새해는 보통 오래된 것을 버리고 새 해와 함께 보내는 것을 의미합니다.하지만 2022년 CISO가 가장 우려하는 사항은 너무나 익숙해 보일 것입니다. 원격 근무, 랜섬웨어, 공급망 보안, 인재 부족 등이 최우선 과제가 될 것이며 또 그래야 합니다.
CISO들은 공이 타임스퀘어에 떨어졌다가 새해에 울리는 대신 2021년에 다시 깨어났다고 생각하면 용서받을 수 있습니다.올드 랭 사인의 마지막 변종이 사라지자마자 CISA와 NSA는 경고를 철회했습니다. 러시아 요원에 대한 방어를 강화하기 위해 주요 인프라 조직에 연락했습니다.곧바로 우크라이나 정부 웹사이트에 대한 공격이 잇따랐고 REvil 랜섬웨어가 뉴스에 등장했습니다.(이번에 러시아는 이 단체의 지도부를 해임한다고 발표했다.)익숙하게 들리나요?보안이 예전의 일부를 2022년으로 끌어내리고 있지만 새로운 반전이 있는 것 같습니다.
원격 근무
상업용 부동산 시장과 오피스 빌딩 전체를 기반으로 경제가 번창하는 도시들의 낙관적인 예측에도 불구하고, 적어도 당분간은 원격 근무가 지속될 것으로 보입니다.보안의 관점에서 보면 훨씬 더 어려운 일이지만, 직원들이 재택과 현장 근무를 병행하면서 하이브리드 옵션이 더욱 널리 보급될 것입니다.물론 직원들이 보안이 설정되지 않은 네트워크를 사용하고 집에 있는 다른 사람들과 기기 및 대역폭을 공유하기 때문에 원격 근무의 위험은 더욱 커졌습니다.예를 들어, 네트워크에 연결되는 가정 내 장치에는 중국산 칩셋이 포함될 수 있습니다.사무실에서는 절대 그런 일이 일어나지 않을 것입니다.
2020년 초에 모든 사람이 집으로 돌아와 지원을 받기 위해 서두르면서 많은 조직에서 보안 표준을 완화하고 적절한 조치를 취했습니다.이제 보안 제어를 재평가할 때입니다.올해 조직들은 과거로 돌아가 팬데믹으로 몰아닥쳤을 때 어떤 성과를 거두었는지 살펴보고, 여러 장소에 흩어져 있는 데이터와 균등하게 분산된 위협 환경을 수용하는 등 원격 근무가 지배하는 미래를 고려하면서 이를 개선하기 위해 노력할 것입니다.이는 악의적일 수 있는 지표를 파악하기 위해 보안 솔루션을 재고하고 재구성해야 한다는 의미입니다.
회피 위협으로 인한 랜섬웨어
2021년이 엄청난 랜섬웨어에 휩싸였다면, CISO는 안전벨트를 단단히 매는 것이 좋습니다. 공격자들이 기존 방어 체계를 우회하고 조직을 혼란에 빠뜨리기 위해 회피 위협 전술을 활용하여 랜섬웨어를 배포함에 따라 2022년의 랜섬웨어는 더욱 위협적으로 성장할 것이기 때문입니다.랜섬웨어가 여전히 지속되는 이유는 무엇일까요?간단합니다. 모든 것을 수익화하려는 용감한 사이버 범죄자들에게는 여전히 수익성이 높은 벤처입니다.랜섬웨어에 대한 보상은 1987년 AIDS 트로이 목마에 대한 179달러에서 작년 초 콜로니얼 파이프라인에 대한 440만 달러 이상으로 증가했습니다.랜섬웨어 운영자는 이러한 비용을 미끼로 삼아 조만간 아무 소용이 없을 것입니다. 그리고 RaaS (Ransomware-as-a-Service) 를 통해 누구나 공격을 실행할 수 있게 됨에 따라 랜섬웨어 운영자의 수가 증가하고 있습니다.
랜섬웨어 페이로드를 전송하기 위해 회피 위협을 사용하는 공격자가 점점 더 많아지고 있습니다.이러한 기법으로는 네트워크 보안 솔루션을 우회하는 동적 파일 다운로드, 이메일에만 국한되지 않는 새로운 피싱 경로를 탐색하는 방법, 동적으로 생성되거나 난독화된 콘텐츠, HTTP 트래픽 검사를 회피하는 방법 등이 있습니다.후자의 경우 난독화된 자바스크립트는 보안 연구원과 탐지 엔진 모두가 읽을 수 없게 만들어 공격자가 잘못된 방어 수단을 몰래 우회하여 민감한 데이터를 훔치거나 계정을 탈취하거나 랜섬웨어 페이로드를 실행할 수 있도록 합니다.
이전에 원격 보안 솔루션으로 선택했던 VPN이 계속해서 제한된 보호 기능을 제공하고 트래픽 증가로 인해 늘어짐에 따라 랜섬웨어는 재택 근무를 할 때 더욱 악화될 것입니다.
