한승표

ㄷㅗㄱㅎㅜㄱㅏㅁ

보이지 않는 위협 (저자:김홍선)

#1 책의 줄거리 

이 책은 하드웨어, 소프트웨어, 비즈니스, 데이터, 그리고 개인의 영역을 지키기 위해 필요한 사이버 보안에 대해 쓰여있는 책이다. 디지털 시대의 산업 변화에 동반하며 사이버 보안이 어느 정도의 중요성을 가지게 되었는지 설명하며, 66가지 한 번 정도 들어봤을 법한 가까운 사례를 통해 사이버 보안을 어떻게 해내야 하고 어떻게 바라봐야 할 지 전해준다. 핸드폰 하나에 개인의 모든 정보와 정체성까지 알아낼 수 있는 시대에서 우리가 온라인에서 범죄의 표적이 되지 않기 위해, 국가 관리 또는 기업인이 자신의 국가와 기업을 지켜내기 위해 필수적인 내용이 담겨있는 것 같다.

#2 가장 내가 기억에 남았던 부분 

2장의 사이버 보안은 정부와 기업의 리더들의 과제라는 부분과 마지막 장의 인공지능과 보안에 관한 부분이었다. 정부와 기업의 리더들은 그들이 지닌 국가, 기업에 대해 책임감을 지니고 적극적으로 사이버 보안에 참여해야 한다. 또한 그들이 공격을 당했을 경우에도 리더십을 발휘해 대처에 참여해야 한다는 부분이 기억에 남았다. 또한 이런 보안 분야에서 전문 인력이 충분하지 않고 이 인력의 능력에 따라 국가와 기업의 순위가 낮아지고 높아질 수 있다는 부분이 기억에 남았고 사이버 보안 분야는 아직 더욱 발전이 필요한 분야라는 점을 알았다. 또한 마지막 장을 읽고 인공지능 시대에서 사이버 보안 또한 인공지능과 융합이 가능함을 알았고, 효과적인 방안 될 수 있겠다는 생각이 들었다. 이전에 다른 인공지능에게도 사이버 공격이 가해질 수 있다는 내용을 읽은 경험을 떠올리게 해 주었고, 관련ㅇ해 인공지능 사이버 보안 시스템 자체의 보안을 어떻게 이뤄지는지 알고 싶게 되었다.

심화 탐구 보고서 (2차과제)

서론

사이버 보안에 관한 책을 읽은 것을 계기로 사이버 보안에 관심을 더욱 갖고, 미래에 어느 기업에 들어가 일을 할 수 있는 우리와도 가까운 이슈임을 느끼기 위해 기업이 사이버 공격으로 피해를 본 사례와 그에 대한 대책을 탐구하기 위해 보고서를 작성하였다.

본론

사이버 공격 피해 사례

1.   DESFA

그리스 가스유통사 DESFA는 회사 IT 인프라 일부에 범죄자의 랜섬웨어 작전으로 데이터 유출 피해를 봤다. 범죄자는 민감한 데이터 유포를 인질로 돈을 요구했으나 회사는 거절했다.

2.   페이스북

약 5억 명의 페이스북 사용자의 이름, ID, 생년월일 등의 개인정보가 유출되어 2차 피해를 유발할 수 있는 범죄자들에게 판매되었다. 페이스북은 아주 오래된 데이터가 유출된 것이라고 했지만 이 사례는 과거의 데이터가 유출되어도 충분히 악용될 수 있으며 보안에 힘을 써야 함을 보여준다.

3.   솔라윈즈

해커가 솔라윈즈 내부망에 침투해 솔라윈즈가 공급하는 소프트웨어에 악성코드를 심어 이 소프트웨어를 사용하는 기업, 기관, 개인에게 악성코드가 배포되어 전 세계 1만 7000여 기업과, 기관이 피해를 입었다. 이 사례는 타 기업의 보안 실패로 기업 또는 기관이 자신들의 보안 대책 수준에서 상상하기 힘든 수준의 방식으로 피해를 입을 수 있음을 보여준다.

4.   콜로니얼 파이프라인

미국 송유관 기업 콜로니얼 파이프라인이 랜섬웨어 공격으로 미국 동부 전역의 석유 공급이 일시적으로 중단되었었다. 러시아 공격 그룹의 피싱, 계정 탈취, 서버 메시지 블록 취약점 악용 등을 통해 기업의 시스템을 장악해 미국이 국가비상사태를 선포하게 했으며 약 50억원의 가치의 비트코인을 받아냈다.

