전기전자/정보통신

Nikkei Computer_2023.8.3 특집 요약 (p10~23)

일본의 시큐리티 약점
공격자는 이것을 노린다

일본의 기업이나 조직을 노린 사이버 공격이 이어지면서 최근 랜섬웨어 등의 피해 사례가 계속 증가하고 있다. 실제로 사이버 공격의 피해를 입은 기업이나 조직에 취재해본 결과, 공격자의 타깃이 되는 보안 대책의 약점이 보이기 시작했다. 피해의 교훈으로부터 얻은 과제와 채택해야 할 보안 대책, 그리고 간과하기 쉬운 ‘보안 운용’의 이상적인 형태에 대해 살펴본다.

PART 1. 피해자의 교훈에서 배운다
공격자가 노리는 약점

‘기존의 경계(境界)형 방어는 최신 공격 수법 앞에 무력했다’. 사이버 공격에 피해를 입은 기업들은 피해를 계기로 보안 대책을 크게 전환하고 있다. 피해 기업이 얻은 쓰라린 교훈과 후속 대책은 많은 기업에게 참고가 될 수 있을 것이다.

“보안 대책은 항상 진화시킬 필요가 있다고 통감했다”. 미쓰비시덴키(三菱電機)의 미타니(三谷) CIO(최고 정보 책임자)는 4년 전인 2019년의 사이버 공격 피해 교훈을 이렇게 말한다.

미쓰비시덴키는 2020년 1월, 부정 접속 피해를 입었다고 발표했다. 방위성이 2021년 12월에 발표한 자료에 따르면, 미쓰비시덴키로부터 유출된 파일 중에는 방위와 관련된 것이 2만건 있었고, 그 중에는 안보에 영향을 미칠 우려가 있는 파일이 59건 포함되어 있었다고 한다.

공격자는 2019년 3월, 바이러스 백신 소프트웨어 등의 취약성을 뚫고 미쓰비시덴키의 중국 거점에 침입, 이후 일본 거점에도 침입하는 등 부정 액세스 범위를 넓혀갔다. "(당시에는) 특정 부문을 방어하는 대책을 통해 사내 네트워크를 보호할 수 있다라는 잘못된 생각을 가지고 있었다"(미타니 CIO).

사내 네트워크와 인터넷의 접점에 방화벽 등을 설치해 외부로부터의 공격에 대비하는 경계형 방어에는 주력하고 있었지만, “거점 간 등 경계 내부의 방어가 부족했던 것이 피해 확대를 초래했다”라고 미타니 CIO는 반성한다.

IT 기반 및 자산에 대한 관리가 거점이나 부문 마다 달랐기 때문에 사태의 파악도 늦었다. 미쓰비시덴키는 2020년 1월, 피해에 대한 첫 보고를 공표한 후 같은 해 2월의 두 번째 보고에서 방위성의 ‘주의 정보’가 유출되었을 가능성, 같은 해 2월의 세 번째 보고에서 공격 수법과 피해 전모를 공개했다.

2019년 6월의 공격 감지에서 전모 파악까지 반년 이상이 소요되었다. 미타니 CIO는 “단기간에 문제를 파악해 해결하기 위해 경영 층이나 담당자가 어떻게 활동 요원을 확보할지 등, 사전에 방법을 마련했어야 했다”라고 말한다. 문제 발생 시 대책을 세우는 CSIRT(컴퓨터 보안 사고 응답 팀)는 있었지만, 체제가 불충분했다.

-- 전세계 24시간 감시 체제 실현 --
사이버 공격을 당한 이후에 미쓰비시덴키가 기존의 경계형 방어를 대신하는 대책의 기본 방침으로 정한 것은 ‘제로 트러스트’이다. 사내·사외를 불문하고 시스템이나 서버 등으로의 액세스에 다요소 인증을 도입. 직원의 액세스라도 사이버 공격자의 발판이 되고 있지 않은지 신중하게 인증한다.

PC상에서의 움직임이나 서버로의 액세스 패턴 등 유저의 행동도 감시하며, 서버로의 패스워드 입력 시도 등 이상 사태가 감지되면 곧바로 경보를 발하는 체제를 갖추었다. “공격자의 래터럴 무브먼트(Lateral Movement)를 의식한 방어책이 필요하다”’(미타니 CIO)라고 생각했기 때문이다.

