[실제 사례 분석] 글로벌 기업들도 당한다? 꼭 기억해야 할 사이버 위협 대비책 3가지

얼마 전 스위스 다보스에서는 세계경제포럼(WEF)이 열렸습니다. 가장 화제가 된 것은 단연 AI였는데요. 같이 주목을 받은 또 다른 한 가지는 바로 사이버 보안입니다. WEF의 한 세션에서 JP 모건 체이스는 최근 금융권들이 연일 증가하는 해커들의 공격 시도로 골머리를 앓고 있다고도 밝혔는데요. 이러한 배경에는 국제 정세뿐 아니라 공격을 더욱 복잡하고 정교하게 하는 AI의 급격한 발전도 있다고 합니다.

Mandiant가 발표한 2024년 사이버 보안 예측 보고서에 따르면 해커들은 AI를 이렇게 활용할 수 있습니다.

  • 가짜 콘텐츠에 신빙성을 더해 피싱 개선 → 해킹 전문화 + 규모 확대
  • 공격에 차세대 AI 사용 → 해킹을 위한 AI 서비스와 LLM 적극 활용

실제로 챗GPT가 등장하고 나서 악성 피싱 이메일은 1,265% 증가했는데요. 해커들이 생성형 AI 도구를 사용해 더 진짜같은 피싱 메시지를 작성하게 되었기 때문이라고 합니다.

AI뿐 아니라 다양한 방법을 활용한 사이버 공격이 끊이지 않는데요. 오늘은 실제 사례를 통해 사이버 공격과 데이터 유출 등의 사이버 보안 사고가 어떻게 이루어지는지 살펴보겠습니다. 마지막에는 꼭 알아야 할 사이버 위협 대비책도 함께 정리했으니, 끝까지 완독해주세요!

카지노 호텔 체인 M 리조트

미국의 M 리조트는 세계적인 카지노 호텔 체인인데요. 작년 9월 사이버 공격을 받아 호텔과 카지노 운영이 잠시 중단되었습니다. 카드키가 먹통이 돼 투숙객들이 방으로 들어가지 못했고요, ATM이나 카지노 슬롯머신이 작동하지 않았는데요. 결과적으로는 총 1억 달러의 손실을 입었습니다. 데이터 유출로 인한 비용이 평균 445만 달러라고 하니 상당히 높은 편이죠.

M 리조트를 공격한 곳은 랜섬웨어 그룹 APLHV으로 알려져 있습니다. 이들의 TTP(Tactics-Techniques-Procedure, 전술-기술-절차)는 다음과 같은데요. 또 다른 해커 그룹 LAPSUS$와 전술이 유사하다는 것이 전문가들의 분석입니다.

  • SNS에서 직원 정보를 입수하고, 직원을 사칭해 헬프데스크에 전화를 걸어 비밀번호 확보
  • 스마트폰 유심칩을 복제하거나 바꿔치기하는 SIM 스와핑 공격으로 핸드폰 번호 탈취
  • 로그인 피싱 사이트를 만들거나, 끝없는 MFA 푸시 알림을 보내 귀찮아서 혹은 실수로 승인을 누르게 해 MFA 접근 권한 확보
  • 이러한 방법으로 계정 관리 툴, 클라우드 등 내부 인프라의 최고 권한을 얻고 내부 데이터를 탈취해 랜섬웨어 배포

랜섬웨어(Ransomware)는 데이터나 시스템을 잠그고 돈을 내지 않으면 삭제하거나 유포하겠다고 위협하는 형태인데요. 사이버 공격 중에서 두 번째로 많이 발생하는 유형이라고 합니다. 최근에는 서비스형 랜섬웨어(RaaS)라는 새로운 비즈니스 모델이 등장하기도 했는데요. 랜섬웨어 그룹이 자신들의 코드를 다른 해커에게 판매하는 것입니다. 월간 구독을 통해 제품을 제공하고 지속적인 기능 업데이트를 하는 등 일반적인 SaaS 비즈니스와 비슷한 방식으로 운영한다고 하네요.

