데이터, 비즈니스, 기업보안에 이르기까지 인텔렉추얼데이터의 전
문가들이 이야기하는 최신의 정보와 의견을 확인해보세요.
eDiscovery
안녕하세요. 인텔렉추얼데이터입니다. 최근 연예계에서 핫한 이슈 중 하나가 바로 아이브 장원영과 유튜버 탈덕수용소 간 1억 소송입니다. 기존에도 많은 유튜버들이 인기 있는 연예인들에 대한 루머 등을 무분별하게 영상 콘텐츠로 제작하는 사례들은 많았지만 처벌이나 손해배상으로 이어지는 경우는 많지 않았습니다.그런데 이번 소송에서는 유튜브가 탈덕수용소의 신상을 미국 법원을 통해 공개함으로써 기존 연예인-유튜버 소송과는 다른 결과로 이어지고 있습니다. 더불어 신상공개에 결정적인 역할을 한 미국의 e디스커버리 제도가 관심과 주목을 끌고 있습니다. 국내 기업을 위한 e디스커버리 전문 기업, 인테렉추얼데이터가 이번 사건의 핵심, e디스커버리의 모든 궁금증을 해소해드리겠습니다.허위사실 유포 유튜버의 처벌이 어려웠던 이유우선 탈덕수용소처럼 논란이 되는 콘텐츠를 생산하는 유튜버들을 처벌하기 어려웠던 이유부터 간단히 살펴보겠습니다. 국내법 상 방송 등의 매체로 명백한 허위사실을 유포하는 경우, 정보통신법상 명예훼손죄 등이 성립할 수 있습니다. 하지만 유튜브는 방송으로 분류되지 않아 방송법의 규제를 받지 않고, 유튜브 자체 심의 규정을 통해 유해 콘텐츠를 차단하거나 신고, 모니터링을 기반으로 콘텐츠를 삭제하는 등의 후속 조치를 합니다. 이 경우 콘텐츠를 제한할 수는 있으나 피해자가 가해자를 처벌할 강제력은 없다는 문제가 있습니다.이에 재판을 통해 처벌이나 손해배상을 제기하려고 해도 미국에 본사가 있는 유튜브의 특성 상 해당 계정 소유주의 신상을 파악하는 것이나 현지에서 수사를 진행하는 것 모두 매우 어려운 상황입니다. 바로 이런 점을 악용해 유튜브를 통해 허위사실을 유포하고 이득을 취하는 사람들이 지속적으로 생기고 있는 실정입니다.e디스커버리 그리고 디스커버리 제도란?그런데 장원영 소속사와 탈덕수용소간 소송에서는 어떻게 유튜버의 신상을 밝혀낼 수 있었을까요? 핵심은 바로 미국의 디스커버리(증거개시) 제도입니다. 우선 디스커버리(증거개시) 제도는 e디스커버리(전자증거개시) 제도의 상위 개념입니다. 디스커버리 제도는 국내에서는 생소하지만 미국 등 영미법 체계 하의 국가에서 민사소송을 진행할 때 필수적으로 거치는 과정입니다. 본 소송이 시작되기 전 피고와 원고 모두 자신이 가진 재판 관련 정보를 완전히 투명하게 공개하고 상호 확인하는 절차를 디스커버리라고 합니다. 그 중에서도 전자문서, 이메일, 데이터베이스 등 전자적인 증거개시 절차를 e디스커버리라고 부릅니다. 이런 과정을 통해 본 소송이 시작되기 전이라도 귀책사유를 명확하게 상호 확인할 수 있고, 많은 경우 재판 전 상호 합의를 유도하여 재판의 절차와 비용을 절감하는 효과도 있습니다.원고와 피고가 모두 정직하게 정보를 공개하는 것이 가능할까?e디스커버리 제도가 없는 우리나라 소송의 경우 원고와 피고 모두 자신에게 유리한 증거는 직접 수집해서 법원에 제출해야만 증거로서 인정받을 수 있습니다. 필연적으로 소송의 양측은 자신에게 불리한 증거를 절대 공개하지 않기 때문에 결정적인 증거를 찾는 일은 매우 어렵습니다.그렇다면 e디스커버리 제도가 있더라도 자신에게 불리한 정보는 공개하지 않는 것을 것이라고 예상하기 쉽습니다. 물론 미국 재판 사례 중에도 불리한 증거를 고의로 숨기거나, 혹은 유리한 증거를 조작하여 공개하는 사례가 존재합니다. 하지만 이런 사실이 발각되는 경우 사안의 중요성에 따라 징벌적 벌금에서부터 최악의 경우 재판 패소까지 매우 강력한 제재(Sanction)을 받을 수 있기 때문에 서로 공정하게 증거를 개시하는 것이 일반적입니다.탈덕수용소의 정체를 밝힌 방법, e디스커버리 제도이제 e디스커버리 제도를 이해하셨다면 이번 소송에서 탈덕수용소의 신상이 밝혀진 방법도 쉽게 이해하실 수 있을 것입니다. 아이브 소속사는 미국 법원에 소송을 제기한 후 e디스커버리를 통해 공개된 탈덕수용소 운영자의 신상 정보를 취득할 수 있었습니다.