4 분 소요 2020년 03월 20일
노트북으로 재택 근무 중인 여성

코로나19: 기회를 엿보는 사이버 공격 세력 방어를 위한 다섯 단계

작성

Kris Lovejoy

EY Global Consulting Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

4 분 소요 2020년 03월 20일

전 세계 기업들은 코로나19 팬데믹 사태로 야기된 사이버 공격에 그 어느 때보다도 취약한 상황입니다.

로나19 팬데믹이 전 세계를 휩쓸면서 기업들은 밀접 접촉이 있는 임직원 및 고객의 건강 위험을 최소화하고자 새로운 "일상 운영(business as usual)" 모델에 적응하고 있습니다. 새로운 운영 방침에 따라 수백만명이 원격 근무 체제 또는 고객 및 기업간 온라인 업무 소통 체제에 돌입했습니다. 이 같은 행동 변화와 동반해 핵심 정보 시스템의 기밀성, 무결성, 가용성을 위협하는 정보 보안 리스크가 증가합니다.

고객사의 이 같은 리스크 관리를 지원하고자 EY는 위험 동인 및 비즈니스 과제를 파악, 기업이 사이버 회복력을 갖추는 데 도움이 될 다섯 가지 리스크 완화 전략을 도출했습니다.

원격 근무 급증으로 인한 리스크 확대

각 기업의 정보기술(IT) 팀이 앞다투어 원격 근무 인프라 구현에 나서면서, 급증하는 현업 지원 요청에 대한 대응 부담으로 IT팀 그리고/또는 유저들이 최선의 정보 보안 규범을 우회할 가능성이 있습니다. 이러한 상황 속에서 기업은 다음과 같은 문제를 경계해야 합니다.

  • 사내에서 공식 승인된 원격 업무 솔루션에 불만이 있거나 익숙하지 않은 유저들이 자체적으로 설치하거나 실행하는 "섀도우 IT", 즉 기업 정보 보안 및 개인 정보 보호 통제가 적용되지 않는 관리 영역 밖의 소프트웨어 및 자산을 이용할 가능성이 있습니다.
  • IT 팀이 네트워크 운영 안정성과 가용성을 유지하기 위해 중요 자산에 대한 패치 적용을 미룰 수 있습니다. 원격 작업에 필요한 리소스 부하가 증가함에 따라 패치 적용에 할애할 수 있는 다운타임이 제한될 수 있습니다.1
  • 다양한 기업 리소스의 연결을 확보하기 위해 층위 구분을 생략해 "네트워크 플래트닝(Network Flattening)"이 일어날 수 있습니다. 네트워크 플래트닝이 일어나면, 보통은 위협 행위자의 접근을 막아줄 다중의 보안 계층이 사라져 이들이 네트워크 액세스를 확보해 기업의 핵심 IT 자산에 접근할 수 있습니다.

기존에 직접 대면을 통해 이루어지던 활동 및 프로세스를 분산하는 것은 일상 업무를 지속하기 위한 비즈니스 프로세스의 변경 및 유연성을 요하는 전사적 과제입니다.

  • 계정 생성과 삭제, 보안 설정 변경 등 높은 수준의 권한이 필요한 특정 활동을 감시하거나 온프레미스(On-premise) 시스템으로만 제한하는 기업은 절차를 조정하고 원격 관리를 허용해야 합니다. 이처럼 새로운 원격 트래픽의 발생으로 네트워크 기준치의 변동이 일어나면 원격 트래픽을 감시하는 첨단 보안 분석 플랫폼의 튜닝이 필요합니다. 새로운 기준치가 설정되면 이 같은 분석 도구가 비정상적인 잠재적 악성 네트워크 트래픽을 탐지하기 위해 정기적 감시 및 정비를 실행해야 합니다.
  • 원격 작업의 급증으로 원격 근무 유저들의 헬프데스크 문의가 반복됨에 따라 IT 지원팀의 업무량이 증가해, 인증이나 권한 승인 절차를 생략해 늘어난 문의 내역을 처리하려는 중압감을 느낄 수 있습니다. 또한 현장에서 물리적으로 제공되는 IT 서비스의 제공이 불가능해집니다. 따라서 노트북 업그레이드, 인증서 발급, 하드웨어 수리와 같은 서비스는 지연될 수밖에 없습니다.
  • 이 같은 어려움에 직면한 임직원과 고객 외에도 기업의 대외 공급업체나 도급 업체 역시 앞서 설명한 리스크의 추가적 증가 요인이 됩니다.