 MS, 엔비디아도 줄줄이 당한 해킹 전술 완벽 분석, 솔루션은?

통신기업 T사

작년 초 미국의 통신기업 T사가 3,700만 개 정도의 고객 정보를 해킹당해 유출된 사실이 밝혀졌습니다. T사는 미국에서 1억 명 이상의 대규모 고객을 보유하고 있는 곳인데요. 사실 이번이 처음은 아니고요, 그 전에도 LAPSUS$의 SIM 스와핑 공격을 당한 적이 있습니다. 이번에는 회사 시스템 침해가 아닌 해커들이 API를 악용해 일부 데이터에 접근한 것이라는 설명입니다.

API는 운영체제와 응용 프로그램(=애플리케이션) 간 통신에 사용되는 언어나 메시지 형식을 뜻합니다. 서비스를 작게 나누어 관리하는 MSA가 확산되면서 개별 애플리케이션들이 서로 통신하는 방법으로 API가 널리 사용되고 있죠. 하지만 보안 측면에서는 API가 증가하면서 결국 공격 표면을 증가시키는 결과를 낳았다고 볼 수 있는데요. 인터넷에 API가 잘못 노출되면 해커들이 이를 악용해 내부 데이터에 접근할 수 있기 때문입니다.

실제로 많은 기업들이 API를 통해 데이터 침해를 겪었습니다.

  • A사 – 개발자 API를 악용해 프로필 페이지에 연결된 개인 식별 정보 수집
  • B사 – API를 악용해 7억 명 이상의 사용자 정보 수집해 다크 웹에 판매 
  • C사 – 해커가 API를 통해 나이, 성별, 생년월일 등 개인 식별 정보를 요청 
  • D사 – API 내 전화번호, 이메일 주소 등 540만 명의 사용자 계정 정보 노출

그래서 요즘 보안 트렌드 중 하나는 일반적인 웹 공격뿐 아니라 API에 대한 공격에도 함께 대응하는 WAAP(Web Application & API Protection, 웹 어플리케이션 & API 보안)인데요. 모든 것이 인터넷으로 연결되어 있는 만큼 웹 보안이 매우 중요함을 알 수 있는 부분입니다.

 광범위한 클라우드 보안!

공공 시설

일반 기업이 아닌 공공시설이나 사회 인프라, 교통 수단 등도 해커들의 표적이 되곤 합니다. BlackBerry의 위협 보고서에 따르면 정부 기관은 사이버 공격의 표적이 되는 상위 4개 산업 중 하나이고요. 2023년 정부 기관과 공공 부문 서비스를 대상으로 한 사이버 공격은 1분기에서 2분기로 갈 때는 40%, 2분기에서 3분기로 갈 때는 50% 증가했습니다. 국내에서도 2022년 11월에만 공공기관 대상의 해킹시도가 하루 118만 건 발생했다고 합니다.

작년 여름, 일본 나고야항의 관제기관이 랜섬웨어 공격을 받았습니다. 나고야항은 약 150개국과 교류하는 일본 최대 항만으로 일본 무역량의 약 10%를 담당하고 있는데요. 랜섬웨어 공격을 받으면서 컨테이너 하역과 같은 수출입 작업이 중단되는 등의 큰 혼란을 겪었습니다. 터미널 시스템 운행이 불가능해지면서 선박에서 컨테이너를 옮기거나 트레일러로 운송하는 등의 모든 작업이 중단되었다고 하네요.

그런가하면 폴란드에서는 철도 네트워크 시스템이 해킹 공격을 받아 열차가 갑자기 정지되는 사고가 있었는데요. 해커들이 철도 주파수에 침입해 일부 지역의 교통을 방해했다고 합니다. 시스템을 조작해 긴급 정지 신호를 보내 약 20대의 열차가 멈춘 것인데요. 다행히 안전 사고는 없었고, 몇 시간 후 복구되었다고 합니다.

