‘핵심 인프라’ 사이버 보안에 대한 ‘Hack the Port’의 4가지 교훈

사이버 보안 리더들과 실무자들은 최근 플로리다주 포트 로더데일에서 열린 Hack the Port에 모여 국가 주요 인프라 중 핵심 부문인 항구에 대한 진화하는 위협과 항구 보호를 강화하는 방법에 대해 논의했습니다. 이 이벤트는 전 세계가 러시아와 우크라이나 사이의 갈등이 악화되는 것을 지켜보는 가운데 이루어졌으며, 이는 사이버 공격이 교전 지역 밖에서 발생할 수 있으므로 중요 인프라 소유자와 운영자는 디지털 경계를 강화하기 위한 노력을 가속화해야 한다는 미국 정부의 새로운 경고를 촉발시켰습니다.

Hack the Port는 공공 부문이든 민간 부문이든 모든 주요 인프라 소유자와 운영자가 디지털 경계를 강화하기 위해 염두에 두어야 핵심 주제가 있음을 분명히 했습니다. 여기에서 이러한 주제를 간략하게 소개하겠습니다.

도구가 거의 없는 해커라도 미칠 수 있는 영향은 거대

공격을 위한 진입 비용이 급격히 감소했습니다. 사용할 수 있는 도구가 거의 없는 공격자들이라도 주요 인프라 목표에 상당한 영향을 미칠 수 있으며, 침해당 평균 비용은 424만 달러에 달하고 있습니다. 예를 들어, 미국에서 가장 큰 연료 파이프라인을 파괴하고 동부 해안 전역에 걸쳐 연료 부족을 초래한 해킹은 다크 웹에서 발견된 손상된 비밀번호 하나가 불러온 결과였습니다. 해커들은 이 비밀번호를 사용하여 멀티팩터 인증 없이 회사의 VPN에 액세스했습니다. 팬데믹과 주요 화물선 정박 사태로 인해 취약해진 공급망과 함께 해커들은 변화된 세계의 역동성을 공격 대상으로 삼고 있습니다.

우리는 모든 사이버 침해 사건으로부터 데이터가 해커의 새로운 무기라는 것을 깨닫고 있습니다. 사이버 방어자들이 해커의 작업을 차단하거나 완화하려면 가능한 한 많은 데이터를 수집하여 분석하고, 분석 결과를 토대로 조치를 취하고, 위협 인텔리전스의 형태로 공유해야 합니다. 보안 정보 및 이벤트 관리(SIEM), 엔드포인트, 클라우드 보안을 통합하는 Elastic의 Limitless XDR 제품을 통해 방어자는 Elastic의 무료 개방형 플랫폼 내에서 수백만 명의 사용자가 제공한 탐지 규칙, 엔드포인트 코드, 기타 보호 아티팩트를 활용할 수 있습니다. 이러한 아티팩트는 중소기업에서 군부대에 이르기까지 다양한 사용자들이 실행 가능하고 믿을 수 없을 정도로 저렴합니다. 신규 사용자는 별도의 하드웨어 없이 몇 분 만에 클라우드에서 Limitless XDR을 가동하여 동일한 방식으로 이점을 누릴 수 있습니다.

연결 여부와 관계없이 보호가 필요

항만과 해양 관제 시스템은 다른 주요 인프라와 마찬가지로 정보 기술(IT) 외에 레거시 운영 기술(OT) 네트워크와 사물 인터넷(IoT) 디바이스에 의존하지만, OT를 전문적으로 다루는 인력은 제한적입니다. 2020년 한 해에만 주요 인프라 OT를 대상으로 한 대형 침해 사고가 500건이나 발생했다는 것은 우려되는 일입니다. 게다가, 많은 해양 관제 시스템은 연결이 끊기고 간헐적이며 제한된(DIL) 환경에서 작동하며, 일단 출항하면 연결이 되지 않습니다. 이러한 DIL 시스템은 연결을 위해 저궤도 위성을 사용하려고 할 수 있는데, 이는 사이버 공간에 더 많은 복잡성을 불러옵니다.

연결 여부와 관계없이 주요 인프라를 보호하기 위해서는 해당 인프라의 구성을 이해하는 것이 중요합니다. Hack the Port와 같은 이벤트는 지금까지는 업계에만 국한되었던 정보를 더 많은 대중에게 알릴 수 있다는 점에서 중요합니다. 또한 주요 인프라 당면 과제에 적용할 수 있는 군사 관련 솔루션 등 기술 이전 문제를 논의할 수 있는 기회를 제공합니다. 예를 들어 맬웨어 서명 기반 접근 방식을 사용하는 대신, Elastic을 통해 DIL 엔드포인트에서 로컬로 머신 러닝 모델을 실행하면 엔드포인트를 보호된 상태로 유지할 수 있습니다. 반면 전통적으로, 연결되지 않은 엔드포인트는 유효 기간이 지난 서명으로 인해 위험에 노출될 수 있습니다. 또한 구성 가능한 대기열과 분산을 고려해 설계된 아키텍처를 통해 네트워크 통신이 중단된 경우 데이터 및 텔레메트리가 엣지에서 대기열에 추가될 수 있습니다. 통신이 복원되면 엔드포인트에서 클러스터로 데이터를 원활하게 푸시하여 통신 문제로 인해 데이터가 손실되지 않도록 할 수 있습니다.

