brunch

You can make anything
by writing

C.S.Lewis

by sokoban Nov 14. 2022

코로나에서의 보안 사고 ? 대응의 변화

#원인 #대응

코로나가 전세계적으로 많은 환자가 발생하고 이에 따라 사망자 또한 많아지고 있다. 이로 인해 사람간의 접촉을 최소화 하기 위해 재택 근무를 시행하는 일이 많아 지고 있으며 그에 따른 원격 근무툴이 각광 받고 있고 기업 뿐만 아닌 일반 학생들도 화상 회의 시스템을 이용하여 수업을 하고 있다.

재택 근무가 세계적인 추세이다 보니 기업은 주로 VPN을 이용하거나 다양한 방법을 이용하여 업무를 지원하고 있고 재택 초기에는 원격 근무 툴에 대한 여러가지 문제가 있었고 기업에서 사용하는 VPN 솔루션에서 마저 큰 취약점이 발표되고 또한 여러기업에서 피해를 입기도 했다.

그럼 코로나 시대에 어떠한 공격이 가장 많았는지에 대해서 먼저 알아 보자.

1. 재택 환경에서의 사이버 공격 유형

https://www.interpol.int/News-and-Events/News/2020/INTERPOL-report-shows-alarming-rate-of-cyberattac

재택 근무가 늘어남에 따라 직원들은 각자의 집 혹은 외부의 안전한 특정 장소에서 인터넷을 통해서 기업의 전산망에 접속하여 업무를 수행하게 되었다. 이에 따라 사이버상의 공격은 그에 맞는 유형이 많이 늘어나게 되었다.

위의 자료는 인터폴에서 조사한 코로나 19 이후 2020년도의 보안 사고에 대해서 조사한 자료로서 모두 기존에 존재 하던 공격이다. 여기서 가짜 뉴스인 Fake News 14%를 제외하고 눈 여겨 볼 부분은 피싱과 랜섬웨어의 증가라고 볼수 있다.

재택 환경으로 이동함으로 인해 SSL-VPN이나 원격 접속을 위한 Credential, 즉 ID/Password를 이용하는 경우가 늘어 나고 있다. 여기에 보안을 위한 2차 인증으로 핸드폰 등의 OTP를 사용하는것이 흔한 경우이며 이러한 보안을 공격하기 위해 공격자는 몇가지 공격을 혼합하여 악성 도메인을 활용한 악성 코드를 이용할 수도 있다.

즉 전체적인 공격이 코로나 이전이 주로 사무실 환경과 그에 대한 주위 환경을 공격하고자 했다면 이제는 사무실에 있지 않기 때문에 재택에서 근무하는 사람들의 PC를 노리는 것으로 바뀌어 가고 있다는 것을 추정 할 수 있다.그렇다면 이제 어떻게 하면 이렇게 변해가는 환경과 공격에 대응을 할 수 있을지를 조금이나마 알아 보고자 한다.

2. 재택 근무 환경에서 보안 공격 대응의 변화

A. 인프라와 서비스에 대한 가시성 (정확한 파악)

보안 사고가 발생하기 전 그리고 발생한 이후에 항상 드는 생각은 조금 더 인프라의 주위 환경에 신경을 썼어야 한다는 부분일 것이다. 침해 대응을 한다면 인프라 담당자들 보다도 더 많은 구성 요소들을 파악하고 있어야 할것이다. 여기서 인프라라는 말이 물리적인 서비스 인프라만을 지칭 하는것은 아니며 서비스가 구성되는 요소 전체를 통틀어서 파악해야 한다.

코로나 환경에서 왜 더 중요한 요소가 될까를 고민해 보면 쉽게 답을 찾을수 있다. 기존에는 모든 직원이 사무실을 통해서 서비스 환경인 IDC에 접속했던 반면 지금은 각 집에서 접속을 하게 된다. 즉 기존에 오피스에서 IDC까지의 주로 접속을 하는 부분이 사무실이라는 큰 지점을 중심으로 가끔 접속하는 SSL-VPN으로 몇십명이 접속했다면 지금은 사원수 만큼의 지점이 늘어난 것이다.

즉 사원수가 3천명인 회사에서 전체 인원이 재택근무를 한다면 침해 포인트는 3천개로 늘어 났다고 볼수 있다.

작성중

https://www.csoonline.com/article/3596517/6-security-shortcomings-that-covid-19-exposed.html

6 security shortcomings that COVID-19 exposed

The pandemic is constantly testing the strength of enterprise security; it has also revealed numerous weak spots.

www.csoonline.com

https://it.donga.com/31526/

[기고] 정보보안 사고에 대비/대처하는 5단계 절차

[IT동아]영국의 보안전문 기업인 소포스(Sophos)가 2020년에 실시한 설문조사에 따르면, 조사대상 기업 중 절반 이상(51%)이 2019년에 데이터 공격 피해를 당했고,

it.donga.com

% 본 글은 개인적인 견해이며 특정 집단을 대변하지 않습니다.

참고 자료

https://www.interpol.int/News-and-Events/News/2020/INTERPOL-report-shows-alarming-rate-of-cyberattacks-during-COVID-19

INTERPOL report shows alarming rate of cyberattacks during COVID-19

Shift in targets from individuals to governments and critical health infrastructure

www.interpol.int

https://www.boannews.com/media/view.asp?idx=93593&kind=14

솔라윈즈 사태의 주범, 선버스트 멀웨어 분석했더니 2차 피해자 나와

솔라윈즈(SolarWinds) 공급망을 침해한 해킹 공격으로 유포된 백도어, 선버스트(SUNBURST)에 대한 추가 정보들이 공개되고 있다. 현재까지 솔라윈즈 공격에 피해를 입은 단체들은 여섯 개 연방 기관들

www.boannews.com

https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/

A moment of reckoning: the need for a strong and global cybersecurity response - Microsoft On the Issues

The recent spate of cyberattacks require the government and the tech sector in the United States to look with clear eyes at the growing threats we face. At Microsoft, we are committed to being at the forefront of these efforts.

blogs.microsoft.com

한국 해킹 사고 기사

https://www.boannews.com/media/view.asp?idx=92436&page=1&kind=1

[긴급] 사이버범죄 천국 다크웹, 한국 798개 웹사이트 계정정보 유출

최근 마약과 성범죄 등 다양한 사이버범죄와 연관된 다크웹에 한국 웹사이트 789곳의 계정정보 1,368만건이 유출된 것으로 확인돼 충격을 주고 있다. 최근 17개 글로벌 기업의 고객정보 3,400만 건

www.boannews.com

https://www.boannews.com/media/view.asp?idx=92390&page=2&kind=1

악명 높은 해커 샤이니헌터즈, 4억 명의 개인정보 무료로 공개

다크웹에서 활동하는 해킹 단체가 또 어마어마한 규모의 데이터를 유출시켰다. 샤이니헌터즈(ShinyHunters)라는 이름의 조직이 약 4억 명의 개인정보가 담긴 데이터를 공개한 것이다. 그것도 무료

www.boannews.com

https://www.boannews.com/media/view.asp?idx=92352&page=2&kind=1

다크웹에 갑자기 나타난 고객 정보 3400만 건, 17개 기업들에서 나와