모빌리티 기업 T사

모든 사이버 보안 사고가 해커들의 공격을 통해서만 이루어지는 것은 아닙니다. 휴먼 에러로 인해 보안 사고가 발생하기도 하는데요. 글로벌 모빌리티 기업 T사는 작년에 클라우드 구성 오류로 인한 데이터 유출 사고를 겪었습니다. 중요한 정보가 저장된 클라우드를 아무런 보안 장치 없이 인터넷에 노출시킨 것이죠. 이로 인해 차량 위치, 차량 식별 번호 등 총 200만 명 이상의 고객 정보가 유출된 것으로 추정되었습니다.

가트너에 따르면 실제 클라우드 환경에서 발생하는 보안 사고의 99%는 이용자의 실수에서 기인한다고 합니다. 즉, 클라우드 보안에 대한 이해가 부족하기 때문에 일어나는 것인데요. 네트워크만 잘 지키면 되었던 기존 보안과 달리 클라우드 환경에서는 모든 것이 공격 통로가 되기 때문에 전체적인 관점에서 살펴보고 계속 모니터링하는 것이 중요합니다. T사 역시 지금은 클라우드 환경 설정을 자동으로 확인하고 지속적으로 모니터링하는 시스템을 구축해 관리하고 있다고 하네요.

사이버 위협이 증가하면서 사이버 보안 보험(=사이버 보험)도 주목을 받고 있습니다. 전 세계 사이버 보험 시장은 2027년까지 약 330억 달러 규모까지 커질 전망이라고 하죠. 자동차 보험이 자동차 사고로 인한 손해를 보상하는 것처럼 사이버 보안 보험은 사이버 공격이나 사고로 인한 재정적 손실을 보상해 줍니다. 사이버 보안 보험이라는 개념 자체는 인터넷이 본격적으로 발달하기 시작한 1990년대에 처음 등장했는데요. 하지만 최근 새롭게 등장하는 사이버 보안 보험은 단지 보험 상품만 판매하는 것이 아니라 고객의 사이버 리스크를 측정하고 관리해주는 영역으로까지 발전했습니다.

이러한 사이버 보험이 가능해진 배경에는 보안 상태를 측정하고 가시화하는 보안 기술이 있습니다. 이전에는 보안 정책을 수립하고 감시하는 관리적 측면으로만 접근했다면 엔드 포인트부터 클라우드, 데이터, 개발 등에 이르는 기술적 보안도 함께 챙길 수 있게 된 것이죠. 따라서 보안 상태를 점검하고 이를 기준으로 보험료를 책정해 고객의 사이버 리스크를 미리미리 관리하고, 고객은 보안 사고를 예방하고 보안 상태 점수를 높여 보험료를 줄일 수 있는 윈-윈의 비즈니스 모델이 탄생하게 된 것입니다.

사이버 위협 대비책 3가지

지금까지 실제로 발생한 보안 사고 사례를 살펴보았는데요. 보안 사고를 예방하기 위해서는 어떻게 해야 할까요? 꼭 알아야 할 사이버 위협 대비책을 3가지로 정리해 보겠습니다.

1. 제로 트러스트

제로 트러스트는 처음부터 아무도 신뢰하지 않는 보안 전략입니다. 사용자가 네트워크나 데이터, 워크로드에 접근할 때마다 실시간으로 인증해 신원을 검증하고 최소 권한을 부여하는데요. 인증을 마쳤다 하더라도 정상적인 활동을 하는지 지속적으로 모니터링해 의심스러운 행동을 한다면 다른 시스템의 접근을 막아버립니다.

첫 번째 사례에서 해커들이 인증된 계정을 탈취하기 위해 매우 노력하고 있다는 것을 알 수 있는데요. 제로 트러스트 환경에서는 인증된 계정이라고 해서 모든 접근을 허용하는 것이 아니라 각 사용자의 모든 행위에 대한 로그를 수집하고 저장해 보안 정책이 잘 지켜지고 있는지 끊임없이 확인하기 때문에 훨씬 안전합니다.

