국가 행위자가 인프라를 표적으로 삼을 수 있습니다: 패치 적용이 제대로 이루어지고 있나요?
인프라는 액체를 운반하는 파이프라인, 데이터 센터, 수년간 구축한 개발 프로세스 등 모든 비즈니스의 핵심입니다. 인프라에 심각한 손상을 입은 조직은 복구하는 데 매우 오랜 시간이 걸릴 수 있으며, 경우에 따라서는 이전 상태로 복구하지 못할 수도 있습니다.
위협 공격자들에게 인프라는 가장 큰 표적 중 하나입니다. 위협 행위자는 기업의 인프라를 공격함으로써 막대한 피해를 입히거나 거액의 몸값을 요구할 수 있습니다. 위협 행위자가 외국 국가일 경우 그 위험은 정말 커집니다.
그러나 인프라 공격은 누가 선동하든 다른 사이버 보안 침해와 동일한 공격 벡터를 많이 사용합니다. 이 글에서는 국가 행위자들이 정부 및 비즈니스 인프라를 자주 표적으로 삼는 방법과 시스템을 패치하는 것이 최선의 방어선 중 하나인 이유에 대해 간략하게 설명합니다.
인프라란 무엇이며 어떤 위험이 있나요?
인프라는 조직의 기본 요소입니다. 인프라는 운영을 지원하고 효과적으로 기능할 수 있도록 지원합니다. 여기에는 장비 및 시설과 같은 물리적 리소스는 물론 프로세스, 시스템, 정책과 같은 조직 구성 요소가 포함될 수 있습니다.
강력한 인프라를 구축하는 조직은 운영을 간소화하고 효율성을 높이며 궁극적으로 수익성을 개선할 수 있습니다.
반대로 조직의 인프라가 손상되면 다운타임, 데이터 손실 또는 도난, 재정적 손실, 규정 미준수, 평판 손상, 운영 중단, 직원 사기 저하 등 다양한 위험과 결과를 초래할 수 있습니다.
위협 행위자는 공격이 성공하면 표적의 운영, 평판, 재정 상태에 중대한 영향을 미칠 수 있다는 것을 알고 있습니다. 따라서 조직은 사이버 보안 공격으로 인한 인프라 피해 위험을 예방하기 위한 조치를 취하고 피해가 발생할 경우 신속하고 효과적으로 대응할 수 있는 탄탄한 계획을 수립하는 것이 중요합니다.
국가 행위자는 누구이며 어떻게 인프라를 표적으로 삼나요?
사이버 보안에서 국가 위협 행위자는 다른 국가, 조직 또는 개인을 대상으로 사이버 공격을 수행하기 위해 정부 또는 국가 기관의 후원 또는 지시를 받는 개인 또는 그룹을 의미합니다.
국가 위협 행위자는 고도로 숙련되고 자원이 풍부할 수 있으며 스파이 활동, 정치적 또는 경제적 이득, 중요 인프라 중단, 사보타주 등 다양한 동기를 가질 수 있습니다. 피싱, 멀웨어, 랜섬웨어, 서비스 거부(DoS) 공격, 지능형 지속 위협(APT) 등의 전술과 기법이 사용됩니다.
일부 분석가들은 국가 위협 행위자를 가장 정교하고 위험한 사이버 위협 유형으로 간주하는데, 이는 국가 위협 행위자가 국가의 지원을 받고 상당한 리소스, 인텔리전스 및 전문 지식에 액세스할 수 있기 때문입니다.
위협 행위자에 의한 공격의 예
국가가 후원하는 사이버 공격을 방어하는 것은 어려운 일이며, 이를 위해서는 강력한 방어, 강력한 보안 정책, 효과적인 사고 대응 계획 등 높은 수준의 사이버 보안 대비가 필요합니다. 안타깝게도 항상 잘 되는 것은 아닙니다.
다음은 성공적인 공격의 몇 가지 예입니다:
- 솔라윈즈 공격: 2020년 말, 러시아 국가가 후원하는 해커들이 미국 정부 및 기타 조직에 서비스를 제공하는 텍사스 소재 IT 회사인 SolarWinds의 소프트웨어 공급망을 손상시킨 것으로 밝혀졌습니다. 해커들은 SolarWinds의 소프트웨어 개발 인프라에 백도어를 삽입했으며, 이 백도어는 SolarWinds의 많은 고객들에게 배포되었습니다.