사이버 공격에 기업이 사용할 수 있는 보안전략

1.   기업의 구성원

기업의 시스템 보안 프로그램이 아닌 기업 구성원 개인을 통해 사이버 공격을 시도하는 범죄를 막기 위해 가장 기본적이지만 의심스러운 프로그램, 링크, 첨부파일을 열지 않고, 악성 코드가 돌아다닐 수 있는 사이트에 엑세스 하지 않는 것이 있다.

2.   기업

기업은 발전하고 있는 범죄 수법에 맞서 대책을 세워놔야 한다. EPP와 같은 보안 프로그램은 기본적으로 설치해야 하고 SASE(Secure Access Service Edge)를 도입해 더욱 철저히 보안을 해낼 수 있다.

SASE의 주요 기술은 다음과 같다.

ZERO TRUST 네트워크 엑세스: 이 보안 모델은 위협이 네트워크의 내부, 외부에 모두 존재한다고 가정하여 기업 네트워크에 엑세스하려는 시도가 보일 때 마다 엄격한 컨텍스트 확인을 통해 네트워크를 지켜낸다.

차세대 방화벽:기존 방화벽보다 더 깊은 수준에서 데이터를 검사한다. 에를 들면 애플리케이션 인식 시 위협 인텔리전스 제공을 통해 정상적으로 보일 수 있는 신호에 숨어있는 위협을 차단할 수 있다.

결론

보고서를 작성하며 사이버 보안의 실패로 기업이 겪게 되는 피해가 크다는 것, 그리고 더욱 보안 시스템이 섬세해지고 있지만 아직 한 번도 발생하지 않은 유형의 공격에 대해서는 기업이 무방비 할 수 있다는 것과 그럼에도 더욱 철저한 보안이 필요함을 알았다.

탐구 보고서 (3차)

직업별 사이버 보안 기술 활용 사례

디지털화의 가속화로 인해 다양한 직업이 새롭게 등장하고 있으며, 이들 직업은 사이버 보안의 중요성을 더욱 크게 인식하고 있다. 직업별로 특화된 사이버 보안 기술을 활용하는 것은 직무 수행의 안정성을 높이고 사이버 위협으로부터 보호하는 데 중요한 역할을 한다.

1. 원격 의료(텔레메디신)에서의 암호화 기술 활용

원격 의료는 환자와 의료 전문가가 원격으로 진료와 상담을 진행하는 분야이다. 이 직업에서는 환자의 개인정보와 의료 기록이 디지털화된 형태로 전송되기 때문에, 데이터 보호가 최우선 과제이다. 암호화 기술은 이러한 민감한 데이터를 전송 중에 보호하는 데 필수적이다. 환자의 건강 정보, 처방 기록, 진단 결과 등은 암호화되어 전송되어야 하며 이를 통해 도청이나 데이터 유출의 위험을 크게 줄일 수 있다.

암호화 기술 작동 방식:

2. 핀테크(금융기술) 산업에서의 다중 인증(MFA) 도입

핀테크 산업은 디지털 금융 서비스를 제공하는 분야로, 사용자와 금융 시스템 간의 안전한 접속이 핵심적이다. 다중 인증(MFA)은 이러한 금융 시스템에 접근할 때 사용자의 신원을 여러 단계로 확인하는 방법으로, 보안성을 강화하는 역할을 한다. 예를들어 모바일 결제 서비스에서는 사용자 로그인 시 비밀번호 외에도 스마트폰에서 생성된 일회용 인증 코드나 생체 인식 기술(지문, 얼굴 인식 등)을 함께 요구하여, 계정 탈취를 방지하고 안전한 거래를 보장한다.

3. 전자 상거래(이커머스)에서의 침입 탐지 시스템(IDS) 활용

전자 상거래는 온라인 플랫폼을 통해 상품과 서비스를 거래하는 직업군으로, 대량의 고객 정보와 결제 정보가 오고 간다. 이러한 직업에서는 외부의 사이버 공격으로부터 시스템을 보호하기 위해 침입 탐지 시스템(IDS)을 활용할 수 있다. IDS는 네트워크 트래픽을 실시간으로 모니터링하여, 비정상적인 활동을 감지하고 즉시 경고를 발생시킨다. 예를 들어, 전자 상거래 사이트에서 대규모의 비정상적 로그인 시도나 데이터베이스 접근 시도를 탐지하여 관리자가 즉각 대응할 수 있도록 한다.

