종합 요약
코로나바이러스(COVID19) 팬데믹으로 인해 우리의 일상생활에 큰 변화가 생겼습니다. 동시에 이상황을 이용해 방심한 사용자를 피싱, 사기 및 허위 정보 확산과 같은 다양한 함정으로 유인하는 공격도 계속 발견되고 있습니다.
Cisco Talos에서 확인한 바에 따르면 아직 새로운 공격 기술은 발견되지 않았습니다. 그보다는 악의적인 공격자가 공격의 대상을 COVID 관련 테마에 집중하는 양상을 보이고 있습니다. Talos는 계속해서 상황을 주시하며 보안 커뮤니티, 고객, 법 집행 기관 및 정부와 정보를 공유하고 있습니다.
COVID19 상황을 이용한 공격으로부터 기업 조직을 보호하려면 굳건한 보안 인프라를 갖추는 것이 중요합니다. 이미 이러한 대비책이 확보되어 있는 것이 가장 이상적이겠지만 보안 조직에서는 새롭게 대두된 원격 업무 환경에 맞추어 기존의 보호 수단과 기능을 보강하여 사용자가 위협을 인지하고 각종 위협을 알아볼 수 있게 교육해야 하며, 조직의 원격 근무에 적합한 보안 모델을 구현해야 합니다.
Talos는 어떻게 대처하고 있을까요?
Talos는 COVID19를 활용하는 공격에 대해 크게 세 가지 범주를 관찰했으며 각 범주에 포함된 알려진 지능형 지속 위협(APT)은 다음과 같습니다.
- COVID 테마를 미끼로 사용하는 멀웨어 및 피싱 캠페인
- COVID 관련 연구 및 업무를 수행하는 조직을 대상으로 하는 공격
- 사기 및 허위 정보
[예: 거짓으로 의료용 마스크를 판매하는 사기성 웹사이트]
Talos는 COVID19 테마를 활용하는 공격을 계속 모니터링하고 있으며 악의적인 공격을 적극적으로 탐지하고 차단하고 있습니다.
또한 AEGIS 프로그램, 법 집행 기관 및 정부 기관과의 정보 파트너십, CTA(Cyber Threat Alliance)를 통해 고객 및 파트너와 정보를 공유하고 있습니다. 그리고 CTIR(Cisco Talos Incident Response) 서비스에 가입한 고객은 COVID 관련 정보가 확인될 때마다 조치 가능한 위협 인텔리전스를 받을 수 있습니다. 좀 더 직접적인 참여를 원하는 고객들은 CTIR 서비스를 통해 정보 분석가와 직접 상담하여 자신들의 환경에 적용되는 팬데믹 테마 공격에 대한 우려를 해소할 수 있습니다. 또한 고객이 침해사고 대응 계획(Incident Response Plan) 및 관련 지침을 마련하여 최악의 시나리오가 발생하기 전에 미리 대비할 것을 권장합니다.
사용자는 어떻게 대처해야 할까요?
광범위하게 증가하고 있는 재택 근무가 새로운 보안 문제를 제기하기도 합니다. 직원들은 팬데믹과 관련된 첨부 파일이나 내장 링크가 포함된 원치 않는 이메일을 경계해야 합니다. Talos는 지난 1월 말부터 악성 이메일의 양이 전반적으로 감소한 것을 관찰했는데, 이는 Necurs 봇넷 중단 조치와 Emotet의 스팸 휴식기가 겹쳤기 때문일 가능성이 큽니다. 다시 말해, 스팸 및 피싱 캠페인에서 COVID19 테마가 사용되는 경우가 크게 늘어나고 있습니다. 이 활동은 뉴스에 새로운 테마가 등장할 때까지 계속될 가능성이 높습니다.
직원들은 원격으로 업무를 처리하는 경우에도 사무실에서 일할 때와 동일한 주의를 기울여야 합니다. 디바이스를 사용하지 않을 시 화면을 잠그고, 반드시 신뢰할 수 있는 보안된 WiFi 액세스 포인트만 사용하는 것이 좋습니다. 합리적인 데이터 보안을 실천하고 기업 데이터를 기업 보호 자산 안에 유지하세요. 또한 기업용 디바이스를 개인적인 용도로 사용하는 것을 피해야 합니다.
기업은 어떻게 대처해야 할까요?
