무브잇에서 얻은 교훈: 조직이 회복탄력성을 구축하는 방법

지난 한 주 동안 뉴스는 MOVEit 데이터 유출에 대한 세부적인 내용이 주를 이루었습니다. 이 대규모 공격은 사이버 범죄자들이 전 세계 수천 개의 조직에서 동료 또는 외부 당사자와 파일을 안전하게 공유하기 위해 사용하는 도구인 MOVEit 파일 전송 애플리케이션의 취약점을 악용한 것입니다. 아니면 그렇게 생각했을까요... 그렇다면 무엇이 잘못되었을까요?

무엇을 알고 있나요?

이 공격은 악의적인 공격자가 제로데이 공격으로 알려진 MOVEit 파일 전송 도구의 이전에는 알려지지 않은 새로운 취약점을 악용했기 때문에 발생했습니다. 이로 인해 급여 및 인사 부서를 위한 IT 서비스 공급업체인 Zellis가 사용하는 MOVEit이 BBC, 부츠, 에어링거스, 오프콤 등 고객사의 데이터와 함께 유출된 사례가 발생했습니다. 또한 이 공격은 영국에만 국한된 것이 아니라 캐나다와 미국의 조직도 영향을 받은 것으로 확인되었습니다.

Clop 랜섬웨어 조직은 공격에 대한 책임을 주장하며 6월 14일까지 피해 조직에서 훔친 데이터를 모두 공개하겠다고 협박하고 있으며, 기업들이 몸값을 지불하지 않으면 모든 데이터를 공개하겠다고 밝혔습니다. 하지만 전 세계 법 집행 기관에서 몸값을 지불하는 것은 더 많은 공격을 불러일으킬 뿐입니다. 그렇다면 향후 유사한 공격으로부터 자신을 보호하기 위해 조직은 무엇을 할 수 있고, 또 해야 할까요?

무엇을 배울 수 있을까요?

이번 공격은 공급망과 소프트웨어 공급망 모두에서 발생할 수 있는 위험을 상기시켜주는 좋은 사례입니다. 조직은 급여와 같은 시스템이나 기능을 아웃소싱할 때 공급업체를 지나치게 암묵적으로 신뢰하여 민감한 데이터를 안전하게 보호하고 저장하는 경우가 많습니다. 하지만 공급업체가 공격을 받으면 조직은 간접적으로 피해를 입을 수 있습니다.

이 경우, Zellis는 인터넷에 연결되어 있어 위험에 노출될 위험이 높은 소프트웨어인 MOVEit 소프트웨어에 대한 종속성을 분명히 개발했습니다. 그러나 제로데이 공격은 소프트웨어 업데이트를 통해 언제든 도입될 수 있으며, 이러한 공격은 맹목적으로 또는 자동으로 허용되는 경우가 많습니다.  

MOVEit과 같은 공격에 대한 복원력을 구축하는 5단계

모든 업데이트에 대한 엄격한 테스트는 불가능하므로 기업은 취약점으로 인해 심각한 피해가 발생하지 않도록 복원력과 안전장치를 구축해야 합니다.  

다음은 복원력을 높이기 위해 조직이 취해야 할 주요 단계입니다:

1. 항상 위반을 가정합니다.

MOVEit 공격에서 가장 먼저 배워야 할 것은 사이버 공격으로부터 안전한 조직은 없다는 것입니다. 랜섬웨어는 이제 가장 일반적인 공격 유형이므로 예방보다는 침해 차단에 중점을 두는 '침해 가정' 사고방식을 채택하여 랜섬웨어가 유입되는 지점에서 격리되도록 해야 합니다.

2. 기본을 바로잡기

둘째, 기본을 소홀히 하지 마세요. 대부분의 위험 노출은 열악한 위생, 잘못된 프로세스, 인적 오류에서 비롯됩니다. 방어자는 항상 100% 정확해야 하지만 공격자는 1%만 정확해도 성공할 수 있으므로 실수의 여지가 없습니다.

제로데이 공격은 항상 발생해 왔고 앞으로도 계속 발생할 것이지만 여전히 많은 기업이 기본을 제대로 지키지 않고 있습니다. 위험을 줄이는 가장 좋은 방법은 보안 위생과 심층 방어 접근 방식을 실천하는 것이며, 이는 최소한 정기적인 패치 적용, 알려진 취약점이 있는 시스템 및 서비스에 대한 액세스 제한, 최소 권한 전략을 적용하는 것을 의미합니다. 