감시와 분석을 담당하는 SOC(보안 운영센터)와 CSIRT도 강화했다. 본사의 IT 보안 부문인 정보보안총괄실이 원칙적으로 일본과 해외 거점의 IT 기반과 보안 대책을 통합적으로 관리하고 CSIRT도 같은 정보보안총괄실 아래에 두었다. 보안 대책에 관련된 인원도 현재 100명 규모로 증강했다.

현지 기업과의 합작이 많다는 점 등 사정이 특수한 중국은 다른 지역과는 분리된 독립 네트워크를 구축했다. 또한, 방위산업 등 특별한 보안성이 요구되는 일부 사업은 본사가 대책을 감독하며, 네트워크를 다른 사업과 완전히 분리하고 있다.

이러한 일련의 대책으로 미쓰비시덴키는 2021~2025년 간 기기 쇄신과 신규 도입, 체제 강화 등에 500억 엔을 투자할 예정이다. 미타니 CIO는 “이후에도 매년 100억 엔 규모의 자금을 대책 운용에 투입할 필요가 있을 것 같다”라고 설명한다.
 

-- 가장 취약한 부분이 타깃이 된다 --
후지필름은 2021년 6월, 랜섬웨어에 의해 불법으로 접속된 사실을 공표했다. 업무 전면 복구에 2주가 소요되면서 일부 업무 시스템은 정지될 수 밖에 없었다.

“공격자는 가장 취약한 곳을 정확히 공격한다. 우리의 대책은 공격 수법의 실태에 입각하지 못했다”. 당시의 대책을 지휘한 모회사인 후지필름홀딩스 ICT 전략부의 와타나베(渡辺) 총괄매니저는 이렇게 회상한다.

후지필름도 경계형 방어에 주력하고 있었다. 그러나 당시 코로나19 사태가 2년째에 접어들면서 리모트 워크(비대면 원격 근무)도 성행. 클라우드의 이용 증가로 트래픽을 분산할 필요도 있어 사내 네트워크에는 다수의 대외 접속점이 마련되어 있었다. 상세한 내용은 공개되지 않았지만, 이러한 접속점의 취약한 부분이 공격자의 타깃이 된 것으로 보인다.

후지필름홀딩스는 2022년부터 추진하고 있는 새로운 보안 대책에서 제로 트러스트를 기본 방침으로 정했다.

-- EDR, SIEM, SASE 도입 --
우선, 모든 서버와 PC에 EDR(엔드포인트에서의 탐지 및 대응)를 도입해 SIEM(보안 정보 이벤트 관리)에서 방화벽 등도 포함한 다양한 기기의 로그를 수집·분석. 부정 액세스가 발생한다는 전제 하에서 감시와 분석에 의한 공격 ‘발견’에 주력하고 있다.

또한, ASE(시큐어 액세스 서비스 엣지)나 마이크로세그멘테이션(Microsegmentation) 등 클라우드 서비스나 업무 애플리케이션에 대한 유저의 액세스를 세밀하게 제어하는 구조도 도입했다. 2021년의 부정 액세스 피해에서는 “방어를 돌파한 공격자에게 깊은 곳까지 침입을 허용했다”(와타나베 통괄 매니저)라는 반성이 있기 때문이다.

동시에 후지필름홀딩스는 계열사의 IT 기반을 통합적으로 감시·관리하는 체제도 정비했다. 타깃이 되기 쉬운 취약한 장소를 없애려면 “국제적으로 기준을 통일해, 시책을 동시에 실시하는 것이 중요하다”(와타나베 통괄 매니저).

감시 업무를 담당하는 SOC는 외부 공격 감시와 사내 비리 등의 내부 감시로 나누었다. 외부 감시는 미국의 버라이즌커뮤니케이션스와 계열사인 후지필름시스템즈가 협업해 담당하고 있다.

버라이즌을 위탁 업체 중 한 곳으로 선택한 이유는 전세계 24시간 감시를 실현하기 위해서이다. 내부 감시는 후지필름시스템스를 중심으로 자체 제작한 시스템으로 대응하고 있다.