4.디지털 마케팅에서의 보안 정보 및 이벤트 관리(SIEM) 시스템 도입

디지털 마케팅은 고객 데이터를 기반으로 한 타겟팅 광고, 데이터 분석 등이 주를 이루는 분야로, 다양한 채널에서 발생하는 보안 이벤트를 효과적으로 관리할 필요가 있다. SIEM 시스템은 이러한 보안 이벤트를 통합적으로 수집, 분석하여 잠재적인 위협을 식별하고 대응할 수 있게 한다. 예를들어, 이메일 마케팅을 운영하는 기업에서 대규모 피싱 시도가 발생할 경우 SIEM 시스템이 이를 탐지하고 마케팅 팀이 신속하게 대응할 수 있도록 지원한다.

탐구 보고서 (4차)

사이버 보안이 뚫리는 원인, 과정 분석 (기업을 중심으로)

1.

디지털 시대에서 기업은 기술 발전을 통해 많은 이점을 누리고 있지만, 동시에 사이버 보안 위협에도 직면하고 있다. 보안 침해는 기업의 데이터, 시스템, 그리고 평판에 심각한 손상을 입힐 수 있으며, 그 원인은 다양하고 복합적이다. 그리하여 기업의 사이버 보안이 주로 뚫리는 주요 원인과 함께, 기업의 핵심 공격 대상이 되는 시스템 및 네트워크, 그리고 사이버 공격이 발생하고 피해가 진행되는 과정을 구체적으로 분석하고자 한다.

2. 기업의 사이버 보안 침해 주요 원인

2-1 내부 직원에 의한 보안 위협

기업 내에서 발생하는 보안 위협 중 가장 빈번한 것은 내부 직원에 의한 것이다. 직원들이 보안 교육 부족으로 인해 피싱 이메일을 클릭하거나 악성 링크를 열어, 악성코드(Malware)가 이메일 서버나 파일 서버에 설치된다. 이후 공격자는 해당 서버를 통해 민감한 데이터에 접근하거나, 추가적인 악성코드를 설치해 다른 시스템으로 확산시킨다. 내부자에 의한 악의적인 행위로 ERP(전사적 자원 관리) 시스템과 같은 핵심 시스템에 접근할 수 있다.

2-2 취약한 시스템 관리

보안 패치가 적용되지 않은 시스템과 소프트웨어는 주요 공격의 진입점이 된다. 공격자는 취약한 운영 체제(OS)나 서버, 클라우드 인프라를 대상으로 한 악성코드 공격을 실행한다. 이 과정에서 공격자는 시스템 내부의 데이터베이스나 애플리케이션 서버를 암호화하거나 탈취한다. 만약 기업이 이를 빠르게 탐지하지 못하면, 공격자는 기업의 모든 네트워크로 확장된 권한을 확보하여 기업 전반에 영향을 미치게 된다.

2.3 제3자 및 협력사와의 취약한 연결

기업은 다양한 외부 협력사, 공급업체, 클라우드 서비스 제공업체와 연결된 상태에서 운영되며, 이러한 외부 파트너와의 연결은 기업의 보안 취약점을 노출시킬 수 있는 중요한 요인 중 하나다. 특히 제3자의 시스템이나 네트워크가 충분히 안전하지 않다면, 해당 취약점을 이용해 공격자가 기업 내부로 침투할 가능성이 높다.

예를 들어, 협력사가 사용하는 소프트웨어가 최신 보안 패치를 적용하지 않았거나, 외주 개발사가 사용하는 클라우드 환경이 보안 설정이 부실할 경우, 공격자는 이러한 약점을 타고 들어와 기업의 시스템에 접근할 수 있다. 특히 협력사와 데이터를 주고받는 API(Application Programming Interface)나 외부 네트워크와 연결된 VPN(Virtual Private Network), 방화벽(Firewall)의 취약한 설정은 공격의 통로가 될 수 있다.

최근에는 공급망 공격(Supply Chain Attack)이라는 방식으로 제3자를 우회해 주요 기업을 타격하는 공격이 늘어나고 있다. 이 공격 방식에서는 상대적으로 보안이 취약한 협력사나 외부 공급업체를 먼저 타격한 뒤, 이를 통해 주요 기업에 침투한다. 공격자는 협력사와 기업 간 파일 전송, 클라우드 시스템 통합, 애플리케이션 통합 등을 통해 데이터를 탈취하거나 악성코드를 심는다. 또한, 협력사의 시스템에 접근한 공격자가 기업의 네트워크에 쉽게 접근할 수 있도록, 인증 정보( API 키 또는 클라우드 인증 정보)를 훔쳐내기도 한다.

