사이버 공격자들의 잭팟 행진: 취약점이 카지노에만 국한되지 않는 이유 알아보기

수년 동안 해커와 사이버 범죄자들은 기밀 정보에 무단으로 액세스하기 위해 소셜 엔지니어링 기법을 활용해 왔습니다. 이러한 공격이 계속해서 교묘해지고 잦아질 것이라는 점은 쉽게 예측할 수 있습니다. 이들이 AI로 더 교묘한 미끼를 만들든 사이버 범죄자들이 인간의 본성을 악용하는 데 점점 더 능숙해지든, 어느 쪽으로든 공격이 성공을 거두고 있다는 사실은 그 전술이 제대로 먹히고 있음을 증명합니다. 예를 들어, 랜섬웨어는 2021년 FBI에 보고된 피싱 시도 건수가 324,000건에 달할 정도로 급증하고 있습니다.

그에 더하여 2023년도 사이버 범죄자들에게 성공적인 한 해가 될 것으로 확인되었습니다. 최근 대규모 호스피탈리티 기업인 MGM Resorts와 Caesars Entertainment가 공격받았을 때, Caesars Entertainment는 시스템에 다시 액세스하기 위해 1,500만 달러 이상을 지출해야 했습니다.

MGM은 9월 13일 수요일 공식 발표를 통해 사이버 사고로 인해 “지난 3일 동안 미국 전역의 숙박 시설에 상당한 장애가 발생했다”고 밝혔지만, 그 이전의 보고에 따르면 문제가 파악되기 시작한 때는 10일 일요일이었습니다. Caesars 측의 9월 14일 목요일 공식 발표에 따르면 데이터 유출이 발생한 시점은 9월 7일이었습니다. 사이버 전문가들이 아직 구체적인 내용을 파악하고 있지만, 우리가 확인한 바에 따르면 Scattered Spider, UNC3944, Oktapus, Scatter Swine 등 다양한 이름으로 알려진 위협 행위자들은 가장 먼저 소셜 엔지니어링 기법으로 빈틈을 파고들었습니다.

소셜 엔지니어링 공격은 탐지와 방어가 여전히 까다롭습니다. 침투에 성공한 공격자는 조직의 내부자로 악용하기에 좋은 자격 증명을 얻게 됩니다. Mandiant가 공유한 정보에 따르면, 공격자들은 소셜 엔지니어링 기법으로 초기 교두보를 마련했습니다. Caesars의 경우에는 악성 행위자들이 Okta의 연락으로 가장하여 IT 계약업체에 전화를 걸었던 것으로 확인되었습니다. 정상적인 자격 증명이 부여되자 이들은 시스템을 스캔하고 권한을 높일 방법을 찾아서 랜섬웨어 공격을 완료했습니다. 이 공격에서 특별히 새로운 기법이 쓰인 것은 아니지만, 사건의 전말을 보면 적절한 교육과 위생, 보안 모범 사례에 집중하는 일이 얼마나 중요한지 다시 한번 알 수 있습니다.

이제 그와 같은 공격을 받기 전과 공격 중에 조직이 취할 수 있는 조치를 살펴보겠습니다.

공격 전 판돈 높이기

교묘한 소셜 엔지니어링 공격에는 예방이 최선의 대책으로 보입니다. 사이버 보안 위생을 유지하고 적극적인 재해 복구/비즈니스 연속성 계획을 마련하며 중요한 데이터를 정확하게 백업해 둔다면 복구에 큰 도움이 될 수 있습니다. 중요하게 고려해야 할 부분은 사용자, 관리자, 헬프데스크를 위한 보안 인식 교육과 소셜 엔지니어링 공격에 대한 식별 및 대처 계획을 세우는 일입니다. 하지만 교육만으로는 충분하지 않으며, 따라서 조직은 이러한 유형의 공격에 대해 위협 모델링을 할 때 “침해 가정” 사고방식을 도입해야 합니다.

그 외에도 조직은 최종 사용자가 소셜 엔지니어링 공격을 받을 때 다음과 같은 방안으로 대응할 수 있습니다.