 보안 방법론 및 전략 ‘제로 트러스트(Zero trust)

2. 클라우드 보안

클라우드 보안은 기존의 네트워크 중심 보안과는 완전히 다릅니다. 클라우드 환경은 매우 복잡하고 자원 형태도 매우 다양할뿐 아니라 새로운 기술이 계속해서 추가되기 때문에 기존의 보안 체계로는 방어가 어려운 것이죠. 모빌리티 기업 T사의 사례에서 보았듯이 설정 오류만으로도 보안 사고가 일어날 수 있기 때문에 보안 정책을 잘 수립하고 이것이 제대로 지켜지고 있는지 계속 확인하는 것이 중요합니다.

따라서 가시화 환경을 갖추는 것이 필수인데요. 클라우드 보안 정책과 가시성을 확보하는 것만으로 보안의 80%를 해결할 수 있다고 합니다. 보안 가시성 확보를 위한 가장 대표적인 방법이 바로 CSPM(클라우드 보안 형상 관리)입니다. 클라우드의 보안 상황을 지속적으로 모니터링하고 취약점을 진단해 개선함으로써 보안 수준을 더욱 향상시킬 수 있습니다.

[백서] 완전히 달라진 사이버 보안, 클라우드로 해결하기

3. 보안 솔루션

이 외에도 다양한 위협을 막아낼 수 있는 여러 보안 솔루션들을 적극 활용하는 것이 중요합니다.

  • ASOC(보안 운영 센터)
  • XDR(확장된 탐지 및 대응)
  • EPDR(엔드포인트 위협탐지 및 대응)
  • WAAP(웹 어플리케이션 & API 보안)
  • 로그 가시성 확보

특히 최근에는 보안 솔루션 대부분이 SaaS로 제공되고 있는데요. 클라우드 환경에 빠르게 대응하기 위해서는 소프트웨어가 아닌 클라우드 방식의 보안 서비스를 도입해야 합니다.

 광범위한 클라우드 보안!

클라우드 보안: OpsNow Security

기존의 보안과는 완전히 다른 클라우드 보안, 그 시작에는 클라우드 보안 형상 관리(CSPM)가 있습니다. 클라우드 인프라 자원의 구성 취약점 진단부터 지속적인 모니터링, 개선 조치까지 안전한 클라우드 운영 환경과 보안 수준을 향상시킬 수 있는 CSPM 솔루션 OpsNow Security를 소개합니다!

OpsNow Security 핵심 기능

  • 컴플라이언스 준수를 통한 클라우드 인프라 운영: 각종 컴플라이언스와 모범사례, OpsNow Cloud Security Benchmark 리스트를 통해 클라우드 환경에 바로 적용할 수 있는 정책 제공
  • 클라우드 보안 형상 가시화 및 지속적 모니터링: 정책을 기반으로 클라우드 구성 상태의 보안 수준을 점수로 표시, 대시보드를 통해 지속적으로 모니터링하고 취약점 개선 조치를 취할 수 있도록 가이드 제공
  • 클라우드 보안 운영 업무 지원: 클라우드 보안 운영 담당자를 위한 기능(프로젝트 대시보드·감사·경고·인시던트 / 이상 행위 탐지 / 스케줄링 및 리포트 등) 제공 및 4가지 페르소나(CISO / 보안 관리자 / 보안 운영자 / 인프라 운영자)로 구분해 권한 부여 가능

  OpsNow Security 자세히 살펴보기

 

 

그리고 클라우드나 SaaS와 관련하여 다른 궁금한 점이 있으시면 언제든지 저희에게 문의해 주세요.

 

 OpsNow에 문의하기

 

본 내용은 베스픽 뉴스레터를 통해서 제공되는 내용입니다.

클라우드에 대한 최신 트렌드 정보가 필요하시면 뉴스레터를 구독해 주세요.