앞서 e디스커버리에 대해 설명드린 것처럼 증거개시의 모든 정보는 투명하고 공정하게 공개되어야 하고, 고의로 정보를 숨기거나 왜곡할 수 없기 때문에 정확한 신상 정보를 획득할 수 있었던 것입니다. 이렇게 얻게 된 신상 정보를 기반으로 손해배상 소송을 진행해 장원영 소속사는 결국 1억 손해배상 소송에서 승소하게 되었습니다.한국형 e디스커버리 도입에 대한 논의 활발이번 소송 건은 연예인 소송 과정 중 신상 정보 공개를 위해 e디스커버리 제도가 사용되었지만, 미국의 민사 소송, 특히 특허 소송과 같이 첨예하게 대립하는 소송 과정에서 증거개시제도는 매우 효율적으로 활용되고 있습니다. 무엇보다 이런 이유로 한국형 증거개시제도의 도입을 추진하는 목소리도 커지고 있습니다. 현재 국내 법원에서 민사 소송을 진행하는 경우 원고와 피고 양측의 증거 수집, 검토, 채택의 과정에서 매우 오랜 기간이 소요되기 때문에 효율적인 재판 진행에 어려움을 겪고 있습니다. 이 때문에 국내 기업 간의 특허소송을 미국에서 진행하는 경우도 있습니다.한국형 증거개시제도가 도입된다면 국내 민사 소송의 효율성과 투명성이 높아지는 계기가 될 것입니다. 다만 법률과 제도 개정 등 많은 과정이 필요하기 때문에 도입에 다소 시간이 필요한 것으로 생각됩니다.
Oct 08 2024
4월 24일, 미 CISA(사이버 보안 및 인프라 보안국)은 사이버 사고 보고법(CIRCIA) 시범 단계에서 수집된 결과를 발표했습니다. 그 결과는 충격적이었는데요. 미국에서 보고된 랜섬웨어 피해 사례만 2천건 이상을 기록했다는 것입니다. 베트남 호치민 정보통신부 부국장의 발표는 더욱 놀라웠습니다. 평균 11초마다 한번씩 기업을 상대로 한 랜섬웨어 공격이 일어나고 있다는겁니다. 호치민에서 열린 랜섬웨어 공격 방지 위험 및 솔루션에 대한 세미나에서 호치민시 디지털 혁신 센터 부국장 Nguyễn Đức Chung은 불법적 정보 수집을 위한 공격이 12,745,681건, 악성코드 감염 및 유포 사례 1,858건이 발생했다고 말했습니다.돈을 노리는 랜섬웨어 공격의 일상화많은 사람들이 북한이나 러시아, 혹은 중국과 같은 국가에서 지원하는 국가 단위의 스파이 행위가 가장 위험한 보안 위협 사례라고 생각하고 실제로도 언론의 관심을 많이 끕니다만, 랜섬웨어 공격이야말로 즉각적 문제를 일으킬 수 있기에 더욱 긴급하게 다루어져야 할 위협입니다. 실제 블록체인 분석 업체 체이널리시스(Chainalysis)의 조사에 따르면 2023년 한 해 동안 암호화폐를 통해 피해자들이 범인들에게 지급한 돈은 11억 달러(한화 약 1조 4,643억원)라고 하는데요. 최근 결제 프로세서인 Change Healthcare에 대한 랜섬웨어 공격으로 인해 미국 의료 시스템의 일부가 손상되었으며, 월요일 회사는 침해로 인해 도난당한 민감한 개인 건강 정보가 미국 대중의 "상당한 부분"에 영향을 미칠 수 있다고 경고하기도 했습니다.특히나 이런 랜섬웨어 공격은 소위 말하는 '효자 상품'입니다. 돈도 많이 벌어다주는데 진입 장벽도 낮은 편이기 때문에 마치 '사이버범죄학 개론'과 같죠. 누구든 관심을 조금만 가져도 한번씩 거쳐갈 수 있는 범죄입니다. 간단한 취약점에 대한 익스플로잇 코드(침투 코드)만 구동할 줄 알고, 공개된 랜섬웨어 코드를 조금만 수정할 줄만 알아도 누구나 랜섬웨어 공격을 실시할 수 있습니다. 특히나 이런 랜섬웨어 공격자들이 원하는 것은 대부분 돈이기 때문에 알고 있는 취약점을 대강 스캔해서 발견되는 시스템에 무차별적으로 침투, 공격을 시도하는 경우가 많죠. 목표가 특정한 대상이 아니라 단순히 돈만이기 때문에 아무나 걸려라 하는 공격을 하는거죠. 랜섬웨어 피해가 산업 전반을 가리지 않고 곳곳에서 발생하는 것도 이 때문입니다.데이터 유출에서 DDoS 공격까지… 다중 갈취 전략의 등장하지만 2024년, 랜섬웨어 공격은 또 새롭게 진화하고 있습니다. 바로 삼중 갈취 공격입니다. 