#원인 #대응
코로나가 전세계적으로 많은 환자가 발생하고 이에 따라 사망자 또한 많아지고 있다. 이로 인해 사람간의 접촉을 최소화 하기 위해 재택 근무를 시행하는 일이 많아 지고 있으며 그에 따른 원격 근무툴이 각광 받고 있고 기업 뿐만 아닌 일반 학생들도 화상 회의 시스템을 이용하여 수업을 하고 있다.
재택 근무가 세계적인 추세이다 보니 기업은 주로 VPN을 이용하거나 다양한 방법을 이용하여 업무를 지원하고 있고 재택 초기에는 원격 근무 툴에 대한 여러가지 문제가 있었고 기업에서 사용하는 VPN 솔루션에서 마저 큰 취약점이 발표되고 또한 여러기업에서 피해를 입기도 했다.
그럼 코로나 시대에 어떠한 공격이 가장 많았는지에 대해서 먼저 알아 보자.
재택 근무가 늘어남에 따라 직원들은 각자의 집 혹은 외부의 안전한 특정 장소에서 인터넷을 통해서 기업의 전산망에 접속하여 업무를 수행하게 되었다. 이에 따라 사이버상의 공격은 그에 맞는 유형이 많이 늘어나게 되었다.
위의 자료는 인터폴에서 조사한 코로나 19 이후 2020년도의 보안 사고에 대해서 조사한 자료로서 모두 기존에 존재 하던 공격이다. 여기서 가짜 뉴스인 Fake News 14%를 제외하고 눈 여겨 볼 부분은 피싱과 랜섬웨어의 증가라고 볼수 있다.
재택 환경으로 이동함으로 인해 SSL-VPN이나 원격 접속을 위한 Credential, 즉 ID/Password를 이용하는 경우가 늘어 나고 있다. 여기에 보안을 위한 2차 인증으로 핸드폰 등의 OTP를 사용하는것이 흔한 경우이며 이러한 보안을 공격하기 위해 공격자는 몇가지 공격을 혼합하여 악성 도메인을 활용한 악성 코드를 이용할 수도 있다.
즉 전체적인 공격이 코로나 이전이 주로 사무실 환경과 그에 대한 주위 환경을 공격하고자 했다면 이제는 사무실에 있지 않기 때문에 재택에서 근무하는 사람들의 PC를 노리는 것으로 바뀌어 가고 있다는 것을 추정 할 수 있다.그렇다면 이제 어떻게 하면 이렇게 변해가는 환경과 공격에 대응을 할 수 있을지를 조금이나마 알아 보고자 한다.
보안 사고가 발생하기 전 그리고 발생한 이후에 항상 드는 생각은 조금 더 인프라의 주위 환경에 신경을 썼어야 한다는 부분일 것이다. 침해 대응을 한다면 인프라 담당자들 보다도 더 많은 구성 요소들을 파악하고 있어야 할것이다. 여기서 인프라라는 말이 물리적인 서비스 인프라만을 지칭 하는것은 아니며 서비스가 구성되는 요소 전체를 통틀어서 파악해야 한다.
코로나 환경에서 왜 더 중요한 요소가 될까를 고민해 보면 쉽게 답을 찾을수 있다. 기존에는 모든 직원이 사무실을 통해서 서비스 환경인 IDC에 접속했던 반면 지금은 각 집에서 접속을 하게 된다. 즉 기존에 오피스에서 IDC까지의 주로 접속을 하는 부분이 사무실이라는 큰 지점을 중심으로 가끔 접속하는 SSL-VPN으로 몇십명이 접속했다면 지금은 사원수 만큼의 지점이 늘어난 것이다.
즉 사원수가 3천명인 회사에서 전체 인원이 재택근무를 한다면 침해 포인트는 3천개로 늘어 났다고 볼수 있다.
작성중
https://www.csoonline.com/article/3596517/6-security-shortcomings-that-covid-19-exposed.html
% 본 글은 개인적인 견해이며 특정 집단을 대변하지 않습니다.
참고 자료
https://www.boannews.com/media/view.asp?idx=93593&kind=14
https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/
한국 해킹 사고 기사
https://www.boannews.com/media/view.asp?idx=92436&page=1&kind=1
https://www.boannews.com/media/view.asp?idx=92390&page=2&kind=1
https://www.boannews.com/media/view.asp?idx=92352&page=2&kind=1
https://www.boannews.com/media/view.asp?idx=93580
코로나19 금융부문 사이버 위협동향 (금융보안원)
http://www.fsec.or.kr/common/proc/fsec/bbs/163/fileDownLoad/2500.do