• 방화벽 정책 검토 및 모니터링

  • 기본 아웃바운드 거부 정책을 만들어 필요한 포트에서만 알려진 필수 대상에 대한 액세스를 명시적으로 허용합니다. 네트워크의 모든 시스템에 대해 이 작업을 수행할 수는 없지만, 도메인 컨트롤러나 ID 서버와 같은 중요 자산은 적절한 방화벽 정책을 적용하여 트래픽을 프로파일링해야 합니다.

  • 기본 인바운드 거부 정책을 만들고, 필요한 포트에서만 인터넷 공용 IP로부터의 인바운드 트래픽을 명시적으로 허용합니다(443 이외의 모든 포트는 가급적 피합니다).

  • 프로토콜 남용 또는 DNS 터널링을 탐지하도록 방화벽 또는 프록시 솔루션을 구성합니다.

  • 네트워크, 마이크로 또는 나노 세분화를 구성하여 폭발 반경을 최소화합니다.

• 권한 있는 사용자 계정 및 서비스 관리

  • IAM 또는 기타 중요 인프라와 시스템의 관리 권한이 필요한 개개인을 위해 별도의 관리 계정을 생성합니다.

  • 워크스테이션에서 모든 사용자의 관리 권한을 제거하고, 엔드포인트 권한 관리자 솔루션을 사용하여 특정 프로그램을 “관리자”로 실행할 수 있는 권한을 높입니다.

  • 모든 관리 작업의 사용자 액세스 제어(UAC)를 활성화합니다.

  • 비밀번호 볼트는 ‘계층 0’ 자산으로 취급해야 하며, 이러한 시스템에 누가 로그인하고 어떤 작업이 수행되는지를 모니터링해야 합니다.

  • 하이브리드 ID/기능을 제공하는 에이전트가 포함된 시스템(Entra ID Connect/Okta Connect 등)도 ‘계층 0’ 자산으로 취급해야 하며, 이러한 시스템에는 권한 있는 관리자만 로그인해야 합니다.

• 정기적인 보안 위생 관리

  • 자격 증명 도용 멀웨어를 방어하려면 고객이 파일 공유, 클라우드 정보 저장소 및 네트워크의 기타 영역에 민감한 자격 증명이 저장되어 있는지 등 각자의 네트워크를 감사하여 자격 증명의 저장 위치를 확인해야 하며, Sumo Logic Threat Labs 팀은 Windows와 Linux 운영 체제 모두에 맞추어 이러한 유형의 공격에 대한 방어책을 심층적으로 다루었습니다.

  • AnyDesk 같은 원격 관리 도구의 설치를 모니터링합니다. 명령줄은 이와 관련하여 매우 유용한 데이터 소스라 할 수 있습니다.

  • 위협 행위자는 클라우드 리소스를 배포한다고 알려져 있습니다. 이러한 상황에서는 새 Azure 가상 머신이 배포될 때와 같은 “기본” 모니터링이 유용합니다.

• 적극적 모니터링 수행

  • 위협 행위자는 취약한 시스템에 드라이버를 배포하여 보안 통제를 우회하는 것으로 관찰되었습니다. 클라우드 SIEM은 UEBA 기능을 제공하여 “최초로 탐지된” 드라이버 설치/로드를 모니터링합니다.

  • 또한 이상 징후 탐지를 인증 시나리오에 적용함으로써 이미 설정된 베이스라인 기간 이후에 사용자가 새로운 지리적 위치에서 시스템에 인증하는 경우처럼 이상하거나 비정상적인 인증 패턴을 찾아낼 수도 있습니다.

  • 다단계 인증 방법의 변경 사항을 모니터링하고 이러한 변경 사항과 각 사항의 서비스 데스크 티켓에서 상관관계를 분석하며 가능하다면 이러한 민감 작업과 해당 작업을 수행한 사용자를 확인하는 자동화 기능을 만들 수 있는데, ID 시스템의 관리 액세스 권한을 가진 사용자의 경우 이 조치가 특히 중요합니다.