초기 랜섬웨어 공격은 데이터 암호화 뿐이었는데요. 이후 공격자는 더 많은 돈을 갈취하기 위해 민감한 데이터를 유출하겠다고 협박을 하기 시작했습니다. 이것이 바로 이중 갈취 공격입니다. 최근 나타나는 경향성은 공격자가 피해자의 고객에게 연락하거나, 미디어 또는 규제 기관에 데이터 유출에 대해 알리거나, 서비스 거부(DDoS) 공격을 시작하겠다고 위협하는 것입니다. 단순히 기술적 침투를 떠나 협박과 같은 사회공학적 기법을 최대한 악용하는 이런 삼중 갈취 공격은 피해자에게 최대의 압력을 가하여 피해자에게 최대한 많은 양의 돈을 갈취하는 것을 목표로 합니다. 예를 들어 모든 데이터가 암호화되어 비즈니스 운영이 중단된 상황에서 공격자측이 개인 고객 데이터를 유출하여 수백만 달러의 법적 비용을 발생시키겠다고 협박하는것을 가정해봅시다. 그 다음 공격자측은 피해자의 회사 웹사이트에 DDOS 공격을 가해 손발을 묶은 뒤, 고객과 미디어에 연락해 사건 혹은 개인정보를 유포하는거죠. 이렇게 되면 피해자측이 입은 누적 피해 규모는 상상을 초월해질 정도로 커지게 됩니다.E-Discovery 확산과 로펌의 사이버 보안에 대한 새로운 도전흥미로운점은 2023년부터 점점 로펌 및 관련 회사에 대한 공격 비중이 커지고 있다는 점입니다. e-Discovery 소송이 일반화되면서 법률 데이터가 문서가 아닌 전자적으로 저장되어 호스팅되고 있고, 공격자가 데이터 유출을 일으키면 치명적인 문제가 발생하는 리걸테크라는 업계 자체가 가진 문제는 실제 2023년 중 데이터 유출이 발생, 고객의 소송 데이터를 보호하지 못한 로펌을 상대로 소송이 제기되는 등 위협이 현실화되면서 더욱 피부에 와닿게 되었습니다.특히 이런 e-Discovery 소송은 웹 브라우저를 사용해 작업하게 되는데, 최근 들어 브라우저의 기능이 향상되며 거의 운영체제와 유사할 정도로 다양한 기능을 갖추고 파일 시스템에 접근할 수 있는 등의 기능을 보유하게 되었는데요. 이러한 기능은 File System Access API를 통해 클라우드, 공유 폴더 및 외부 드라이브에 있는 파일을 포함하여 호스트 컴퓨터의 파일에 대한 브라우저의 액세스와 결합되어 랜섬웨어의 침투 수단이 넓어지는 결과를 낳게 되었습니다.사이버 보안의 미래: 지속적인 교육과 업그레이드 필요성2023년 8월 USENIX 보안 심포지엄 에서 발표된 RøB: 최신 웹 브라우저를 통한 랜섬웨어(RøB: Ransomware over Modern Web Browsers)라는 논문에서 이 새 랜섬웨어 변종이 어떻게 설계하기 쉽고 얼마나 피해를 줄 수 있는지 공표된 바 있습니다. RøB 랜섬웨어는 다양한 유형의 파일을 암호화할 수 있으며, 브라우저 내에서 실행되기 때문에 기존 바이러스 백신 프로그램이 포착할 수 있는 악성 시그니처나 페이로드가 없다는 강점도 있었습니다. 기존 랜섬웨어 탐지 시스템은 브라우저 기반 랜섬웨어를 막지 못한다는거죠. 결국 브라우저, 파일 시스템, 사용자 등 다양한 수준에서 다양한 층위의 보안 조치가 실행되어야 한다는 것을 알 수 있습니다.특히 정보 보안의 연결고리 중 사람이 가장 취약한 연결고리라는 점을 인지하고, 민감한 데이터에 액세스할 수 있는 사람에겐 보안 교육과 인식을 수행할 필요가 있습니다. 또한 모든 데이터를 동일한 방식으로 처리해서는 안 됩니다. 최소 권한의 원칙을 지켜 데이터가 중요할수록 데이터에 액세스할 수 있는 사람의 수를 더욱 엄격하게 제한하고 암호화 및 이중 인증과 같은 보안 장치를 확립해야 합니다.인텔렉추얼데이터는 국내 대표 e-Discovery 기업으로 중요한 핵심 가치인 데이터 보안을 위해 끊임없는 노력을 하고 있습니다. 보안 체계 구축을 위한 전문 인력 배치, 지속적인 내부 교육과 실전 같은 보안 훈련을 통해 기업의 중요 정보와 데이터를 높은 수준의 보안 시스템 내에서 유지, 관리하고 있습니다. 해외 소송 상황과 같이 기업의 민감하고 중요한 데이터에 대한 e-Discovery 필요하다면, 인텔렉추얼데이터의 전문가와 상담받아보세요.