SOC에서는 SIEM이 발하는 대량의 공격 감지 경보를 애널리스트가 분석해 CSIRT로 보낼 사안을 선별한다. 공격에 대한 대응을 위해 약 100개의 시나리오를 상정하는 등 대비를 강화했다.

-- 수상한 움직임 눈치채지 못해 --
오사카 시의 오사카 급성기(急性期) 종합의료센터에서는 2022년 10월 31일, 급식사업자의 시스템을 경유해 공격자가 병원 내 네트워크에 침입. 전자진료기록카드를 포함한 기간 시스템 대부분이 랜섬웨어에 의해 암호화되었다.

병원 내에서는 서버와 PC 윈도우 관리자의 ID 및 패스워드가 모든 PC에서 공통이며 초기 설정 그대로였다. 이 때문에 내부에 침입한 공격자는 용이하게 윈도우에 관리자로서 로그온 해 바이러스 백신 소프트웨어를 무효화하고 서버를 암호화했다.

해당 센터에서 의료 정보 부장을 맡고 있는 닥터 모리타(森田) 씨는 “의료 업계에는 폐역망(지역이나 서비스 종류에 따라 닫힌 상태가 되는 망)은 안전하다라는 ‘폐역망 신화’가 있어 설정이나 도입, 유지보수를 위해 ID와 패스워드를 공통으로 하고 있었다”라고 말한다.

또한, 당시 해당 센터의 방화벽은 급식 사업자의 시스템으로부터 침입을 도모한 공격자의 움직임을 로그에 기록하고 있었다. 서버의 암호화에는 몇 시간이 필요하기 때문에 초기 시점에서 공격을 알았다면 암호화를 막을 수 있었을 가능성이 있었다. 그러나 공격자가 활동을 시작한 것은 월요일 새벽. 로그를 실시간으로 감시하지 않았기 때문에 월요일 아침에 직원들이 업무를 시작할 때까지 이변을 눈치채지 못했다.

해당 센터는 이번 사이버 공격 이후, IT 기기의 외부 접속에 대한 총점검과 엄격한 ID/패스워드 관리를 추진하는 동시에, 네트워크 패킷 정보로부터 트래픽을 분석해 수상한 움직임을 탐지하는 NDR(네트워크 탐지 및 대응)을 도입. 외부 사업자에게 위탁해 24시간 체제로 보안 감시를 실시하고 있다.

해당 센터의 내부에서 가동되고 있는 의료기기와 의료 서버 중에는 지원이 종료된 윈도우를 계속 사용할 수 밖에 없는 것이나, 바이러스 백신 소프트웨어를 인스톨 할 수 없는 것이 있다. 이 때문에 네트워크 계층에서 공격자가 내부에 침입하고 있지 않은지 확인하고 있다.

-- 탈(脫)경계형 방어와 감시 강화가 급선무 --
사이버 공격 피해 기업으로부터 얻은 교훈을 살펴보면 일본의 보안 대책이 안고 있는 최대의 약점이 떠오른다. 경계형 방어에 대한 과도한 의존과 사내 네트워크에 대한 보안 감시 부족이다. 공격자의 타깃이 될 수 있는 약점이 남아 있지 않은지, 지금 당장 확인이 필요하다.

PAER 2. 해답은 제로 트러스트, 그러나 현실은 먼 여정

기존의 경계형 방어를 벗어나 보안을 강화하려면 어떻게 해야 할까? 그 해답은 이미 나와 있다. ‘제로 트러스트’에 근거한 대책이다. 하지만 일본 기업에 있어 갈 길은 멀다. 우선은 지금 당장 현실적 대책을 마련해야 한다.

PART 3. 대책의 핵심은 '운용', 자사 SOC도 선택지

보안 강화는 ‘도구를 사면 끝’이 아니다. 운용까지 고려한 체제를 갖출 필요가 있다. 그 핵심이 되는 SOC, CSIRT의 기능과 도입 형태를 알아보자.

 -- 끝 --

Copyright © 2020 [Nikkei Computer] / Nikkei Business Publications, Inc. All rights reserved.