• 추가 전술 활용

  • 어떤 시스템이 인증 플로우의 어떤 부분을 처리하는지 파악할 수 있도록 모의 인증 시나리오와 플로우를 연습하는데, 하이브리드 환경에서는 이 조치가 특히 중요합니다.

  • 모든 고위험 트랜잭션에 대해 사진 ID 및/또는 실시간 동영상 검증을 요구하고 신뢰할 수 있는 내부 HR 또는 배지 시스템과 증거를 비교합니다.

모든 사이버 공격에서 쓰이는 네 장의 카드

편견이 섞인 발언이긴 하겠지만, 저는 SOC의 핵심은 바로 보안 정보 및 이벤트 관리(SIEM) 솔루션이라는 걸 믿어 의심치 않습니다. 수많은 조직이 보유할 만한 보안 도구는 70개가 넘을 수 있겠지만, SIEM은 사용자의 보안 태세를 하나로 모아줍니다. 렌즈로 빛을 모으듯, 이를 활용한다면 보안 팀은 공격이 발생할 때 꼭 필요한 집중력을 발휘할 수 있습니다.

시스템 및 사용자 행동 분석은 엔드포인트와 네트워크에서 사전에 알려지지 않은 적대적 행동을 인식하기 위한 기틀이라 할 수 있습니다. 로그는 이벤트와 해당 이벤트가 기술 시스템에 미치는 영향이 반영된 텍스트 데이터를 점점 더 많이 생성합니다. 빠르고 효율적인 보안 로그 분석은 운영 사이버 보안에서 핵심적인 부분을 차지합니다.

사용자는 사이버 공격의 네 가지 단계에 따라 필요한 도구와 프로세스를 마련했는지 확인해야 합니다.

1. 탐지 – 엔드포인트, IAM, 네트워크 트래픽의 로그를 단일 위치에서 수집하고 그 상관관계를 분석하여 사용자 지정 쿼리를 정규화 및 수행하고 행동 분석을 고도화합니다.

2. 격리 – 자동화 기술을 사용하여 손상된 엔드포인트 또는 클라우드 워크로드에 대응하고 이를 격리합니다. 플레이북을 연습하고 테스트하여 성공 여부를 확인합니다.

3. 박멸 – 감염된 멀웨어를 제거하고 연결된 시스템과 IP 주소를 검토하여 공격의 폭발 반경이나 전체적 영향을 파악합니다.

4. 복구 – 최근 데이터 백업을 사용하여 손상된 장치나 시스템을 복원하고 사후 분석을 수행합니다.

Sumo Logic 클라우드 SIEM의 게임 참여

예방적 제어와 능동적 위협 헌팅 사이에서 확실히 알 수 있는 점은 소셜 기반 공격과 랜섬웨어는 대응하기가 가장 까다롭다는 사실입니다. 수많은 조직은 탐지 방법을 중앙 집중화하고 비정상적인 행동을 모니터링할 방안이 필요하다는 의견을 계속 보내왔습니다. 더는 어둠 속에서 손전등 하나에만 의존할 수 없기에 저마다의 노력을 하나로 모을 일종의 렌즈가 필요해졌습니다. Sumo Logic 클라우드 SIEM은 바로 그 등대가 되어 드릴 수 있습니다.

Sumo Logic 클라우드 SIEM은 900개 이상의 기본 제공 규칙을 활용하여 클라우드, 하이브리드 클라우드, 온프레미스 환경 전반의 경고 알림을 자동으로 인제스트 및 정규화하고 그 상관관계를 파악하며 분석과 시각화를 진행합니다. 특히 클라우드 SIEM의 아웃라이어(outlier) 규칙과 최초 탐지(first-seen) 규칙은 다음과 같이 활용할 수 있습니다.

• 비밀번호 재설정 활동 찾기

• 이전에 액세스한 적이 없는 API 사용

• 현재 변경 중인 암호화 키를 찾고 복사본 만들기

• 도메인 관리자, 포레스트 관리자, 스키마 관리자 등이 슈퍼유저/관리자 그룹에 추가될 경우 확인하기(특히 Active Directory 전반에서 확인)

또한 Sumo Logic 클라우드 SIEM은 보안 분석가와 SOC 관리자에게 기업 전반에 걸친 향상된 가시성을 제공하여 공격의 범위와 맥락을 심층적으로 이해할 수 있도록 지원합니다. 간소화된 워크플로로 경고 알림을 자동으로 분류하여 알려진 위협과 알려지지 않은 위협을 더 빠르게 탐지합니다.

