기술 지원
문서
로그인
문의하기
고등 교육 기관의 취약성 관리 현대화
2023년 1월 18일 TuxCare 홍보팀
대학은 취약점을 악용하고 교직원을 속여 멀웨어, 스파이웨어, 랜섬웨어로 시스템을 감염시키려는 사이버 범죄자들의 집중적인 표적이 되고 있습니다. 민감한 데이터를 보호하기 위해 이러한 기관은 사용 중인 소프트웨어에서 발견되는 취약점에 패치를 적용해야 합니다.
그러나 취약점이 빠른 속도로 발견되기 때문에 IT 팀은 패치를 따라잡는 데 어려움을 겪는 경우가 많습니다. 게다가 패치를 배포하는 데 필요한 재부팅을 실행하기 위해 Linux 시스템을 오프라인 상태로 전환하면 유지 보수 기간을 공지해야 하므로 누구도 원치 않는 다운타임이 발생합니다.
다행히도 대학 IT팀이나 보안 운영팀에서 사용하는 Linux 배포판의 조합에 관계없이 Linux 패치 일정을 가속화하고 패치 관련 다운타임을 최소화하기 위해 활용할 수 있는 기술이 있습니다.
해커들의 대학 표적 공격이 계속되고 있습니다
글로벌 및 국내 대학은 일반 범죄자부터 국가가 후원하는 사이버 공격 그룹까지 다양한 악의적 행위자의 표적이 되고 있습니다. 고등 교육 기관은 학생과 교직원의 개인 정보와 귀중한 연구 데이터를 저장하는 경우가 많으며, 이러한 정보가 도난당해 암시장에서 판매되거나 랜섬웨어 공격으로 인질로 잡힐 위험에 처해 있습니다.
고등 교육 기관에서 이러한 사이버 위험에 대한 인식이 높아지고 있지만, 예산과 내부 사이버 보안 전문성 확보에 대한 어려움이 가중되고 있습니다.
미국 국토안보부가 산업별 사이버 보안 현황을 평가한 결과, 고등 교육 기관의 순위가 최하위권에 머물렀다는 사실이 밝혀졌습니다. 이 문제는 미국에만 국한된 것이 아닙니다. 영국 정부가 발표한 2022년 7월 보고서에 따르면, 영국 고등 교육 기관의 92%가 전년도에 공격이나 침입을 경험한 것으로 나타났습니다.
내부로부터의 사이버 위협
고등 교육의 자산에는 학생, 교직원, 기부자의 연구 데이터와 개인 정보가 포함됩니다. 외부 해커와 사이버 범죄자들은 이 귀중한 데이터에 액세스하고 이를 훔치기 위해 더욱 정교한 공격 방법을 계속 개발하고 있지만, 대학은 내부자 위협이라는 상당히 까다로운 공격 벡터에도 직면해 있습니다.
컴퓨터 과학, 물리학, 공학과 관련된 대학 프로그램은 양날의 검과 같은 수렁입니다. 대학은 학생들에게 소프트웨어 엔지니어, 사이버 보안 엔지니어, 네트워크 설계자가 되는 방법을 교육하지만, 동시에 나중에 더 나은 해커가 되기 위해 필요한 기술을 제공합니다.
해커는 학교 내부 학생의 도움을 받아 랜섬웨어를 사용하기도 합니다. 많은 학생들이 이메일 피싱 공격을 통해 외부 해커에게 금전을 갈취당하는 경우가 많습니다.
내부자 위협에 대한 우려가 커지면서 많은 대학에서 기존의 온프레미스 교육 플랫폼 대신 마이크로 세분화 네트워크와 클라우드 기반 실습실을 구축하기 시작했습니다. 교육 학습 시스템을 재무, 연구 및 학생 데이터를 포함한 핵심 대학 시스템으로부터 분리하면 학생 해커의 공격 표면이 줄어듭니다. 그러나 이러한 억제책만으로는 학생과 불만을 품은 교수진의 공격 시도를 줄일 수 있는 방법은 거의 없습니다.
고등 교육 기관에 대한 보안 침해
많은 대학과 연구 기관에서는 출시 예정인 제품에 관한 산업 기밀부터 군사 기밀 연구까지 기밀 비공개 정보를 저장합니다. 사이버 범죄자들은 다양한 이유로 이러한 정보를 노립니다.
예시 1: Zagreb 대학교는 심각한 위협에 직면했습니다. 다른 교육 기관과 마찬가지로 사이버 범죄자들은 기밀 군사 연구 데이터에 액세스하려고 시도하고 대학 데이터 센터 내에 있는 네트워크를 지속적으로 공격했습니다.
예 2: 서퍽 대학교는 권한이 없는 사용자가 여권, 운전면허증, 재무 기록을 포함한 학생 정보에 액세스하여 추출한 사실을 발견하고 여러 주의 법무장관실에 데이터 유출을 보고했습니다.