Oct 18 2024
미국 사이버 보안 연구기관 공격 사건: 사이버 보안의 새로운 현실이번 주에도 각국의 다양한 IT 시스템에는 다양한 공격이 가해졌습니다. 그 중 가장 충격적인것은 MITRE가 공격 피해를 입었다는 것입니다. MITRE는 미 연방 정부 지원을 받아 항공우주 및 국토안보 방어, 그 중에서도 사이버 안보에 특화된 연구 기관이기에 더욱 충격을 가했습니다. MITRE는 지금까지 글로벌 사이버 보안 커뮤니티에서 사용되는 ATT&CK®, Engage™, D3FEND™, CALDERA™와 같은 프레임워크를 개발했었는데요. 그런 안전한 조직마저도 공격을 받을 수 있었던 것입니다.지난 19일, MITRE는 내부 R&D 네트워크 중 하나에 대한 공격을 감지하고 사건을 억제하기 위해 즉각적인 조치를 취했으나 내부 네트워크 중 일부가 손상되었다고 밝힌 바 있는데요. 이 공격은 중국의 UNC5221이라는 국가가 지원하는 해킹 그룹으로 알려졌습니다. 이번 공격은 연구 개발용으로 설정되어 망이 분리되어 있지 않던 협업 네트워크인 MITRE의 NERVE(Networked Experimentation, Research, and Virtualization Environment)에서 의심스러운 활동이 발견, 감지되었는데요. 다행스럽게도 회사 영업 비밀이나 공용 네트워크에는 피해가 없었다고 알려졌습니다.전 세계 기업에 미칠 보안 영향: 긴급 대응 방안과 전략적 대안은?MITRE CTO인 Charles Clancy는 공격자가 신뢰할 수 있는 네트워크에 연결을 제공하는 데 사용되는 Ivanti1Connect Secure 어플라이언스를 손상시켰다고 설명했는데요. Clancy는 업계가 점점 더 지능화되는 위협에 대응하여 더욱 정교한 사이버 보안 솔루션을 채택해야 한다고 강조했습니다. MITRE는 이번 사건에 대한 강평으로 다음과 같은 네 가지 주요 권장 사항을 언급했습니다.- 설계 원칙에 따른 보안 향상 : 하드웨어와 소프트웨어의 무결성을 담보하도록 합니다.- 안전한 공급망 운영 : 소프트웨어 BOM을 활용, 꾸준하게 최신화를 수행하고 취약점을 대비합니다.- 제로 트러스트 아키텍처 배포 : 다단계 인증 외에도 네트워크를 더 작게 세분화하여 제로 트러스트 구조를 구현합니다.- 지속적인 모의 해킹 훈련 수행 : 모의 침투를 꾸준히 수행, 방어의 한 부분이 되어 탐지 및 억제 훈련을 생활화합니다.이번 공격은 Ivanti1 Connect 보안 VPN2에 있던 취약점을 이용해 시도되었습니다. 해당 취약점은 CVE3-2023-46805 및 CVE3-2024-21887인데요. CVE3-2023-46805는 인증 우회 취약점입니다. 접속하는 네트워크 경로를 우회, 접속 검사를 무시할 수 있는 취약점이고 CVE3-2024-21887은 관리자 권한을 가진 인증된 사용자가 임의의 명령을 실행할 수 있도록 하는 취약점입니다. 이 두 가지 취약점이 결합되어 인증되지 않은 공격자가 임의로 관리자 권한을 탈취, 원격 코드를 실행할 수 있게 됩니다.이번 공격을 위해 공격자측은 12월 초부터 취약점을 악용, 해킹된 시스템에 대한 접속을 유지하고 다양한 자격 증명 데이터를 수집하기 위해 웹셸과 백도어를 배포해왔습니다. 해당 제로데이 취약점에 노출된 Ivanti1 어플라이언스 버전은 전 세계적으로 2100개 이상 존재하고 있습니다. 여기엔 Fortune 500대 기업을 포함한 대기업들이 존재하고 있습니다. 전 세계적으로 다양한 규모의 조직에 영향을 미칠 수 있는 상황인 것입니다. 공격의 규모와 심각성으로 인해 미 사이버보안 및 인프라 보안국(CISA)는 긴급 명령을 내려 연방 기관에 Ivanti1 제로데이 취약점에 대한 개선을 수행할 것을 지시한 바 있습니다.