대한 인식이 업계에서 높은 수준이며 계속 개선되는 중"이라고 말했다. 투명성과 회사의 새로운 보안 접근 방법에 대한 메시지가 효과를 보고 있다는 의미다. 또한 원로그인은 최근 그린스프링 어소시에이츠(Greenspring Associates) 주관으로 1억 달러의 신규 투자금도 유치했으며 제품은 분석 평가에서 여전히 좋은 점수를 받고 있다.
브룩스는 비슷한 상황을 겪고 있는 다른 회사에게 "세계가 끝난 것은 아니고 터널의 끝에는 빛이 있다"고 조언했다.
브룩스는 "여전히 많은 이가 보안을 '있으면 좋은(nice to have)' 부가적인 요소로 생각하지만, 보안은 '있어야 하는(must have)' 필수 요소다. 이런 인식이 없다면 언젠가는 필연적으로 문제를 겪게 된다"면서, "과거의 어떤 관행이 침해를 비롯한 지금의 문제로 이어졌든 보안에 대한 의사 결정이 다른 모든 IT 의사 결정보다 우선해야 한다는 것을 인식해야 한다. 그렇지 않으면 어떤 비즈니스라도 고객의 신뢰를 잃게 된다"고 말했다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.