예 3: 시에라 칼리지는 학교에 대한 랜섬웨어 공격으로 인한 데이터 침해 사실을 몬태나주 법무장관에게 알렸습니다. 이 침해로 인해 해커는 특정 학생과 직원의 이름, 주소, 의료 기록 등 개인 정보에 액세스할 수 있었습니다.
예제 4: 2022년 녹스 칼리지 은 대학 재무 시스템을 대상으로 한 랜섬웨어 공격을 받았습니다. 이 사건은 해커가 학생에게 직접 연락하여 협박하고 금품을 갈취한 미국 최초의 사례로 알려져 있습니다.
교육기관은 학생과 교직원의 연구 데이터와 민감한 개인 데이터 외에도 개인 기부자, 글로벌 기업, 정부 기관의 민감한 기부자 정보를 호스팅합니다. 사이버 범죄자들은 알려진 취약점과 알려지지 않은 취약점을 악용하여 이러한 민감한 데이터를 지속적으로 훔치려고 시도하며, 이러한 정보가 유출되면 향후 등록 및 자금 지원 기회에 영향을 미칠 수 있습니다.
대학 보조금 파이프라인에 중요한 연구 데이터 보호
미국의 고등 교육을 위한 중요한 자금원은 연구 보조금입니다. 많은 기관, 기업, 정부 기관이 대학에 새로운 실험실과 과학 센터를 짓는 데 필요한 자금을 지원하여 교수와 학생들에게 실제 경험을 제공합니다. 대학은 연구비 파이프라인을 통해 국제적인 인정을 받고 우수한 학생들을 유치할 수 있습니다.
연구비를 통해 생성된 데이터는 대학과 연구비 지원 기관이 상호 공유하는 지적 재산이 됩니다. 이 지적 재산은 향후 대학에 재정적 횡재를 가져올 수 있습니다.
사이버 보안 공격으로 인해 대학에서 데이터 유출 또는 데이터 개인정보 보호 위반이 발생할 경우 현재 및 향후 보조금에 상당한 영향을 미칠 수 있습니다. 교육기관과 정부 기관은 대학이 지원금을 받기 전에 데이터 개인정보 보호 규정 준수 체제를 준수할 것을 요구하는 경우가 많습니다. 많은 자금 지원 기관은 대학에 주기적으로 타사 사이버 보안 위험 평가 및 침투 테스트를 제출하여 필요한 모든 보안 적응형 제어가 마련되어 있는지 검증하도록 요구합니다.
고등 교육 기관은 어떤 규정 준수를 달성해야 하나요?
고등 교육 시스템은 재무 및 연구 데이터를 포함한 다양한 형태의 정보를 수집하고 저장합니다. 저장된 모든 데이터는 대학이 엄격한 보안 규정을 준수해야 하는 규정 준수 또는 개인정보 보호 의무에 해당합니다.
- 많은 대학에서 결제 카드 거래를 처리하고 학생의 결제 카드 데이터를 저장합니다.
- 고등 교육 기관은 광범위한 데이터 보호와 제한적인 액세스 제어가 필요한 공공 및 민간 기업을 위한 연구를 수행합니다.
다음은 대학에서 준수해야 할 두 가지 규정 준수 사항입니다:
결제 카드 업계 데이터 보안 표준(PCI DSS)
대학 및 고등 교육 시스템 전반에서 결제 카드는 등록금 납부, 학교 서점에서 물품 구매, 캠퍼스 내 커피숍에서 음식 및 음료 구매 등 모든 용도로 사용할 수 있게 되었습니다. 결제 카드를 수락하는 대학은 PCI DSS 규정 준수 의무를 준수해야 합니다. 해커와 사이버 범죄자들은 대학 결제 시스템, 특히 타사 제공업체에 아웃소싱된 시스템을 표적으로 삼습니다. 해커는 이러한 공급업체를 공격함으로써 한 번의 공격으로 여러 대학에 영향을 미칠 수 있습니다.
2021년에 해커들이 보스턴 대학교의 신용카드 시스템에 침입하여 학생 서점을 해킹했습니다. 타사 신용 카드 처리 제공업체를 공격하여 보스턴 대학교 및 기타 고등 교육 기관에 영향을 미쳤습니다.
PCI 규정 준수에 대한 필요성 패치하기
PCI DSS 요구 사항 6.2 에는 공급업체의 해당 보안 패치를 설치하여 알려진 취약점으로부터 모든 시스템 구성 요소와 소프트웨어를 보호하는 것이 포함됩니다. 결제 카드 처리 호스트 시스템에서 CVE가 게시된 후 30일 이내에 모든 패치를 구현해야 합니다.
조직은 종종 결제 처리 플랫폼의 다운타임을 줄이기 위해 중요한 CVE만 패치를 적용하는 데 의존합니다. 그러나 PCI 감사관은 내부 위험 분류에 관계없이 위험 수준에 관계없이 조직에 PCI 6.2에 대한 책임을 물을 것입니다.