내부보안 강화 : 지속적인 이상 행동 탐지와 즉각적 조치 필요이 공격을 방어하기 위해선 로컬 파일 포함(Local File Inclusion) 및 명령어 인젝션 그룹을 기본적으로 거부 모드로 설정해야 할 필요가 있습니다. LFI란, 공격 대상 서버에 있는 디렉토리로 접근하여 원하는 값을 열어보게 하는 행동입니다. 웹 서비스 관리자가 이런 이상 행동이 발생하는지 탐지하기 위해선 API 호출을 유의깊게 관착할 피요가 있는데요. get4 함수에 내부 호출용으로 사용되는 명령어인 q, query, page, command, file, template, document, folder, pg 등의 변수가 혼입될 경우 LFI를 의심할 수 있습니다. 기본적으로 웹 서비스 공급자에겐 시큐어 코딩이라는 측면에서 API call 과정에서 get4 보다는 post5를 사용할 것이 권고되고, 구성되어 있는 WAS6에서 가급적 include를 조작할 수 없게 합니다만, 이런 injection7계열의 공격은 항상 주의할 필요가 있습니다.MITRE측은 "사건 감지 후 NERVE 환경을 오프라인으로 전환, 사건을 억제하기 위한 즉각적인 조치를 취했으며 내부 및 주요 제3자 전문가의 지원을 받아 신속하게 조사를 시작했습니다."고 공지하였으며, CEO인 Jason Providakes는 "어떤 조직도 이러한 유형의 사이버 공격으로부터 완벽하게 안전하지 않습니다."며 기업 보안을 강화하기 위해 적시에 사건을 공개하였다고 말했습니다.사이버 공격은 지속적으로 진화하고 있습니다. 핵심 인프라에 있는 제로데이 취약점을 비롯하여 가장 안전하다 생각하며 보안 아키텍처를 배포하는 국제기구까지 공격을 받고, 피해를 입을 수 있다는 것을 보여줬습니다. 그러나 이러한 문제 속에서도 피해를 파악하고 방어하는데 가장 중요한 것은 바로 경계심을 유지하고 준비하는 것이라는걸 알 수 있습니다. 최신 위협에 대한 최신 정보를 얻고, 강력한 보안 프로세스를 구축하고, 사이버 공격에 대한 취약점을 인식하고 대비하는 기업 문화를 조성함으로써 이런 위험에서 대비할 수 있습니다. 인텔렉추얼데이터는 고객의 소중한 법적 정보를 보호하기 위해 각종 보안 취약점에 대한 방어 체계를 수립하는데 최선을 다하고 있습니다. 이를 통해 더욱 안전한 리걸테크 환경을 구축, 선도하고자 합니다.
Oct 18 2024
안녕하세요 인텔렉추얼데이터입니다. 지난 수요일 미 CISA(US Cybersecurity and Infrastructure Security Agency, 사이버보안 및 인프라 보안국)은 사이버보안 사고 보고에 관한 규칙 초안을 공개했습니다. 이 규칙 초안에는 주요한 목표들이 설정되어 있는데, 이 규칙을 통해 미 연방 정부는 의료, 제조, 에너지, 금융 서비스, 운송, 수도 시설 등 핵심 시설에 침투하여 국가 운영에 영향을 줄 수 있는 침입에 대한 폭넓은 정보 수집을 달성하는 것을 목표로 합니다.미국 CISA, 새로운 사이버보안 사고 보고 규칙 공개2022년에 제정된 CIRCIA(Cyber Incident Reporting for Critical Infrastructure Act) 규정을 뒷받침하는 이번 규칙은 랜섬웨어로 인해 발생한 '데이터 인질극'이 발생했을때 협상 과정에서 지급된 '데이터 몸값' 추적 등을 비롯하여 보안 사고 전체를 효과적으로 모니터링할 수 있는 미 연방 정부의 역량을 향상시키는 것을 목표로 합니다. 알레한드로 마요르카스(Alejandro Mayorkas) 미 국토안보부 장관은 수집된 데이터를 통해 CISA 및 기타 관련 기관이 사고 대응 전략을 강화하고 국가의 중요 인프라 내 취약성을 정확히 찾아낼 수 있을 것이라고 강조했습니다.