2021.03.31

IDG 블로그 | 쥐도 새도 모르는 클라우드 공격

David Linthicum | InfoWorld
랜섬웨어 공격은 최소한 피해자에게 공격당한 사실을 알려준다는 점에서 양반이다. 스스로 방어할 기회도 있고, 위기에 대비할 수도 있기 때문이다. 하지만 한창 떠오르는 사이버 공격은 훨씬 더 은밀하게 이루어진다.
 
ⓒ Getty Images Bank

스텔스 해킹(Stealth Hacking)이라 부르는 이런 미묘한 공격은 사용자의 데이터와 프로세스를 훔쳐보지만, 어떤 경보도 뜨지 않는다. 일반 사용자 컴퓨팅 세상에서는 잘못된 다운로드로 설치되는 키로거 악성코드가 전형적인 예이다. 해커는 들키지 않고 가능한 한 많은 데이터를 모으려 하며, 때에 따라서는 영원히 발각되지 않을 수도 있다.

기업 환경에서는 이보다 조금 더 섬찟하다. 일반 해킹 공격의 피해는 위험성과 비용으로 쉽게 규정할 수 있다. 리스크아이큐(RiskIQ)에 따르면, 2019년 사이버 범죄로 1분마다 290만 달러의 손실이 발생했으며, 피해 규모가 큰 기업은 사이버 보안 침해로 분당 25달러를 지불했다. 하지만 기업이 해킹당한 사실을 모른다면, 피해 규모는 즉각적인 공격의 10배가 될 수도 있다.

스텔스 해킹은 잘 드러나지 않기 때문에 실제 피해액을 알 수 있는 데이터가 많지 않다. 주요 사례는 다음과 같다.
 
  • 내부자 주식 거래. 실적 발표 이전에 영업 및 각종 회계 데이터에 접근
  • 감사 전 회사 계정으로부터 현금 이동
  • HR 기록에 대한 접근을 이용한 블랙메일

이런 종류의 해킹은 온프레미스 시스템을 대상으로 한다는 것이 전제인데, 최근에는 클라우드 컴퓨팅의 비중이 커지면서 등한시하기 쉽다. 하지만 퍼블릭 클라우드에서도 스텔스 해킹은 일어날 수 있다.

퍼블릭 클라우드 서비스 업체는 고객 데이터를 더 잘 보호할 책임이 있다고 말하지만, 실제로 클라우드는 어디까지나 책임 분담 모델이다. 즉 클라우드 업체가 안전을 위한 툴과 프로시저를 제공하면, 이를 올바르게 구현하는 것은 기업의 몫이다. 예를 들어, 기업이 퍼블릭 클라우드의 스토리지에 대한 보안을 잘못 구성했고, 이로 인해 데이터가 유출된다면, 책임은 기업이 져야 한다.

그렇다면, 퍼블릭 클라우드를 이용하는 기업이 이런 스텔스 해킹의 위험을 최소화하려면, 어떻게 해야 하는가? 사실 묘안은 없다. 클라우드 보안의 기본 원칙을 지키고, 모든 시스템과 데이터 저장소를 선제적으로 모니터링하는 것이 최선책이다.

여기에는 AI옵스 같은 관리 및 모니터링 툴이 도움이 된다. 이런 툴의 핵심 역할은 시스템의 건강하게 유지하고 관리하는 것이지만, 원하지 않는 손님을 나타내는 이상 징후를 탐지할 수도 있다. 예기치 않은 시간에 예기치 않은 성능이나 동작이 일어나는 것이 대표적인 예다. 만약 AI옵스 툴마저도 보안 시스템에 아무런 경보를 보내지 않으면, 스텔스 해킹은 발각되지 않고 계속된다. 

필자가 말하는 것은 스텔스 해킹을 막기 위한 가장 1차원적인 방법이다. 기업은 모든 시스템과 모든 모니터링 지점에 체계적으로 적용되는 전체론적인 보안 전략이 필요하다. 물론 이런 보안 전략은 수립하기도 어렵고 비용도 많이 들지만, 스텔스 해킹의 피해를 처리하는 비용은 그보다 50배는 더 들 것이다. editor@itowrld.co.kr


2021.03.31

IDG 블로그 | 쥐도 새도 모르는 클라우드 공격

David Linthicum | InfoWorld
랜섬웨어 공격은 최소한 피해자에게 공격당한 사실을 알려준다는 점에서 양반이다. 스스로 방어할 기회도 있고, 위기에 대비할 수도 있기 때문이다. 하지만 한창 떠오르는 사이버 공격은 훨씬 더 은밀하게 이루어진다.
 
