세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[8월 1주 뉴스쌈] 미국의 ICS 보안 실험 ‘자유의 이클립스’
  |  입력 : 2018-08-05 22:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미 에너지부의 전력 그리드 실험, FBI의 IoT 보안 팁,
데프콘 ‘투표 빌리지’와 어린이들, 레딧 정보 유출,
유니티포인트 헬스와 피싱, 정보 유출과 고객 신뢰


[보안뉴스 오다인 기자] 산업제어시스템(ICS) 보안에 대한 국가적인 실험이 진행되고, 어린이들이 국제 해킹 대회에 참여하며, 사물인터넷(IoT) 보안을 위한 권고들이 발표됩니다. 이 와중에도 기업 정보 유출 사고는 매 순간 터지며 고객 신뢰는 계속 추락하고 있습니다. 8월 첫째 주 뉴스쌈은 보안의 중요성을 체감할 수 있는 소식들로 종합해 봤습니다.

[이미지=iclickart]


미 에너지부가 사이버 공격에 대비해 전력 그리드를 실험한다
해커의 공격으로 정전이 발생했다면, 전력 그리드는 얼마나 빠르게 복구될 수 있을까요? 미국 에너지부(DOE)가 이에 대한 답을 찾기 위해 실험을 진행합니다. 사이버 공격에 의한 정전 상황에서 전력 그리드의 복구력을 직접 검증하는 실험을 말이죠. 미국의 에너지·환경 전문매체 E&E뉴스가 보도했습니다.

이른바 ‘자유의 이클립스(Liberty Eclipse)’라는 별칭의 이 실험은 오는 11월 1일부터 일주일간 뉴욕 연안의 플럼 아일랜드(Plum Island)에서 진행될 예정입니다. 미국 에너지부가 이런 실험을 직접 수행하는 것은 이번이 최초라고 하네요.

이번 실험을 수행하는 전문가들은 미국의 전력, 기름, 천연가스 인프라가 공격에 대응하는 동안 전력망이 재가동되는 과정을 복제해 실험하겠다는 계획을 갖고 있습니다. 목표는 대형 사고에 대응해 산업이 어떻게 대응하는지 파악하는 것입니다.

이 같은 실험은 국가 에너지 시스템을 겨냥한 사이버 위협에 미국 에너지부가 더 큰 관심을 나타내고 있다는 사실을 보여줍니다.

미국 에너지부 메모에 따르면, 이번 실험의 참가자들은 공격을 복구한 뒤 ‘블랙스타트 크랭킹 패스(Blackstart cranking path)’를 가동시킬 예정입니다. 블랙스타트란 외부 전력망에서 오는 전력을 사용하지 않고 발전소를 재가동하는 일을, 크랭킹 패스란 다른 전력 유닛에 전력을 공급할 수 있는 전력 시스템 중 분리된 특정 부분을 뜻합니다.

공격을 탐지하고 공격자 활동을 제거한 뒤, 크랭킹 패스의 디지털 시스템을 재가동시킬 수 있는지를 보겠다는 것이죠. 이전의 실험들에서는 블랙스타트가 포함되진 않았다고 합니다.

FBI가 새로운 IoT 보안 팁을 제공했다
미국 연방수사국(FBI)에서 사물인터넷(IoT) 보안과 관련한 새로운 팁을 내놓았습니다. ‘시큐리티 팁(Security Tip)’이라는 제목으로 발표됐습니다. 네트워크 트래픽이 비정상적으로 치솟은 경우 경각심을 가질 것, 펌웨어 업데이트를 잊지 말 것 등 IoT 기기가 내포한 실제적인 위협들과 그 보안의 중요성을 고려한 권고가 포함됐습니다.

보안 전문가들이라면 이번 권고에서 크게 놀랄 만한 사실을 발견할 것 같진 않습니다. IT 비전문가들과 공유하기에 좋은 내용들입니다. FBI 권고문은 IoT 기기를 다음과 같이 정의하면서 시작합니다. “다른 기계와 이야기할 수 있고 추가적인 행동을 촉발할 수 있는” 능력을 가진 기기라고요. 이어 이렇게 연결된 기기가 내포한 위험들, 그리고 이 기기가 접근할 수 있는 데이터 등에 대해서도 간략히 언급됩니다.

FBI 권고문은 기초적이지만 중요한 내용을 담고 있습니다. 권고사항의 실행을 위해 IT 스태프들이 일반 직원들을 지원해야 할 필요도 있어 보입니다. 재택근무를 하는 직원이 있는 회사라면 이번 권고문을 특히 더 유용하게 활용할 수 있을 것으로 전망됩니다.

데프콘이 8~16세 어린이들을 초청한다
국제 해킹 콘퍼런스 데프콘(DEF CON)이 올해 ‘투표 빌리지(Voting Village)’ 해킹 이벤트를 시작하면서 어린이들에게도 참가자격을 부여했습니다. 복제된 선거 결과 웹사이트를 해킹해 투표 총계와 선거 결과를 바꿀 수 있는지 한 번 시도해보라는 것이죠. 8세부터 16세까지의 어린이라면 참가할 수 있습니다.