공개된 규칙 초안의 핵심은 조직이 중요한 사이버 사고를 72시간 이내에 보고하고 랜섬웨어 사고가 발생한 직후(혹은 협상을 위해 '데이터 몸값'을 지불한 시간에서) 24시간 이내에 보고할 것을 요구하고 있는데요. 많은 사이버 보안 커뮤니티에서는 매우 촉박한 기간이라고 말하고 있습니다. 거기다 기존에 있던 규정과 별개로 요구되는 추가적 규정이기 때문에 연방 및 주 차원에서 존재하는 36개 이상의 보고 요구 사항과 별개로 추가적으로 연방 지침을 수행해야 하게 됩니다.자칫 보안사고 대응 초기에 부담이 될 수 있는 규정 강화이런 제도 자체가 필요한 것이고, 좋은 의미에서 제정되었으나 중복이 많고 복잡한데다 시간마저 매우 촉박하게 강요되는 지침은 보안조직의 운영에 혼란을 초래할 위험이 있습니다. 또한 가뜩이나 복잡한 초기 사이버 공격 대응/평가 작업에 더 많은 부하를 가하겠지요. 보안 커뮤니티에서는 이번 CIRCIA 규정에 대해 "특정 사건을 자세히 공개하면 악의적인 행위자가 이를 참조로 다시 공격할 수 있는, 소위 모방 범죄가 발생할 수 있다"고 평가했습니다. 또한 전체적으로 "비용이 많이 드는데다 너무 중복되는 규정이 많다"고 했는데요. 이는 궁극적으로 업무 강도가 너무 높아져 보안 인력에게 부담이 될 것이라고도 평했습니다.매번 강화되는 보안 규정에 대응하기 위한 방안이번 규칙 초안의 핵심은 사이버 사고 및 랜섬웨어 사고가 발생했을 때 보고를 위해 보다 명확한 프레임워크를 수립하는 것을 목표로 하는데요. 해당 사건 보고서에 대한 기밀 처리 작업과 익명화된 통계 게시 작업을 포함하겠다고 밝히며 CISA는 모방 범죄에 대한 우려를 어느 정도 불식시키기도 했습니다. 문제의 핵심은 이러한 규정에 대한 필요성을 판단하는 것이 아닐 것입니다. 증가하는 보안사고를 막기 위해서, 중요한 국가 기반시설의 안전한 운영을 담보하기 위해서라도 미 연방 정부는 이런 규정을 더욱 엄격하게 적용시키고 발전시켜 나갈 것이 명약관화합니다. 중요한 것은 현업에서 기업들이 어떤 방식으로 대응해야 과도한 부담 없이 연방정부의 엄격한 보안에 대한 규정을 대응할 수 있을까 하는 방법을 찾는 것입니다.아래와 몇 가지 지침과 같이 CISO는 이런 문제에 대한 대응을 하기 위한 방법을 고민해 볼 수 있을 것 같습니다.- 보안 거버넌스 프로세스 혁신 : CISO는 새로운 요구 사항을 보안 거버넌스 프로세스, 지표 및 워크플로우의 효율성을 향상시켜야 합니다- 보안 사고 대응 절차 개선 : 더 빠르고 자세한 공개에 대한 새로운 요구를 감안하여 CISO는 보안 사고 대응 절차를 개선, 로그 분석 빈도를 높이고 침투를 좀 더 상세하게 관측, 이상 발생 시 보고 프로세스를 자동화해야 합니다.- 보안 컴플라이언스 및 리스크 관리 방안 개선 : CISO는 CISA(및 SEC) 규칙에 맞춰 컴플라이언스 및 리스크 관리 방안을 개선해야 하며, 법적 위험을 관리하기 위해 내부 커뮤니케이션에 주의를 기울여야 합니다.- 컴플라이언스 준수를 위한 대응 절차 및 프로세스 확립 : 보안 사고에 대한 대응 및 컴플라이언스 준수를 위한 작업 프로세스를 자동화된 방식으로 수집, 분류 및 보고하는 시스템에 투자하여 객관적으로 컴플라이언스 준수 상태를 확인, 개선이 필요한 영역을 빠르게 식별할 수 있습니다.- 기존 보안 작업 최적화 : 사고 분류 시간이나 대응 절차 준수율, 준수 단계와 같은 KPI를 설정하여 워크플로우를 조금 더 신속하고 투명하게 개선해야 하며, 보안 및 컴플라이언스 작업에 자동화를 적극적으로 활용해야 합니다.- 명확한 경영진 역할 및 책임 설정: CISO 및 보안 팀은 CEO, CFO를 비롯하여 여러 관계자와 협력하고 훈련을 수행하는 과정에서 커뮤니케이션 채널을 충분히 확보해야 합니다.