랩서스발 해킹들, 무엇을 주목해야 하는가

최근 몇개월 동안 글로벌 테크 업계는 자칭 '랩서스'(LAPSUS$)라는 해킹그룹 때문에 이런저런 소란들을 겪었다. 

엔비디아, 삼성전자는 물론 유비소프트 같은 게임 업체들까지 당한 것으로 알려지면서 랩서스는 단숨에 이슈 메이커로 부상했다. 빅테크 기업 중 하나인 마이크로소프트, 클라우드 기반 ID 보안 업체인 옥타까지도 랩서스 공격에서 자유롭지 못했다.

랩서스 활동 패턴에 대한 분석 결과를 보니 기업들 입장에서 진화하는 보안 침해에 대처하기가 점점 까다롭고 피곤해질 것 같다는 생각도 든다. 랩서스발 보안 사고들은 서드파티 및 권한을 가진 ID에 대한 접근을 보다 정밀하게 감시하고 포렌식 분석 역량이 갖는 중요성을 부각하는 계기가 됐다는 평가가 나오고 있다. 

제로 트러스트 측면에서도 의미는 사건으로 보인다. 포레스터 애널리스트들은 랩서스발 보안 침해가 기승을 부렸던 3월말 몇가지 시사점을 정리해 온라인에 공유했는데, 제로 트러스트에 대한 접근도 부각했다.

[사진: Pixabay]

사용자 신원과 접근, 제대로 살펴라

마이크로소프트가 블로그에 공개한 내용을 보면 랩서스는 공격 대상으로 삼은 회사 시스템에 대한 접근 권한을 얻기 위해 해당 회사 또는 외부 공급업체, 파트너사 직원들에게 돈을 주는 기법도 사용했다. 이렇게 권한을 확보한 뒤 랩서스는 희생자들 마음 상태, 대응 계획, 침입에 대해 어느정도 알고 있는지를 파악하기 위해 사고대응 회의나 내부 논의에도 참가하는 대담한 행동을 펼쳤다. 온라인 미팅에 들어온 사람이 동료인줄 알았는데, 알고 보니 해커였을 수 있다는 얘기다.

이와 관련해 포레스터의 안드라스 시어(Andras Cser) 부사장 겸 수석 애널리스트는 "위협의 풍경을 바꾸는 것"이라며 "누가 참여하는지 제대로 알아야 한다. 대규모 회의라면 특히 그렇다"고 말했다.

포레스터가 랩서스와 관련해 강조한 것은 내부 회의 참가자 인증, 사용자 접근 관리, 그리고 지속적인 모니터링이다.

이와 함께 특별한 권한에 대한 접근, 예를 들면 관리자 계정을 가진 사용자, 데이터 베이스 관리자 등은 권한 ID 관리 서비스(privileged identity management service)를 사용해 통제할 필요가 있다. 포레스터는 또 머신러닝 AI를 사용해 특별한 권한에 대한 위협을 분석하고 핵심 시스템 접근에 대해 제로 트러스트 원칙을 적용해야 한다는 중요하게 다뤘다.

제로 트러스트에서 사용자 신원과 인증이 중요하다는 자주 언급되고 있지만 기업들 차원에서 이를 체계적으로 실행하기는 만만치 않을 수 있다.


서드파티까지 아우르는 접근 및 권한 관리를 위한 조건

랩서스는 외부 파트너 업체 엔지니어가 쓰는 컴퓨터를 침입 경로로 활용하기도 했다. 이것은 기업들은이제  내부 시스템을 넘어 파트너나 계약 업체들을 포함한 외부 공급망을 살필 수 있어야 신원과 인증에 대해 좀더 효율적으로 통제할 수 있다는 것을 의미한다. 

포레스터도 랩서스가 옥타를 침해한 사례를 예로 들어 서드파티 시스템 로그들을 분석해 지속적으로 모니터링하는 환경을 구현해야 한다는 점을 강조하고 몇가지 지침을 공유했다. 옥타를 포함해 ID 및 접근 관리 서비스를 쓰는 기업들이 참고하면 좋을 것 같다.

핵심은  언급한 지속적인 서드파티 모니터링이다. 잠재적인 위협과 비정상적인 활동들을 조기에 확인하기 위해 서드파티 시스템들 로그를 지속적으로 모니터링해야 한다는 얘기다. 포레스터는 로그 파일 이상을 탐지하기 위해 머신러닝 기술을 활용하는 보안 분석 플랫폼을 사용하면 탐지 시간을 줄일 수 있다고 전했다.

특별한 권한을 가진 신원(Privileged identities) 특히 서드파티 직원들이 쓰는 것은 매우 강력한 만큼, 아주 정밀하게 관리될 필요가 있다.

 비욘드트러스트(BeyondTrust)나 사이버아크(CyberArk) 또는 델리니아(Delinea) 같은 PIM(Privilege Identity Management) 솔루션을 사용해 이들 권한을 입체적으로 살펴야 한다는게 포레스터 설명이다. PIM 솔루션은 계정들과 시스템들에 대한 의심스러운 접근을 모니터링하고 분석할 수 있어야 하고, 머신러닝 기반, 위협 분석이 여기에 도움이 될 수 있다는게 포레스터 설명이다.

#제로트러스트 #ID관리 #공급망보안 #비욘드트러스트 #사이버아크, 


2 0

오치영
Oh Dream Officer
ocy@jiran.com

오디오방 구독하기

당신의 관심사에 정보력을 강화하세요. 

B2B SaaS, 일본 비지니스 뉴스, IT 분야에서 끊임없이 도전하는 사람들의 이야기가 

당신에게 전해집니다. 

이메일을 쓰고 구독 버튼 누르기, 아주 간단한 동작이 

당신 삶에 다른 모멘텀을 제공할 것입니다.

지란을 끌고 가는 힘과 문화는 Dream, Challenge, Keep Going!
이것이 ODO 방을 통해서 여러분들과 공유하고 싶은 내용이 아닐까 싶습니다.