이번 이벤트는 비영리단체 루츠 아사일럼(r00tz Asylum)과의 파트너십으로 진행됩니다. 상은 총 4개 카테고리에서 수여되는데요. △가장 빠르게 익스플로잇한 자(Fastest to Exploit) △가장 창의적으로 익스플로잇한 자(Most Innovative Exploit) △가장 사회공학적으로 익스플로잇한 자(Best Social Engineering Exploit) △익스플로잇에 성공한 최연소자(Youngest to Exploit) 등입니다.

올해 데프콘은 다음 주말부터 미국 라스베이거스에서 개최되며, 어린이들의 선거 해킹 대회는 8월 10~11일 진행될 예정입니다.

한편, 복제된 웹사이트와 소프트웨어는 아리스 시큐리티(Aries Security)에서 만들었습니다. 아리스 시큐리티의 설립자겸 최고경영자(CEO)인 브라이언 마르쿠스(Brian Markus)는 앞서 자신의 CTF 시뮬레이터를 미국 국방부의 사이버 보안 훈련 작전용으로 개조시켜준 바 있는 인물입니다.

레딧, 정보 유출 발생
레딧(Reddit) 비밀번호를 2007년 이래 변경한 적이 없다면, 지금 바꿔야 할 것으로 보입니다. 레딧이 1일(현지 시간) 보안 사고가 발생했다고 밝혔습니다. 사고 최초 인지 시점은 6월 19일입니다. 레딧은 6월 14일부터 18일까지 사이버 공격자가 클라우드 및 소스코드 호스팅 제공업체와 관계된 직원 계정들을 침해했다고 설명했습니다.

“이중인증(2FA)을 요구하는 등 강력한 인증을 수행하고 있었으나 SMS 기반 인증은 우리가 희망했던 만큼 안전하지는 않았다. 주된 공격은 SMS 인터셉트로 인해 발생했다.” 레딧은 블로그에서 이 같이 밝히며 토큰 기반의 이중인증을 이용할 것을 촉구했습니다.

레딧에 따르면, 공격자는 레딧 시스템에 기록 접근(write access)을 획득하진 못했습니다. 그러나 이용자 정보와 관련한 두 가지 핵심 영역에 침투했는데요. 2007년을 전후한 모든 레딧에서의 정보(계정 크리덴셜과 이메일 주소 포함)와 2018년 6월 레딧이 발송한 이메일 요약판(email digests) 등이 유출됐다고 레딧은 밝혔습니다.

유니티포인트 헬스, 140만 건 환자 정보 유출
미국 아이오와·일리노이·위스콘신 주의 병원 간 협력체인 유니티포인트 헬스(UnityPoint Health)에서 정보 유출이 발생했습니다. 총 140만 건의 환자 정보가 유출된 것인데요. 올해 들어 벌써 두 번째 발생한 정보 유출 사고면서, 두 번째로 피싱 공격에 당한 사건이라고 합니다. 피싱에 두 번이나 당하다니!

최초 공격은 4월 발생했습니다. 직원 이메일 계정을 침해, △생년월일 △사회보장번호 △의료기록번호 △치료 및 수술 정보 △진단 △실험 결과 △약물 △제공업체 △보험 정보 △서비스 일시 등이 유출된 것으로 추측됩니다.

이번 공격 역시 직원 이메일 계정이 타깃이 됐습니다. 가장 최신 익스플로잇을 활용해 공격이 감행됐다고 하는데요. 이번에는 결제카드 정보까지 유출된 것으로 분석되고 있습니다.

유니티포인트는 이메일 비밀번호 재설정을 권고하고, 직원들에게 안티 피싱 훈련을 시행했으며, 안티 피싱 기술을 추가 구축했다고 밝혔습니다.

고객 48%가 정보 유출 전력이 있는 기업의 서비스를 기피한다
CA 테크놀로지스와 프로스트 앤 설리반(Frost & Sullivan)에서 발표한 ‘글로벌 온라인 디지털 신뢰 현황(The Global State of Online Digital Trust)’ 보고서에 따르면, 개인식별정보(PII)가 온라인에서 보호되는 것이 ‘매우 중요’ 또는 ‘핵심적’이라고 응답한 고객이 약 80%에 달했습니다. 86%는 온라인 서비스 선택 시 정보보호 수준이 우선순위에 포함된다고 응답했습니다.

또한, 약 절반(48%)에 해당하는 기업들이 정보 유출 사고를 겪었다고 밝혔는데요. 이들 기업의 사실상 전체가 사고 이후 고객 신뢰와 수익 부문에서 부정적인 영향을 오랜 기간 경험했다고 설명했습니다.

기업에 대한 고객들의 신뢰는 △에퀴팩스(Equifax) △딜로이트(Deloitte) △우버(Uber) △티켓마스터(Ticketmaster) 등 대형 정보 유출 사고가 줄을 이으면서 현재 위태로운 상황에 놓여 있습니다. 대부분의 기업 리더들(84%)은 고객 신뢰가 증가하고 있다고 믿지만, 실제 고객 반응은 정반대를 가리키고 있는 것이죠. 단 38%의 고객들만이 신뢰가 증가했다고 답변했습니다.
[오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술