수많은 난점과 행정, 기술적 복잡성이 증가함에도 불구하고 구체화된 CIRCIA는 미 연방 정부가 의료에서 금융 서비스에 이르기까지 모든 주요 인프라 부문에 걸쳐 사이버 보안 규정을 표준화하겠다는 강력하고 포괄적인 노력이 가시화 된 것으로 볼 수 있습니다. 이를 통해 향후 미국을 포함해 국제 표준이 될 보안 사고에 대한 대응이 어떻게 이루어질지 대략적으로나마 예측할 수 있겠죠. 미국 정부, 혹은 미국 내 기업과 최소한의 관계를 유지하는 IT 기업들 역시 촉각을 곤두세우고 대응해 나가야 할 것입니다. 특히 E-Discovery와 같이 크리티컬한 영역으로 해석될 수 있는 법률-IT 영역은 더더욱 충분한 대비가 필요한 상황입니다.인텔렉추얼데이터는 국내 대표 E-Discovery 기업으로 보안을 위한 전문 인력 배치, 지속적인 교육과 훈련을 통해 높은 수준의 데이터 보안을 유지하고 있습니다. 해외 소송 상황과 같이 기업의 민감하고 중요한 데이터에 대한 E-Discovery 필요하다면, 인텔렉추얼데이터의 전문가와 상담 받아보세요.
Oct 18 2024
안녕하세요. 인텔렉추얼데이터입니다.Web 3.0 보안 프로젝트 CertiK(서틱)은 「Hack3d: 2024년 1분기 Web3.0 보안 보고서」에서 지난 1분기동안 약 5억 달러 이상의 경제적 손실이 발생했다고 밝혔습니다. 전년 동기 대비 54% 이상 증가한 값인데요. 개인 키 유출 사례가 다시금 주요 공격 수단으로 드러나면서 블록체인의 보안도 체인을 생성하는 합의 알고리즘에서의 무결성은 보장될 수 있을 가능성이 있다 해도, 개인 키가 유출되면서 생기는 문제는 해결할 수 없다는 것을 잘 드러냈습니다. 특히 스마트컨트랙트(Smart Contract)를 활용하며 다양한 활동을 하는 이더리움 체인에서 131건의 보안 사고가 발생했는데요. 여기서만 약 1.39억 달러의 손실이 발생했습니다. 스마트컨트랙트를 비롯한 블록체인 거래 활성화 시에 개인 키가 사용되는 것에서 위험에 많이 노출되면 그만큼 사고가 날 가능성이 높아진다는 것을 손쉽게 짐작할 수 있습니다.보안훈련을 통해 밝혀지는 취약점 가장 보안이 강력하다 하고 복잡한 암호를 사용하는 블록체인 업계에서도 이런 문제가 터지는데, 다른 업계에서도 보안사고가 터지지 않을 리가 없습니다. 이런 사고를 막기 위해 암호를 다양하게 바꾸기도 하고, 엔드포인트 솔루션을 도입해서 유출을 사전에 차단하기도 하지만 가장 선제적으로 수행할 수 있는 것은 취약점을 사전에 막고 이상행동을 탐지할 수 있는 보안훈련인데요. 미국 CISA(Cybersecurity and Infrastructure Security Agency, 사이버보안 및 인프라 보안국)에서는 사이버 스톰(Cyber Storm)이라는 훈련을 준비하고 있습니다. 이 훈련은 매 2년마다 실시되는데, 지난 훈련 강평 과정에서 발견된 문제는 "다양한 관계자들이 계획에 포함된 조치와 프로세스를 완전히 이해하지 못하는 경우가 많다는 것"이었습니다.시스템 규모와 성능 향상으로 인한 해킹 탐지의 어려움 보안 사고는 가장 취약한 고리를 타고 들어옵니다. 바로 이 말이 가장 잘 들어맞는 강평이 아닐 수 없는데요. 현대 IT 시스템은 굉장히 복잡하고, 연계된 솔루션들도 많으며, 담당자라 하더라도 이를 완벽하게 파악하지 못하는 일이 많습니다. 게다가 전체적으로 시스템 성능이 향상되고 규모가 매우 커지다보니 시스템 한 구석에서 발생하는 브루트 포스 공격이나 레이스 컨디션 공격 같은건 의외로 전체 시스템 성능에 영향을 크게 주지 못하여 파악하기 힘든 경우도 많습니다. 거기다 해킹 역시 굉장히 단시간에 일어납니다. 작년 1월 카카오 개발자 커뮤니티에서 오픈채팅 보안 취약점이 경고된 적 있는데요. 