간편하게 구현하는 사이버 보안 규정 준수

CISA(Critical Infrastructure Security Agency) 국장인 Jen Easterly는 Hack the Port의 한 연설에서 항구를 미국 주요 인프라의 ‘소프트 스팟’이라고 언급하며, 항구를 통하는 물류 규모는 매년 5조 4천억 달러로 미국 국내총생산(GDP)의 4분의 1을 차지하기 때문에 항구 보안의 중요성은 아무리 강조해도 지나치지 않는다고 말했습니다. CISA는 주요 인프라 소유자 및 운영자에게 많은 위협 인텔리전스, 교육 및 리소스를 제공하며, 미국 행정부의 국가 사이버 보안 개선에 관한 행정 명령(EO)을 주도하는 역할을 합니다. 이 EO는 보다 안전한 사이버 공간을 조성하기 위해 민간 부문과 협력하는 연방 민간 기관이 충족해야 하는 몇 가지 표준과 요구 사항을 간략하게 설명합니다.

EO의 표준 및 요구 사항은 소유자 또는 운영자가 이에 구속되는지 여부와 관계없이 주요 인프라 사이버 보안의 강력한 기반을 제공합니다. Elastic은 이러한 소유자와 운영자가 표준과 요구 사항이 아니더라도 기계 및 물류 분야에서도 확장되고 있다는 것을 알고 있습니다. 그렇기 때문에 단일 플랫폼을 사용하여 디지털 경계를 강화하기 위해 즉시 해결해야 할 몇 가지 영역을 간략히 설명했습니다. 산업 개요를 읽어보시면 조직이 이벤트 로그 관리, 엔드포인트 위협 탐색 및 대응(EDR), 제로 트러스트를 통한 안전한 클라우드 도입과 관련된 규정 준수 요구 사항을 충족하거나 초과 충족하도록 Elastic이 어떤 도움을 줄 수 있는지 파악할 수 있습니다.

다양한 인재 채용을 통한 사이버 인력 평가

(ISC)2 연구에 따르면 2020년부터 70만 명이 새롭게 사이버 보안 분야에 진출하면서 전 세계 사이버 보안 인력 부족을 해결하는 데 진전이 이루어지고 있습니다. 그러나 이 연구에서는 또한 조직의 중요 자산을 효과적으로 방어하려면 사이버 보안 인력이 65% 늘어나야 한다고 추정하고 있습니다. 특히 주요 인프라 소유자 및 운영자는 사이버 보안 인력 수요를 지속적으로 평가해야 합니다. 인사 관리국과 같은 조직의 리소스를 사용하면 사이버 보안 이해 관계자들이 가장 필요한 업무 역할을 식별하고 직원들이 가장 부족한 기술을 파악할 수 있습니다.

주요 인프라 소유자 및 운영자는 차세대 사이버 위협에 대응할 수 있도록 차세대 사이버 방어자 교육에도 투자해야 합니다. Hack the Port를 지원하는 조직인 MISI는 이를 잘 이해하고 있으며, Elastic Security 솔루션을 사용하여 실제 사이버 시나리오로 다양한 인재가 직접 체험해 볼 수 있는 기회를 제공합니다. Elastic은 사이버 보안 채용에서도 다양성을 존중하기 위해 노력하고 있으며, 강력한 교육 프로그램 외에도 정기적으로 Capture the Flag 이벤트를 주최하고 있습니다. 이러한 유형의 프로그램을 통해 학습된 사이버 기술은 새로운 과제에 다시 활용할 수 있으며 이는 무료 개방형 소프트웨어의 진정한 이점입니다.

‘Hack the Port’ 주제 실행

Hack the Port가 종료된 지금, Elastic은 해양 및 기타 주요 인프라 소유자와 운영자가 컨퍼런스에서 제시된 사이버 보안 주제를 실제 환경에 적용하도록 지원할 준비가 되었습니다. Limitless XDR 데모를 확인하고, 실행에 옮길 준비가 되면 federal@elastic.co로 연락하시거나 여기에서 FedRAMP 클라우드 평가판을 시작해 보세요.

관련 블로그:

• Forrester, Elastic을 엔드포인트 위협 탐지 및 대응(EDR) 웨이브 부문 우수 기업(Strong Performer)으로 선정
• 미국 정부 보안 및 로깅 규정 준수를 위한 단일 플랫폼