공급망 보안
공급망에 대한 철저한 조사에도 불구하고 공격자들은 계속해서 감시 대상에서 벗어나고 있습니다. 즉, SolarWinds와 관련된 캠페인과 같은 캠페인이 눈에 띄는 피해 징후를 보이기 전까지는 말입니다.2022년에도 공급망은 계속해서 큰 관심을 받게 될 것입니다. 팬데믹으로 인한 공급 부족은 새해에도 계속될 것으로 예상되며, 보안 결점과 취약점으로 인해 공급망을 낮출 수 있습니다.
최근의 Log4j 사태는 그 자체로는 공급망 문제가 아니지만, 전반적으로 조직들의 반응은 SolarWinds에 대한 반응과 비슷했습니다.그리고 이 상황은 SolarWinds에서 배운 것과 동일한 몇 가지 교훈을 제공합니다. 주로 내부 상황을 이해하는 것이죠.많은 기업과 기관들이 운영 중인 대상을 제대로 이해하지 못하기 때문에 해결 방법도 모르고, 해결 방법도 모르고 있습니다.이는 공급망에서 특히 위험한 시나리오입니다. 조직은 자체 소유 상황뿐만 아니라 공급망 내 다른 회사들도 무엇을 운영하고 있는지, 취약점에 대응하거나 단순히 자산을 보호하는 데 얼마나 부지런한지 걱정해야 하는 상황입니다.대부분의 보안 취약점은 지연 시간이 길기 때문에 결함이나 취약점으로 인한 초기 문제가 해결된 후에도 공급망에 문제가 발생할 수 있습니다.
전체 공급망의 상태를 고려하여 제3자가 보안을 중요하게 여기도록 요구하는 것이 중요합니다. 이는 보안 솔루션의 확인란뿐만 아니라 조직의 보안 처리 방식에 대한 실질적인 통찰력입니다.
인재 부족
실업률이 수십 년 만에 최저 수준을 기록하고 업계 전반에서 근로자가 퇴사하는 등 계속되는 팬데믹 기간 동안 더 나은 일자리를 협상하거나 안전을 유지하기 위해 “대대적인 사직”이 벌어지면서 지난 몇 년 동안 보안 부문에 존재했고 앞으로 몇 년 동안 발생할 것으로 예상되는 인재 부족 현상이 증폭되고 있습니다.
특히 팀이 원격 작업을 보호해야 하므로 보안이 복잡해지고 위태로워지며 이로 인해 위협 환경이 증가합니다.이러한 모든 요소가 서로 겹쳐져 인재 부족뿐만 아니라 보안에 미치는 영향도 가중되고 있습니다.IT 보안은 아직 정의되지 않은 젊은 분야이기 때문에 이 분야가 굳건한 경력을 쌓지 못하는 이유가 될 수 있습니다. 이로 인해 인재 유치가 더 어려워질 수 있습니다.조직은 보안 분야의 경력이 무엇인지, 즉 보상이 무엇인지 더 명확하게 정의하는 것이 좋을 것입니다. 단순히 금전적인 측면에서뿐만 아니라 단순한 직업이 아닌 더 큰 목적을 갖는 것에 대한 만족감을 나타낸다는 측면에서 말이죠.또한 이는 기업과 기관이 보안 인력을 다양화하여 여성과 기타 소외 계층을 활용하여 격차를 메울 수 있는 좋은 기회이기도 합니다.또한 지금은 자격에 대해 다시 생각해 볼 좋은 시기이기도 합니다. 특정 학위와 자격증을 요구하는 것보다 소프트 스킬과 호기심을 갖춘 인재를 찾는 것이 좋습니다.잠재적 지원자 풀을 확대함으로써 조직에서는 이전에는 합격했어야 했지만 팀의 가치 있는 구성원임을 증명할 수 있는 후보자를 고려할 것입니다.
이러한 보안 문제를 피하거나 최소한 완화하는 것은 대부분 기본 원칙으로 돌아가는 것을 의미합니다.조직은 데이터와 자산이 어디에 있는지 고려하고 (힌트: 데이터 센터에만 있는 것이 아닙니다), 발생 가능한 위협을 파악하고, 위험 프로필을 작성하고, 보안 태세를 강화하는 도구에 투자해야 합니다.
2022년에는 신뢰의 중요성이 커질 것입니다. 조직은 신뢰를 강화해야 합니다 제로 트러스트 네트워크 액세스 (ZTNA) 이니셔티브, 핵심 요소 보안 액세스 서비스 에지 (SASE) 프레임워크 이는 원격 근무를 보호하는 동시에 직원들이 어디에 있든 필요한 리소스에 안전하게 액세스할 수 있도록 하는 데 특히 적합합니다.
2021년에는 CISO가 엄청난 랜섬웨어 공격, 공급망 취약성, 엄청난 인재 격차를 극복하려 하지만 2022년에도 이와 같은 문제가 많이 증폭될 것으로 보입니다.다행스럽게도 조직들은 2021년부터 교훈을 얻어 솔루션을 위한 보다 풍부한 툴킷을 활용할 수 있을 것이며, 이러한 문제가 앞으로는 지금과 같은 치명적인 영향을 미치지 않을 것입니다.