- 식민지 파이프라인 공격: 2021년 5월, 다크사이드라고 알려진 러시아 범죄 집단이 미국 최대 송유관 운영사 중 하나인 콜로니얼 파이프라인의 컴퓨터 시스템을 해킹했습니다. 해커들은 랜섬웨어를 사용하여 회사의 데이터를 암호화했습니다. 이 공격으로 인해 회사 운영에 상당한 차질이 발생했으며 미국 여러 주에서 연료 부족과 가격 인상으로 이어졌습니다.
- 올드스마르 정수장 공격: 2021년 2월, 해커가 플로리다주 올즈마르에 있는 정수 처리장의 컴퓨터 시스템에 원격으로 액세스했습니다. 해커는 상수도의 수산화나트륨(잿물) 수치를 위험한 수준까지 높이려고 시도했습니다. 이 공격은 피해가 발생하기 전에 발견되어 예방되었습니다.
- OPM 데이터 유출: 2015년 중국 해커들이 연방 직원의 보안 허가 및 인사 기록을 처리하는 미국 인사관리처(OPM)의 컴퓨터 시스템을 침해했습니다. 이 침해로 인해 보안 허가 데이터를 포함하여 수백만 명의 현직 및 전직 공무원의 민감한 개인 정보가 노출되었습니다.
2015년 우크라이나 전력망 공격에서 볼 수 있듯이 전 세계에서도 이러한 공격이 발생하고 있습니다.. 러시아 정부와 연계된 해커 그룹이 우크라이나 전력망의 컴퓨터 시스템에 사이버 공격을 가해 20만 명 이상이 피해를 입은 정전 사태를 일으켰습니다. 이 공격은 사이버 공격이 정전을 일으킨 최초의 사례로 알려져 있습니다.
모든 사례에서 공격자는 물리적 및 전자적 주요 인프라에 침투했습니다.
패치되지 않은 취약점은 여전히 주요 관문입니다.
알려진 취약점은 국가 공격자가 피해자의 네트워크에 침입한 후 공격을 진행하고 실행하는 가장 일반적인 방법 중 하나입니다. 대부분의 조직이 패치를 올바르게 적용하여 일관된 패치를 통해 시스템을 보호할 것이라고 생각할 수 있지만 현실은 다릅니다.
이는 여러 가지 요인이 복합적으로 작용하기 때문입니다. 일부 조직은 인식 부족으로 인해 패치를 우선순위에 두지 않습니다. 그러나 대부분의 경우 일관성 없는 패치는 관련 워크로드 관리의 어려움에서 비롯됩니다.
매년 수천 개의 새로운 취약점이 등장합니다. 대규모 조직에서는 제한된 팀에서 수많은 패치를 수행해야 한다는 의미입니다. 패치 자동화가 도움이 될 수 있지만, 여전히 다운타임을 예약하는 문제가 있습니다. 종종 운영 중단이 감당하기 어려울 정도로 커서 패치가 꽤 오랜 시간 지연되는 경우가 많습니다.
그 결과, 아무도 신경 쓰지 않아서 패치되지 않은 취약점이 있는 시스템이 어딘가에 존재하고 있으며, 이는 악의적인 국가 행위자가 인프라 공격을 수행할 방법을 찾을 수 있는 완벽한 기회입니다.
앞으로 나아가는 방법으로서의 라이브 패치
라이브 패치는 이 문제에 대한 간단한 해결책을 제공합니다. 라이브 패치를 사용하는 팀은 패치를 적용하기 위해 시스템을 재부팅할 필요가 없습니다. 대신 라이브 패치는 운영 중단 없이 보안 코드를 실행 중인 서비스에 통합합니다.
라이브 패치가 제공하는 기본 제공 자동화를 추가하면 알려진 보안 취약점을 일관되게 패치할 수 있는 솔루션이 원활하게 작동합니다. 결과적으로 국가적 위협 행위자가 공격을 감행할 기회가 줄어들어 인프라가 더 안전해집니다.
TuxCare를 사용하면 Linux OS, 데이터베이스 등 다양한 서비스를 실시간으로 패치할 수 있습니다. TuxCare의 라이브 패치 작동 방식에 대해 자세히 알아보려면 여기를 클릭하세요.