이러한 취약점을 해결하기 위해 기업은 외부 협력사의 보안 정책을 정기적으로 점검하고, 공급망 전체에 대한 보안 프로토콜을 설정하며, 민감한 데이터 교환 시 강력한 암호화 방식을 적용하는 등의 조치가 필요하다.

2-4 고도화된 사이버 공격

APT(Advanced Persistent Threat)와 같은 공격은 지속적이고 은밀하게 진행된다. 공격자는 먼저 기업 네트워크 관리 시스템(Management System)이나 보안 시스템(Security System)의 취약점을 파악한 후, 이를 통해 네트워크에 침투한다. 이 과정에서 공격자는 서버나 데이터베이스에 은밀히 접근해 데이터를 지속적으로 탈취하거나, 랜섬웨어를 통해 주요 파일을 암호화한다. DDoS(Distributed Denial of Service) 공격의 경우, 다수의 시스템이 웹 서버(Web Server)에 과부하를 주어 서비스가 마비되며, 공격이 계속될수록 시스템 복구가 어려워진다.

3. 전체적인 사이버 피해의 진행 과정

윗 내용과 같은 주요 원인들로 인하여 다음과 같은 과정을 통해 사이버 피해가 발생하게 된다.

1) 초기 침투 및 악성 코드 설치: 

공격자는 피싱 이메일, 악성 링크, 혹은 제3자와의 연결을 통해 기업의 네트워크나 시스템에 침투한다. 공격 초기에는 이메일 서버, 파일 서버 또는 클라우드 시스템에 악성코드가 은밀히 설치된다.

2) 권한 획득 및 확장: 

공격자는 취약한 시스템 또는 내부자의 계정을 통해 관리자 권한을 확보한 뒤, 기업 내부의 여러 시스템에 점차적으로 접근한다. 이때 ERP 시스템, 데이터베이스 서버, 애플리케이션 서버 등이 공격 대상이 될 수 있다.

3) 데이터 탈취 및 시스템 암호화:

공격자는 기업의 민감한 데이터를 탈취하거나 랜섬웨어를 통해 데이터 및 파일을 암호화한다. 이를 통해 데이터베이스와 클라우드 인프라에 접근하지 못하게 하여 기업 운영에 심각한 차질을 유발한다.

4) 금전 요구 또는 서비스 방해: 

데이터가 암호화되면 공격자는 금전을 요구하거나, DDoS 공격을 통해 웹 서버나 네트워크 인프라를 마비시켜 기업의 서비스를 중단시킨다. 이러한 과정에서 피해가 장기화될수록 기업은 큰 재정적 손실을 입게 된다.

5) 복구 지연 및 2차 피해: 

기업이 공격을 인지하고 대응을 시작하더라도, 이미 암호화된 데이터를 복구하거나 서비스 중단을 해결하는 데에는 상당한 시간이 걸린다. 이로 인해 기업의 평판이 훼손되고, 장기적으로 고객 신뢰를 상실할 위험이 크다.

4. 한국 기업의 사이버 공격 피해 통계

한국인터넷진흥원(KISA)의 조사에 따르면, 2023년 상반기 동안 랜섬웨어 피해는 600건 이상 발생했으며, 이메일 서버와 데이터베이스 서버가 주요 공격 대상이 되었다. 또한, 피싱 공격을 통해 기업의 ERP 시스템 및 클라우드 인프라가 손상되었으며, 이로 인해 약 1,000억 원 이상의 금전적 피해가 발생했다. 이러한 피해는 주로 중소기업에서 발생하였으며, 랜섬웨어 복구 비용과 영업 중단으로 인한 손실이 컸다.

5. 정리

기업의 사이버 보안이 뚫리는 주요 원인으로는 내부 직원의 실수, 취약한 시스템 관리, 제3자와의 보안 문제, 그리고 고도화된 공격 등이 있다. 사이버 공격이 진행되는 과정에서 기업의 이메일 서버, 파일 서버, 클라우드 인프라, 그리고 데이터베이스 서버와 같은 핵심 시스템이 공격당할 가능성이 크다. 우리나라 기업들은 랜섬웨어와 피싱 공격으로 인한 피해가 증가하고 있으며, 사이버 공격이 장기화되면 기업 운영에 심각한 손실을 초래할 수 있다. 기업은 주기적인 보안 점검과 최신 기술의 도입을 통해 사이버 공격을 예방하고, 피해를 최소화해야 할 것이다.