기업은 경계가 없는 보안 환경에 대비해야 합니다. 여기에는 아래에 권장하는 IT 가시성 및 대응 관리 개선이 포함됩니다. 기업은 엔터프라이즈 원격 근무 및 원격 액세스를 위한 프레임워크를 제공하는 NIST SP 800-46을 활용할 수 있습니다. 또한 기업은 직원들이 보안에 대해 잘 알고 있는지 확인하고 의심스러운 악의적 활동을 식별, 방지, 신고할 수 있도록 해야 합니다. 명확한 목표를 가진 준비된 보안 조직을 통해 COVID19 팬데믹을 활용하는 관련 위협 요소를 추적해야 합니다.
Talos는 다음과 같은 보안 핵심 영역을 체크하기를 권장합니다.
1. 원격 엑세스
RDP(Remote Desktop Protocol)를 인터넷에 노출하지 마세요. Cisco Duo와 같은 다중 인증 체계와 함께 보안 VPN 연결을 사용해야 합니다. NAC 솔루션을 활용함으로써 기업 환경에 원격으로 연결하려는 시스템이 멀웨어 방지, 패치 수준 등과 같은 최소 보안 표준 세트를 충족해야만 기업 리소스 액세스 권한을 부여할 수도 있습니다. 액세스 정책 위반을 지속적으로 식별하고 시정해야 합니다.
2. ID 관리
다중 인증 및 기업 정책 지원을 통해 일반 대중을 상대로 하는 중요한 애플리케이션을 보호하세요. 원격 계정 및 액세스 종료 기능이 원격 환경에서 의도한 대로 작동하는지 확인하세요.
3. 엔드포인트 관리
많은 사람이 홈 네트워크에서 작업하고 있을 수 있기 때문에 Cisco AMP for Endpoints와 같은 솔루션을 사용하는 엔드포인트 가시성, 보호, Mitigation이 그 어느 때보다 중요합니다. 위협 제거 및 이미징 기능이 원격 환경에서 의도한 대로 작동할 것인지 여부를 고려하세요. 가능하면 장치를 암호화하고 연결 게이트에 NAC 솔루션에 추가하세요. 엔드포인트를 보호하는 또 다른 간단한 방법은 Umbrella처럼 호스트가 연결하기 전에 DNS를 통해 악성 도메인을 차단하는 것입니다.
4. 데이터 관리
중요한 데이터가 어디에 있는지, 누가 이 데이터에 액세스 할 수 있는지, 해당 데이터가 조직 환경 내에서(그리고 어쩌면 이제는 환경 외에서) 어떻게 이동하는지 알고 계신가요? 조직은 원격 인력이 정책에 따라 안전하게 데이터를 공유할 수 있도록 해야 합니다. 정책 요구 사항을 벗어나서 움직이는 중요한 데이터를 모니터링하세요. 마지막으로, 백업 전략의 일환으로 오프 프레미스(Off-premise) 데이터 백업 활용을 고려해야 합니다.
5. 인지 교육
스팸, 피싱, SMS 사기, 소셜 엔지니어링, 내부 보안 참여 프로세스를 사용자들에게 교육하십시오. 종합적인 직원 인식 프로그램은 직원들이 원격지에서 근무할 때에도 기업 리소스의 적절한 사용과 관련된 정보를 받을 수 있게 도와줍니다. 추가 지원이 필요한 기존 CTIR 고객은 가입 서비스를 활용하여 준비 상태를 평가할 수 있습니다.
6. 침해 대응 프로세스 준비
침해사고 대응 계획을 검토하여 단일 사용자 장애 지점을 파악하고 해당 사용자를 더 이상 사용할 수 없을 경우 어떻게 처리해야 하는지 계획하세요. 또한 현재 물리적으로 존재해야 하는 운영 기능(포렌식 및 데이터 수집, 엔드포인트 재이미징 등)을 식별하고 원격에서 가능한 해결 방법을 구현하세요.
결론
불행히도, 공격자들은 앞으로도 계속해서 COVID-19 팬데믹을 악용할 것입니다.
이 사태를 이용해 공격자는 기존 공격 방법을 사용하여 다양한 매개체를 통해 사용자를 공격할 것 입니다. 또한 보안 관리자들은 원격 근무 환경으로 인해 공격 표면이 늘어나게 된 것을 주의해야 합니다. 현재와 미래의 위협으로부터 조직을 보호할 수 있는 강력한 보안 프로그램을 통해 안정적이고 계층화된 방어선을 구축하는 데 집중하세요.
더 읽기