블로그

유로 2020 기간 중 사이버 범죄에 대한 방어

데이비드 워버튼 썸네일
데이비드 워버튼
2021년 6월 14일 게시

지연되었던 유로 2020 챔피언십이 마침내 시작되었습니다. 1년 이상 만에 열리는 가장 큰 스포츠 이벤트 중 하나의 시작을 알리는 소식입니다.

그리고 이 규모의 모든 이벤트에서 그렇듯이, 사이버 범죄자들은 항상 체력을 갖추고 공격할 준비가 되어 있을 것으로 예상할 수 있습니다. 특히 온라인 게임, 도박, 전자 상거래 서비스는 이벤트에 대한 열광적인 관심과 관련 온라인 활동이 급증함에 따라 타깃이 될 가능성이 높습니다.

유로 2020 중심 서비스를 제공하는 기업이 토너먼트 기간(및 그 이후)에 주의해야 할 위협은 다음과 같습니다.

DDoS 방어

DDoS 공격은 모든 기업에 엄청난 영향을 미칠 수 있지만, 온라인 게임 사이트는 특히 취약합니다. 경기가 시작되기 전에 결과에 베팅하는 사람의 수가 늘어날 것으로 예상되며, 손끝에서 무한한 다양한 옵션을 통해 이런 베팅은 게임 내내 계속될 것입니다. 공격자는 이 사실을 알고 종종 이에 따라 타이밍을 조정합니다.

DDoS 활동은 이미 증가하고 있습니다. F5 Silverline 보안 운영 센터(SOC)와 F5 보안 사고 대응팀(SIRT)이 최근 수집한 데이터에 따르면 2020년 1월부터 2021년 3월까지 DDoS 공격이 55% 증가한 것으로 나타났습니다 . 이러한 사건의 대부분(54%)에서는 여러 공격 벡터가 사용되었는데, 이는 공격자가 점점 더 교묘해지고 있다는 것을 보여줍니다.

특히, SOC가 관찰한 가장 큰 공격은 게임 및 도박 조직에 정보 보안 서비스를 제공하는 회사를 표적으로 삼았습니다.  이 사례에서 회사는 돈을 내지 않으면 공격을 당할 것이라는 위협을 받았습니다. 그들이 거부하자, 한 달 이상에 걸쳐 다중 벡터 공격이 시작되었습니다.

사이버 범죄자들이 이런 종류의 회사를 표적으로 삼는 데에는 몇 가지 이유가 있습니다. 가장 확실한 방법은 DDoS 공격 위협을 이용해 몸값을 요구하는 재정적 이득을 얻는 것입니다. 다른 동기로는 경쟁사를 대신한 공격, 주의를 돌리기 위해 DDoS 공격을 이용하려는 위협 행위자, 또는 단순히 자신의 이름을 알리고자 하는 해커 등이 있습니다.

좋은 소식은 방어력을 강화할 수 있는 방법이 여러 가지 있다는 것입니다. 점점 더 많은 기업이 클라우드 기반 관리 서비스를 활용해 공격이 기업 네트워크에 도달하는 것을 막고 있습니다.

F5 Silverline DDoS Protection 과 같은 솔루션이 좋은 예입니다.  클라우드 기반 플랫폼을 통해 제공되며 실시간으로 감지하고 완화하여 가장 큰 규모의 DDoS 공격도 네트워크에 도달하지 못하도록 차단합니다.  이 서비스는 DDoS 공격으로부터 기업을 보호하기 위해 포괄적이고 다층적인 L3-L7 보호를 제공하는 SOC 전문가 팀에 24시간 연중무휴로 지원됩니다.

DDoS 공격으로부터 보호하기 위해 다음과 같은 기술적/예방 적 보안 제어를 권장합니다.