대학은 라이브 패치 솔루션을 구현하여 패치 Lifecycle를 자동화하고 패치 관련 다운타임을 완전히 방지함으로써 PCI DSS 패치 요건을 보다 쉽게 준수할 수 있습니다. 라이브 패치는 Linux 시스템이 실행되는 동안 CVE 패치를 배포하므로 재부팅할 필요가 없으며, 이러한 패치를 자동화할 수 있으므로 IT 팀이 패치에 소요되는 시간을 최소화할 수 있습니다.
라이브 패치 접근 방식을 사용하면 취약성 패치가 자동 조종 장치에 의해 수행되는 또 하나의 PCI 규정 준수 구성 요소가 될 수 있으므로 대학 직원이 다른 중요한 업무에 더 많은 시간을 할애할 수 있습니다.
NIST 800-171
연방 정부 보조금을 받는 연구 시설로 지정된 대학 및 고등 교육 기관은 NIST 800-171을 준수해야 합니다.
NIST 800-171은 연방 정부가 비연방 기관과 공유하는 CUI(통제된 미분류 정보)에 적용됩니다. 고등 교육 분야에서 연방 정부는 연구 또는 연방 기관의 업무 수행을 위해 기관과 데이터를 공유하는 경우가 많습니다.
NIST 800의 유지 보수 섹션(MA)에서는 조직이 시스템 패치를 위해 권장되는 워크플로우를 따라야 하는 특정 단계를 자세히 설명합니다:
MA 3.7.1
조직에서 사용하는 모든 시스템, 장치 및 애플리케이션은 제조업체의 소프트웨어 패치 권장 사항 또는 조직에서 정의한 시스템 업데이트 일정에 따라 유지 보수해야 합니다.
MA-6: 적시 유지보수
조직은 시스템 구성 요소가 제대로 작동하지 않을 경우 운영 및 자산, 개인, 다른 조직, 국가에 위험을 초래할 수 있는 시스템 구성 요소를 식별합니다. 이 문제를 해결하려면 위치에 관계없이 모든 시스템을 업데이트할 수 있는 패치 및 수정 기능이 있어야 합니다.
MA-7 현장 유지보수(분산형 IT)
시스템 또는 구성 요소가 현장에 도입되면 조직은 공급업체 및 업계 표준을 충족하는지 확인하기 위해 모든 소프트웨어 및 하드웨어 유지 보수를 수행해야 합니다. 대학은 분산된 환경에서도 시스템 패치에 각별한 주의를 기울여야 합니다. 많은 소규모 대학 부서는 데이터베이스, 클라우드 인스턴스, ID 시스템을 구축하면서 대학 전체 네트워크를 더 큰 위험에 노출시킵니다.
NIST 800-171에 대한 취약점 패치 간소화
대학 데이터 센터 또는 클라우드 내에서 연구 데이터를 호스팅하는 중요 시스템에 패치를 적용하는 것은 NIST 800-171을 준수하는 데 매우 중요합니다. 장시간의 서비스 중단을 예상하면서 프로덕션 연구 시스템에 패치를 적용해야 하는 대학은 라이브 패치 방식을 채택하여 예약해야 하는 다운타임을 줄이고 패치 관련 재부팅을 피할 수 있습니다. 또한 라이브 패치를 활용하면 기관이 제로데이 공격에 악용될 위험도 최소화할 수 있습니다.
왜 TuxCare인가?
사이버 공격과 데이터 손실은 사이버 범죄의 영향을 가장 많이 받는 산업 중 하나로 꼽힐 만큼 교육 업계가 직면한 상시적인 위협입니다. 방대한 양의 민감한 연구 데이터를 보유하고 있는 대학에서는 자산을 위험에 빠뜨리는 취약점을 신속하게 패치하는 것이 중요합니다.
TuxCare의 자동화된 라이브 패치 솔루션은 조직이 유지 보수 기간이나 다운타임을 기다릴 필요 없이 취약성을 신속하게 제거하여 Linux 시스템을 보호합니다.
대학 및 대학교의 SecOps, DevSecOps 및 일반 IT 팀은 TuxCare를 사용하여 패치 관련 다운타임과 재부팅을 피하면서 모든 인기 있는 Linux 배포판에서 스테이징, 테스트 및 프로덕션을 통해 새로운 패치를 자동으로 적용할 수 있습니다.
TuxCare는 공유 라이브러리, 데이터베이스, 가상 머신 환경 및 IoT 장치에 대한 라이브 패치도 제공합니다. 또한, 단일 배포판에서만 작동하는 많은 라이브 패치 대안과 달리 TuxCare 라이브 패치는 널리 사용되는 모든 엔터프라이즈 Linux 배포판을 지원할 수 있습니다.
스케줄 전문가와의 대화를 통해 TuxCare의 실시간 패치 자동화가 어떻게 작동하는지에 대한 맞춤형 설명을 들을 수 있습니다.