3. 가시성이 핵심

복원력을 구축하기 위한 중요한 단계는 가시성을 확보하는 것입니다. 가시성을 통해 정상 상태를 파악하면 예기치 않은 연결이 발생하거나 예상치 못한 대량의 데이터가 전송되는 것을 발견할 때 기존 SIEM(보안 정보 및 이벤트 관리) 기술을 사용하여 감지하고 조치를 취할 수 있습니다.

또한 가시성을 통해 해당 시스템과 관련된 종속성을 이해하고 "알려진 좋은 것"에 대한 그림을 구축할 수 있습니다. MOVEit 침해의 영향을 받는 모든 조직은 MOVEit이 설치된 모든 인바운드 및 아웃바운드 연결에 대한 가시성을 확보해야 합니다.

4. 최소 권한 액세스 전략을 배포합니다.

소프트웨어 공급망과 같이 통제력이 약한 영역의 경우, 나머지 환경과 잘 분리되어 있는지 확인하세요. 워크로드가 네트워크의 나머지 부분에 거의 액세스하지 못하도록 매우 제한적인 허용 목록 정책을 구현하여 공격자가 네트워크에 대해 발견하고 측면으로 이동할 수 있는 범위를 제한하세요.

특히 MOVEit의 경우, 애플리케이션 및 활동 계층에서 액세스를 제한하기 위해 iMOVEit 워크로드 앞에 허용 목록을 적용합니다.

5. 링펜스 고부가가치 애플리케이션

지적 재산, 비공개 금융 데이터, 법률 문서 또는 민감한 개인 정보를 처리하는 고가치 애플리케이션을 보호하는 조치를 취하세요. 링 펜싱은 보안 경계를 서브넷 또는 VLAN에서 단일 애플리케이션으로 축소합니다. 애플리케이션당 단 한 줄의 보안 정책으로 동서 트래픽 이동에 대한 잠재적 공격 표면의 90%를 차단할 수 있어 최소한의 작업으로 최대의 효과를 얻을 수 있습니다.

일루미오 제로 트러스트 세분화(ZTS)는 어떻게 도움이 되나요?

Illumio ZTS를 사용하면 취약점을 빠르고 쉽게 확인하고 조직을 보호하기 위한 간단한 조치를 취할 수 있습니다. Illumio ZTS는 소프트웨어 공급망 공격을 막을 수는 없지만, 공격 표면 가시성을 확보하고 의심스러운 행동을 파악하며 침해 확산을 억제하는 데 도움을 줄 수 있습니다.  

Illumio ZTS를 사용하면 가능합니다:

• "정상' 또는 '예상되는' 동작이 모든 워크로드에서 어떻게 나타나는지 설정하세요. 
• 허용되는 규범에서 벗어나는 경우(예: 연결 또는 데이터 전송량의 변화, 새롭고 비정상적인 IP 또는 도메인 액세스 등)를 파악합니다.
• 공격이 진행되는 동안 워크로드의 상태에 대한 확신이 생길 때까지 워크로드를 신속하게 격리하세요. 
• 워크로드에 대한 액세스를 사전에 제한하여 정책에서 승인한 것 이외의 액세스가 불가능하도록 합니다.

소프트웨어 및 공급망 공격에 대한 복원력 구축

초연결성으로 인해 공격자들은 소프트웨어 공급망을 손상시켜 효율성과 수익성을 높일 수 있다는 것을 알고 있기 때문에 상호 의존성이 매우 풍부하고 밀도가 높으며 중요해졌습니다. 따라서 기업은 소프트웨어 공급망을 신속하게 파악해야 하며, 그렇지 않으면 유사한 침해의 위험에 노출될 수 있습니다.

오늘날에도 사이버 보안에 투입되는 노력과 예산의 99%는 나쁜 일이 발생하는 것을 막는 데(탐지 및 해결) 사용됩니다. 하지만 기업들은 사이버 보안 예산을 세 배로 늘려도 여전히 침해 사고가 발생할 수 있습니다.  

조직은 항상 침해를 가정하고 공격의 확산을 제한하기 위한 격리 기능을 구축하여 선제적으로 복원력을 강화해야 합니다. 즉, 확장된 자산 공격 표면 전체에서 데이터의 흐름을 파악하고 네트워크 내의 주요 기능을 분리하여 침해가 중요 자산으로 확산되는 것을 방지하는 데 중점을 둔 위험 기반 접근 방식을 채택해야 합니다.

자세히 알아보고 싶으신가요? 지금 바로 문의하세요 를 클릭해 무료 데모 및 상담을 받으세요.