  • 네트워크 방화벽과 웹 애플리케이션 방화벽을 모두 사용하세요.
  • 네트워크 기반 침입 탐지 시스템을 사용합니다.
  • 시스템이 공격에 사용되는 것을 방지하려면 패치를 즉시 적용하세요.
  • 위조된 소스 IP 주소로 인한 트래픽을 차단합니다.
  • 속도 제한을 사용하여 유입 트래픽 양을 제한합니다.

레드카드를 폼재킹하는 모습을 보여주다

주의해야 할 다른 기회주의적 사이버범죄 전술로는 폼재킹(formjacking)이 있습니다. 현재 가장 흔한 웹 공격 전술 중 하나로, 조직의 웹 브라우저에서 공격자가 제어하는 위치로 데이터를 빼내는 것입니다.

쇼핑 카트, 카드 결제, 광고 및 분석과 같은 중요한 구성 요소에 연결되는 웹 애플리케이션이 늘어나면서 공급업체는 엄청난 타깃이 되고 있습니다. 코드는 다양한 출처에서 제공될 수 있으며, 그 대부분은 프록시 및 웹 애플리케이션 방화벽과 같은 일반적인 엔터프라이즈 보안 제어의 경계를 벗어납니다. 많은 웹사이트가 동일한 타사 리소스를 사용하므로 공격자는 거대한 잠재적 피해자 그룹에서 데이터를 훑어보려면 단 하나의 구성 요소만 손상시키면 된다는 것을 알고 있습니다.

조직의 안전을 유지하는 데 도움이 되는 일반적인 보안 조치는 다음과 같습니다.

  • 웹 애플리케이션 자산 목록을 만듭니다. 여기에는 타사 콘텐츠에 대한 철저한 감사가 포함되어야 합니다. 이 과정은 제3자가 더 많은 웹사이트에 링크하는 경우가 많고 보안 제어가 미흡한 경향이 있어 더욱 복잡해집니다.
  • 환경 패치 .  패치를 적용해도 타사 콘텐츠의 결함은 반드시 해결되지는 않지만, 초기 단계에서 심각한 침해로 확대되기 어렵게 만듭니다. 웹 주입은 매우 다양한 용도로 사용되는 기술이기 때문에, 자체 환경에서 실행되는 애플리케이션에 패치를 적용하는 것은 손상된 타사 자산으로 인한 피해를 방지하기 위해 여전히 중요합니다.
  • 취약점 스캐닝. 수년 동안 CISO는 해커의 관점에서 상황을 파악하기 위해 외부 스캔을 실행하는 것이 중요하다는 사실을 인식해 왔습니다. 특히 클라이언트 측에서 마지막 순간에 엄청난 양의 콘텐츠가 수집되는 경우 이러한 특성은 더욱 중요해집니다.
  • 코드 변경 사항 모니터링. 코드가 어디에 호스팅되든, 새로운 취약점이 나타나는지 여부와 관계없이 가시성을 높이는 것이 중요합니다. 즉, GitHub 및 AWS S3 버킷과 네이티브 코드 저장소를 모니터링하는 것을 의미합니다.
  • 다중 인증 . 주입은 종종 웹 서버 코드에 액세스하기 위한 인증을 우회하는 데 사용되므로, 영향력이 큰 자산에 연결하는 모든 시스템에 다중 요소 인증을 구현해야 합니다. 이상적으로는, 애플리케이션 계층 암호화는 사용자가 브라우저에 입력하는 자격 증명과 지불 카드 세부 정보를 암호화하여 TLS/SSL을 보완할 수도 있습니다.  일부 잘 알려진 웹 애플리케이션 방화벽(WAF) 제품에는 이 기능이 있습니다. 그러나 고급 WAF는 분산 및 다형성 주입 위험을 완화하는 데 도움이 되는 향상된 수준의 애플리케이션 계층 가시성과 제어 기능을 제공할 수 있습니다.
  • 웹 애플리케이션 보안 헤더의 잠재력을 탐색해보세요 . 예를 들어, 웹사이트나 애플리케이션에 대한 무단 코드 삽입을 차단하기 위해 콘텐츠 보안 정책(CSP)을 설정할 수 있습니다. 또한, SRI(SubResource Integrity) 웹 방법을 사용하면 타사 앱이 변경되지 않았는지 확인할 수 있습니다.  두 도구 모두 웹 애플리케이션에 제대로 적용하려면 작업이 필요합니다. 여기서 강력하면서도 유연한 WAF가 등장합니다.
  • 새로 등록된 도메인과 인증서를 모니터링합니다 . 이러한 방법은 최종 사용자에게는 진짜 스크립트처럼 보이면서 악성 스크립트를 호스팅하는 데 자주 사용됩니다.