실제 이 취약점을 이용한 모의 공격에서 오픈채팅방에 접근한 해커가 단 2시간만에 해당 닉네임과 연결된 전화번호, 실명, 숫자로 구성된 유저 아이디 등 개인정보를 정확히 추출해낸 적도 있었습니다. 문제는 이것 역시 파악이 힘들다는 겁니다. 전자신문에서 시행했던 이 모의 공격에서 개인정보가 유출된 오픈카톡방을 특정해서 전달 했었으나 다음카카오측에서는 접근 흔적을 알아내는 데 40시간 이상 소요되기도 했었죠. 개설된 오픈채팅방이 너무 많아서 이상 접근에 대한 실시간 모니터링이 불가능하기 때문입니다.오픈소스와 상호 연계 시스템을 파고드는 해킹 공격 굉장히 극단적인 사례로 얼마 전에 있었던 XZ 오픈소스에 대한 공격 사건을 들 수 있습니다. 이 사건은 마이크로소프트 엔지니어가 평소 SSH 접속에 걸리는 시간이 0.299초인데 0.807초 걸리는 것을 확인하고 조사해서 발견되었는데요. 이 사건은 무려 3년간 준비된 공격이었고 유닉스 계통 시스템에서 거의 표준으로 사용되고 있었다는 점에서 더욱 문제였습니다. 특히 XZ와 같이 믿을 수 있고 널리 사용되는 오픈소스에 의도적으로 접근해 다른 개발자들처럼 애정과 열정을 수년 간 보이며 신뢰를 쌓아오며 메인테이너(Maintainer) 계정까지 획득한 개발자가 몰래 백도어를 심었다는데서 더욱 큰 문제가 되었습니다. 문제는 대부분의 OS, 보안 솔루션, 각종 비지니스 솔루션 역시 오픈소스에 크게 의존하고 있다는건데요. 이러다보니 각 시스템의 연계, 사용 중이던 시스템과 솔루션에 대한 분석, 가장 취약한 고리를 분석하는 과정이 중요하고 보안 훈련을 꾸준히 수행하는 것이 필요해지는 이유입니다.보안인증 만큼이나 중요한 지속적 보안관리 한번 ISO-27001과 같은 보안 인증을 받았다고 해서 그것이 끝이 아니라, 지속적인 탐지와 감시, 취약점 사례에 대한 분석과 보안 패치 등이 필요한겁니다. 무엇보다 보안 이슈에 늘 관심을 가지고, 최신화된 보안 사고에 귀를 기울이며, 시스템 간 연결되는 취약점을 최소화할 수 있는 사람이 필요해지고 있어요. 2023년 이데일리에서는 정부가 ‘사이버보안 10만 인재 양성’ 사업을 추진하고 있지만 업계 반응은 떨떠름하다고 했습니다. 기사에서는 지니언스시큐리티센터(GSC)센터장의 발언을 인용, "우리나라는 워낙 공격을 많이 받는 입장이다 보니 방어 기술을 익힌 전문인력에 대한 수요가 크다. 이 같은 인력들을 현장에서 구하기도 어렵고, 정부 교육을 수료한 인력들 또한 화이트 해킹이나 취약점 분석 쪽에 치우쳐져 있다는 지적도 많다"고 했는데요. 순천향대학교 염흥열 교수는 "보안인력의 부족은 우리나라만의 문제가 아니며 전 세계적 차원의 문제이고, 앞으로 더 심화될 것"이라 언급한 바 있습니다.꾸준히 최신화된 보안 훈련을 이수하고, 전문화된 인력을 통해, 지속적인 탐지를 하고, 사고에 대한 대비를 하는 것이 정보보호 관리체계 유지의 필수불가결한 요소입니다. 소송 정보, 아니 소송 자체가 갖는 민감성이 더욱 심화되는 지금, 기업 보안 제고를 위한 선택이 더욱 중요해지는 시점입니다. 전문화된 인력과 믿을 수 있는 사건 담당자들이 체계화된 업무 프로세스를 통해 다양한 공격을 성공적으로 방어하고, 취약점 대비 보안 훈련을 매년 이수하며, 고객들의 정보를 안전하게 관리하기 위해 노력하는 업체가 E-Discovery에도 필요해지는 상황입니다.인텔렉추얼데이터는 E-Discovery 대표 기업으로써 데이터 보안의 중요성을 인지하고 보안 전문 인력의 배치와 지속적인 사내 보안 교육, 각종 취약점 공격을 대비한 정기적인 훈련을 수행하고 있습니다. 소송과 관련된 기업의 중요 데이터도 안심하고 맡길 수 있는 E-Discovery가 필요하시다면 지금 인텔렉추얼데이터의 전문 컨설팅을 받아보세요.
Oct 18 2024