ⓒ Getty Images Bank

스텔스 해킹(Stealth Hacking)이라 부르는 이런 미묘한 공격은 사용자의 데이터와 프로세스를 훔쳐보지만, 어떤 경보도 뜨지 않는다. 일반 사용자 컴퓨팅 세상에서는 잘못된 다운로드로 설치되는 키로거 악성코드가 전형적인 예이다. 해커는 들키지 않고 가능한 한 많은 데이터를 모으려 하며, 때에 따라서는 영원히 발각되지 않을 수도 있다.

기업 환경에서는 이보다 조금 더 섬찟하다. 일반 해킹 공격의 피해는 위험성과 비용으로 쉽게 규정할 수 있다. 리스크아이큐(RiskIQ)에 따르면, 2019년 사이버 범죄로 1분마다 290만 달러의 손실이 발생했으며, 피해 규모가 큰 기업은 사이버 보안 침해로 분당 25달러를 지불했다. 하지만 기업이 해킹당한 사실을 모른다면, 피해 규모는 즉각적인 공격의 10배가 될 수도 있다.

스텔스 해킹은 잘 드러나지 않기 때문에 실제 피해액을 알 수 있는 데이터가 많지 않다. 주요 사례는 다음과 같다.
 
  • 내부자 주식 거래. 실적 발표 이전에 영업 및 각종 회계 데이터에 접근
  • 감사 전 회사 계정으로부터 현금 이동
  • HR 기록에 대한 접근을 이용한 블랙메일

이런 종류의 해킹은 온프레미스 시스템을 대상으로 한다는 것이 전제인데, 최근에는 클라우드 컴퓨팅의 비중이 커지면서 등한시하기 쉽다. 하지만 퍼블릭 클라우드에서도 스텔스 해킹은 일어날 수 있다.

퍼블릭 클라우드 서비스 업체는 고객 데이터를 더 잘 보호할 책임이 있다고 말하지만, 실제로 클라우드는 어디까지나 책임 분담 모델이다. 즉 클라우드 업체가 안전을 위한 툴과 프로시저를 제공하면, 이를 올바르게 구현하는 것은 기업의 몫이다. 예를 들어, 기업이 퍼블릭 클라우드의 스토리지에 대한 보안을 잘못 구성했고, 이로 인해 데이터가 유출된다면, 책임은 기업이 져야 한다.

그렇다면, 퍼블릭 클라우드를 이용하는 기업이 이런 스텔스 해킹의 위험을 최소화하려면, 어떻게 해야 하는가? 사실 묘안은 없다. 클라우드 보안의 기본 원칙을 지키고, 모든 시스템과 데이터 저장소를 선제적으로 모니터링하는 것이 최선책이다.

여기에는 AI옵스 같은 관리 및 모니터링 툴이 도움이 된다. 이런 툴의 핵심 역할은 시스템의 건강하게 유지하고 관리하는 것이지만, 원하지 않는 손님을 나타내는 이상 징후를 탐지할 수도 있다. 예기치 않은 시간에 예기치 않은 성능이나 동작이 일어나는 것이 대표적인 예다. 만약 AI옵스 툴마저도 보안 시스템에 아무런 경보를 보내지 않으면, 스텔스 해킹은 발각되지 않고 계속된다. 

필자가 말하는 것은 스텔스 해킹을 막기 위한 가장 1차원적인 방법이다. 기업은 모든 시스템과 모든 모니터링 지점에 체계적으로 적용되는 전체론적인 보안 전략이 필요하다. 물론 이런 보안 전략은 수립하기도 어렵고 비용도 많이 들지만, 스텔스 해킹의 피해를 처리하는 비용은 그보다 50배는 더 들 것이다. editor@itowrld.co.kr


X