피싱의 재앙에 대처하다

피싱도 늘 인기 있는 사기 수법 중 하나입니다. 공격자는 방화벽을 해킹하거나, 제로데이 익스플로잇을 찾거나, 암호화를 해독하거나, 이빨에 잠금장치를 꿰고 엘리베이터 샤프트를 내려가는 것에 대해 걱정할 필요가 없습니다. 누군가를 속여 신임장을 제출하게 하는 것은 훨씬 쉽습니다. 가장 어려운 부분은 사람들이 클릭하도록 설득력 있는 이메일 홍보문을 생각해 내고, 사람들이 방문할 가짜 사이트를 만드는 것입니다. 토너먼트 내내 이런 일이 많이 일어날 것으로 예상됩니다.

F5 Labs의 최신 피싱 및 사기 보고서 에 따르면, 피싱 사이트의 52%가 웹사이트 주소에 일반적인 브랜드 이름과 아이덴티티를 사용했습니다. 피싱 사기꾼들은 사기 사이트를 가능한 한 진짜처럼 보이도록 하기 위해 노력을 강화했습니다. 보고서에 인용된 F5 SOC 데이터에 따르면 대부분 피싱 사이트가 암호화를 활용했으며, 그중 72%가 유효한 HTTPS 인증서를 사용하여 피해자를 속였습니다. 즉, 단순히 자물쇠 모양(또는 https://로 시작하는 주소)을 찾는 것만으로는 더 이상 충분하지 않다는 뜻입니다. 사실, 이런 조언을 하는 것은 위험한 일입니다. 왜냐하면 디지털 인증서가 있다는 이유만으로 해당 사이트가 본질적으로 신뢰할 만하다는 것을 의미하기 때문입니다.

모든 조직은 언젠가는 피싱 공격의 표적이 될 것입니다. 그 공격이 직접적이든 무차별적이든 말입니다. 안타깝게도 모든 조직이 강력한 정보 보안 관리 프레임워크를 구현하는 것은 아닙니다.

NIST의 5가지 기능은 모든 사이버 위협에 대해 생각하는 데 유용한 방법을 제공하지만, 기업이 브랜드와 고객을 보호하기 위해 아무리 노력하더라도 심리적으로 어떤 식으로든 조종할 수 있는 인간이 있는 한 피싱 공격은 계속 성공할 것입니다. 그렇기 때문에 보안 제어 기능과 웹 브라우저 모두 사용자에게 사기성 사이트를 알리는 데 더욱 능숙해져야 합니다. 개인과 조직도 사기꾼이 사용하는 최신 기술, 특히 사기성 URL부터 HTTPS 인증서 남용까지에 대한 교육을 지속적으로 받아야 합니다.

공에 집중하다

위에 자세히 설명한 위협은 모든 위협을 포괄하는 목록은 아닙니다. 다른 것들도 있습니다. 사이버범죄자들은 유로 2020과 같은 이벤트와 관련된 우여곡절을 이용하는 데 매우 능숙하다는 점을 기억하세요. 항상 경계하고, 적절한 보안 솔루션을 찾고, 끊임없이 변화하는 공격자의 사고방식과 역량에 발맞추려고 노력하세요.