온갖 위협 주체들이 코로나19 팬데믹 사태에 따른 불확실성과 공개성을 악용하고 있습니다.

정부로부터 후원 받는 세력부터 조직 범죄 단체에 이르기까지 일체의 사이버 위협 주체들이 코로나19 팬데믹에 대한 대중의 공포심, 불확실성, 호기심을 이용해 공격 경로, 전술, 표적 선정 전략을 준비합니다.

  • 다수의 출처에 따르면 코로나19 전염병 관련 피싱, 악성 사이트, 허위 이메일 사기 시도가 증가했습니다. 이 같은 악성 콘텐츠는 조작된 뉴스 업데이트, 예방 지침, 바이러스 지도, 실험 결과, 기업 내부 문건 등의 형태를 띱니다.2,3,4,5
  • 갈취 목적의 데이터 도난, 교란이나 파괴 목적의 랜섬웨어 공격, 그리고/또는 기업 브랜드 훼손 행위를 자행하는 위협 주체들은 팬데믹으로 인해 어려움에 놓인 것으로 판단되는 조직들을 겨냥해왔습니다. 또한 부적절하다고 간주되는 기업의 조치 또는 발표 내용은 "핵티비스트(Hactivist)" 및 내부자의 위협 활동을 유발하여 IT 업무 혼란이나 도난 및 폭로로 이어질 수 있습니다. 

위협 주체들의 동기, 도구, 목적에는 변함이 없지만 때로는 정보 획득을 위해 유저 교육 및 지침, 기술적 통제를 무시하거나 회피하기까지 하면서 코로나19 팬데믹에 대한 정보를 탐색하려는 유저들로 인해 표적은 늘어나고 있습니다.

  • 다수의 출처에 따르면 기존의 전문 사이버 범죄 단체 및 신생 사이버 범죄 조직들이 코로나19 팬데믹 관련 정보를 이용해 유저들이 이들의 악성 도구를 다운로드하도록 유도하고 있는 것으로 나타났습니다. 7,8,9이러한 악성 도구에는 다운로더, 키로거, 피싱 사이트, 랜섬웨어, 원격 접근 도구 등이 있습니다.10,11
  • 이들 사이버 범죄 조직의 목적은 항상 같습니다. 개인 건강 정보(Private Health Information; PHI), 개인 식별 정보(Personally Identifiable Information; PII), 계정 자격 증명, 기부금, 금전 보상입니다.12
  • 정부의 비호를 받는 위협 행위 단체들은 코로나19 팬데믹 관련 정보를 이용해 악성 도구의 표적이 될 조직들을 겨냥해 왔습니다.13,14,15지속적 스파이 활동이라는 일반적인 목적 외에도 이들 위협 행위 단체를 비호하는 정부들은 예측컨대 국가적 보건 대응 효과를 노리고 이들 단체에게 바이러스 관련 건강 정보 수집 임무를 지시해 왔습니다.16

기업은 다각적 리스크 관리 정책을 시행해야 합니다.

  1. 임직원, 고객, 협력 업체의 업무 수행을 강화하고 지원할 견고한 원격 근무 솔루션의 중앙 관리 및 확대 적용
  2. 위치 기반이 아닌 역할 기반의 ID 및 접근 관리 솔루션, 분석, 통제 체계
  3. 수동 전화 수신, 공유 비밀키(Shared Secret) 방식, 그 외 과거 대면 프로세스 인증 방식 등 기존의 대면 프로세스에 대한 이중 인증 설정
  4. 조직 내 허위 정보 확산 방지를 위한 전염병 관련 정보 공식 출처 링크 제공17,18,19
  5. 현 팬데믹 사태 해결을 위한 기업의 대응 노력을 명확히 알리는 공식적이고 투명한 기업 차원의 소통 채널 확립

요약

코로나19 사태에 직면한 기업들이 변화하는 근무 환경 요건에 적응하는 가운데 기업이 사이버 회복력을 갖추기 위해 경계해야 할 위험 요인들을 EY가 제시합니다.

글 정보

작성

Kris Lovejoy

EY Global Consulting Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.