고객들은 다음과 같은 차별화된 SIEM 기능에 이끌려 Sumo Logic을 선택합니다.

• 노이즈 감소

  • 중요한 위협에 대해 보안 팀이 협력해야 하나요? Sumo Logic 클라우드 SIEM은 이벤트 관리와 대화형 헤드업 디스플레이를 결합하여 위협 인텔리전스 및 분석을 제공함으로써 경고 알림의 우선순위를 지정합니다.

  • 클라우드 SIEM은 구조화 및 비구조화 데이터를 파싱, 매핑, 정규화된 레코드로 변환하며, 탐지된 위협을 상호 연관 분석하여 로그 이벤트를 줄입니다.

    Insight Engine은 MITRE ATT&CK 프레임워크와 연동되어 경고 알림 피로를 줄여줍니다. 이 엔진의 적응형 신호 클러스터링 알고리즘은 관련된 신호들을 자동으로 그룹화하여 경고 알림을 우선순위에 따라 신속히 분류합니다. 집계된 위험이 임곗값을 초과하면 자동으로 인사이트를 생성하여 중요한 위협에 집중할 수 있도록 도와줍니다.

• 사용자 및 엔티티 행동 분석(UEBA)

  • SIEM 상관관계 분석 규칙만으로 충분하다 할 수는 없지요. 사용자와 엔티티의 행동을 기반으로 잠재적 보안 위협을 식별할 수 있어야 합니다. 클라우드 SIEM의 UEBA 기능을 사용하면 베이스라인 사용자 및 엔티티 행동과의 편차를 보고하고 위험 순위를 할당하며 스마트 엔티티 타임라인으로 우선순위를 지정할 수 있습니다.

• 엔티티 관계 그래프

  • 위협을 단독으로 조사하는 것은 어렵습니다. 파노라마 화면을 통해 엔티티가 어떻게 연결되어 있는지 확인하고 탐색하여 사이버 침해의 전체 범위와 규모를 파악할 수 있습니다. 관련 신호와 인사이트에 대한 가시성을 확보하여 평균 대응 시간(MTTR)을 단축하세요.

• 내장형 자동화 및 플레이북

  • 기본으로 제공하는 수백 가지의 통합 기능 및 플레이북 중에서 선택하거나 직접 작성하세요. Sumo Logic 클라우드 SIEM 자동화 서비스를 사용하면 인사이트가 생성되거나 종료될 때 플레이북을 수동 또는 자동으로 실행할 수 있습니다.

올인

이 기사는 중요한 데이터를 정확히 백업하면서 사이버 보안 위생을 계속 유지하고 적극적인 DR/BC 계획을 세우실 수 있도록 다시 한번 주지시켜 드리기 위해 쓰였음을 재차 강조해 드립니다. 크든 작든 모든 조직은 적극적인 사용자 보안 인식 프로그램을 마련하고 이를 자주 테스트하여 부족한 점을 파악하고 개선 가능성이 있는 부분을 식별함으로써 이점을 누릴 수 있습니다. 하지만 모든 보안 데이터를 중앙의 단일 위치에서 관리하면 위협 가시성이 향상되어 팀 간의 협업이 더욱 원활해짐에 따라 조직이 큰 혜택을 볼 수 있다는 점도 분명합니다. 조직들에게는 오탐 경고 알림이 점점 늘어나는 상황에서 비정상적이고 악의적일 가능성도 있는 사용자 행동을 제대로 탐지하여 공격 지표를 식별할 수 있는 고급 분석 기능이 꼭 필요합니다.

Sumo Logic 클라우드 SIEM과 함께라면 포괄적인 가시성으로 사일로를 허물고 팀을 하나로 모을 수 있습니다. 자세한 내용은 클라우드 SIEM을 확인하거나 데모를 요청해서 알아보세요.