(목차)

IT가 위험하다
마이넘버 연결 오류 총점검, 시(市)∙정(町)∙촌(村) 외에서의 등록 오류 우려

<특집>
1. 일본 보안의 약점
   공격자는 이것을 노린다

2. 피해 기업의 교훈에서 배우는 공격자의 타깃이 되는 약점

3. 해답은 제로 트러스트, 현실은 긴 여정

4. 대책의 핵심은 '운용', 자사 SOC도 선택지

<특집>
그렇기 때문에 메타버스는 '쓸모 없다'
90%의 실패, 타개책은 있는가?

<포커스>
생성 AI로 고객을 모은다, 약진하는 세일즈테크

<인터뷰>
1. 아지노모토(味の素)의 후지에(藤江) 사장
중기(中期) 경영 계획을 취소하고 데이터의 힘에 성장을 맡긴다
수직형 조직을 디지털로 연계해 개혁 실천

<뉴스& 리포트>
1. IT 대기업 9개 사의 평균 급여 조사, 최고는 NRI의 1,242만 엔
2. 공개 5일 만에 1억 유저에 도달, 메타의 Threads가 안고 있는 딜레마
3. 고베(神戶) 시에 마이크로소프트 ‘AI 랩’, 세계 5위로 선정된 2가지 이유
4. 라쿠텐(楽天)페이 포인트 대방출, PayPay 대항 전략이 안고 있는 '부담'
5. 일본오라클의 새로운 사업 전략, 클라우드 확대 판매 및 생성 AI 제공 추진
6. 다이이치생명(第一生命)이 디지털 어댑션 도입, 경비 정산 불승인 줄어
7. “지금의 AI는 철학에 발을 디딜 수 없다”, 작가 우에다(上田) 씨가 느낀 한계

<데이터는 말한다>
BCP 수립의 ‘의향 있음’이 48.6%, 3년 연속으로 50% 밑돌아

<케이스 스터디>
‘오픈하우스 그룹’
11만 시간 분의 업무 경감, RPA를 전사(全社) 최적화에 활용

<CIO가 도전하다>
소니파이낸셜그룹의 사이토(齋藤) DX·CX추진실장 겸 수석 데이터 오피서
은행과 보험의 결합으로 고객을 이해, 그 열쇠는 데이터 연계 기반 구축

<작동하지 않는 컴퓨터>
[전일본공수(全日本空輸)]
기간 시스템 정지로 결항 55편, 발단은 DB버그에 패치 미적용

<연재>
1. 코세에게 배우는 DX 프로젝트 추진의 핵심
   -- 정보시스템 부문의 역할을 재정의, 시스템 개발에서 비즈니스 개발로
2. DX 성공의 열쇠가 되는 커뮤니케이션 기술
   -- 실전에서 사용할 수 있는 5가지 질문법, 듣기 스킬을 활용
3. 성장하지 못하는 사원이 배우는 디지털 비즈니스 성공 기술
   -- DX에서 뒤처진 건강 검진 업무 대행 업체, 에코시스템을 구축하려면?
4. 사장의 의문에 답하는 IT 전문가의 대화 기술
    -- 업무 및 UI에서 IT 인프라까지, 지나치게 광범위해진 '설계'에 도전

<키워드>
내(耐)양자계산기암호(Post-Quantum Cryptography, PQC)

<오피니언>
1. 극언정론(極言正論)
    -- 생성 AI 붐은 DX의 승부처, 변혁으로부터의 '도피'는 있을 수 없다
2. 모바일의 일도양단(一刀両断)
    -- 부재비 급등과 엔저가 마지막 일격, 철수가 이어지고 있는 휴대폰 제조사들의 속사정
3. GAFA의 심층 분석
    -- AI의 오류 바로 잡아라, 머신언러닝이 과제로
4. 프로그래밍으로 가자
    -- Java의 기술을 간결하게 하는 기능, 올 가을 등장하는 'JDK21'에 탑재
5. ‘오늘도 누군가를 노린다’
    -- 챗GPT의 '환각'을 악용한 말웨어 배포의 놀라운 수법