소개
최근 디지털 시대에 접어들어 기업에 대한 랜섬웨어 공격위협으로 극심한 피해들이 빈번하게 발생하고 있습니다. 특히 은행과 같은 금융 기관의 경우에 공격으로 인한 피해가 발생시 막대한 금전적 손실뿐만 아니라 평판은 물론 고객과의 신뢰가 훼손될 수 있기 때문에 그 위험성이 특히 높습니다.
사이버 위협을 탐지하고 대응할 수 있는 보안 솔루션을 개발 및 공급하며 첨단산업을 지키는 최선두에서 서 있는 사이버 보안 전문기업인 ㈜쿼드마이너는 최근 한 대형 은행과 협력하여 랜섬웨어 공격에 대응하는 혁신적인 솔루션을 구현했습니다. ㈜쿼드마이너는 은행내 유통되는 파일에 대한 검역 기능을 통합하고 본사와 지점간의 랜섬웨어에 대한 대응 사각지대를 제거함으로써 최근 은행을 비롯한 금융기관들을 대상으로 증가하는 조직화된 랜섬웨어 공격과 같은 지능형 지속 위협에 대한 포괄적인 방어체계를 확립하고 제공할 수 있었습니다.
이 사례 연구에서는 ㈜ 쿼드마이너와 국내 탑 랭킹의 대형 은행이 이 솔루션을 구현하기 위해 협력한 방법과 그 결과를 살펴보겠습니다.
배경
이 은행은 핵심 데이터센터와 여러 지역간의 대규모 네트워크 인프라를 갖춘 대형 금융 기관입니다. 특히 본사, 데이터센터, 지점, 사무소, 고객 서비스 네트워크 간 수많은 트랜잭션의 발생으로 네트워크 환경이 매우 복잡했습니다. 이런 복잡한 환경에도 은행의 네트워크 인프라는 고객에게 안정적이고 효율적인 뱅킹 서비스를 제공해야 하기 때문에 원활한 네트워크 운용은 은행의 입장에서는 매우 중요하다고 할 수 있습니다. 이러한 중요성에도 불구하고 해당은행은 이전부터 네트워크 보호를 위해 경계보안 솔루션을 구축하고 운영해 왔지만 끊임없이 진화하는 위협환경에 지속적으로 노출되어 멀웨어 감염과 랜섬웨어 공격을 비롯한 사이버 공격의 위협에 직면해 있었으며, 이로 인해 막대한 재정적 손실과 평판의 손상이 발생 할 우려가 있었습니다.
이에 따라 해당 은행은 네트워크 인프라 보안과 무결성을 보장하기 위해서 ㈜쿼드마이너의 NDR 솔루션을 도입했습니다. NDR 솔루션은 진화된 위협 탐지 및 대응 기능을 제공하여 잠재적인 보안 위협이 피해를 일으키기 전에 선제적으로 식별하고 대응할 수 있도록 지원합니다. NDR 솔루션은 진화된 위협 탐지 및 대응 기능을 바탕으로 잠재적인 보안 위협이 피해를 일으키기 전에 선제적으로 위협을 식별하고 대응할 수 있도록 지원하는 핵심기능을 제공합니다.
이 은행의 네트워크 인프라 복잡성을 고려할 때 도입된 NDR 솔루션은 모든 지점과 데이터 센터간의 네트워크 트래픽을 모니터링하고 분석 할 수 있어야 했습니다. 이를 위해서 네트워크의 다양한 지점에 센서와 프로브를 배치하여 실시간으로 트래픽을 캡처하고 분석하기로 했습니다.
도전
이 은행이 직면한 최 중점과제는 악성 코드 및 랜섬웨어 공격 대응을 위해 EPP/EDR 보안시스템 그리고 다양한 시스템을 통한 파일 송수신 과정에서 모든 파일을 대상으로 빠짐 없이 검역해야 한다는 점이었습니다. 또한 조직화된 랜섬웨어 공격은 피싱 이메일, 드라이브 바이 다운로드, 워터링홀 공격 등 다향한 형태로 발생하기 때문에 완전한 탐지 및 예방이 어렵다는 제한사항을 극복해야 했습니다.
또한, 효과적인 EPP/EDR 시스템과 통합파일 검역소가 구축되어 있었지만, 네트워크 관점에서 볼 때 EPP/EDR 에이전트가 설치되지 않은 시스템으로 인한 감염 위협이 존재했습니다. 특히, IoT 디바이스와 서버를 비롯한 여러 디바이스에 에이전트가 설치되지 않아 악성 코드 감염에 취약한 상태였습니다. 이러한 보안 사각지대는 은행의 방어 체계에 틈을 만들었으며, 사이버 범죄자들이 이를 악용할 가능성이 컸습니다. 따라서 이를 해소하기 위해 전방위적인 통합파일 검역소의 기능 강화를 추진할 필요가 있었습니다.
마지막으로, 이 은행은 경계 보안 솔루션을 다양하게 운용하고 있었지만 보안 이벤트 정보를 로그나 플로우 분석 데이터 형태로 제공함에 따라 공격 대상이 된 시스템에서의 공격의 유효성과 영향도 조사간 신속하게 분석하고 대응 할 수 없다는 단점을 가지고 있었기 때문에 이 문제를 해결하기 위해 은행 내부 네트워크를 포함한 모든 시스템과 디바이스에서 위협을 탐지하고 대응할 수 있는 종합적인 보안 솔루션이 필요했습니다.
솔루션
㈜쿼드마이너의 NDR 솔루션은 이 은행을 위한 네트워크 보안태세를 강화하는데 도움이 되는 몇가지 주요 기능을 충족하고 있었습니다. 이 솔루션은 코어 스위치와 백본 스위치에서 남-북 및 동-서 트래픽을 미러링하도록 설계되어 이를 통해 모든 네트워크 트래픽에 대한 포괄적인 가시성을 확보할 수 있었으며, 이는 잠재적인 보안 위협을 탐지하고 대응하는데 매우 중요한 역할을 할 수 있었습니다.
이런 트래픽 미러링을 관리하기 위해 이 솔루션은 네트워크 패킷 브로커(NPB)를 활용하여 패킷 중복을 제거하고 세션 기반 미러링 트래픽 부하 분산을 수행시키며 네트워크 보안 도구의 관리가 가능하고 균형 잡힌 미러링 트래픽 부하를 수신하여 네트워크 성능에 영향을 줄 수 있는 병목 현상을 방지할 수 있었습니다.
또한, 이 솔루션에는 풀패킷 캡쳐 데이터로 트래픽을 전체적으로 검사하여 네트워크 통신 간 모든 파일을 추출하는 데 사용되는 네트워크 블랙박스도 포함되어 파일에 대한 위협을 실시간으로 확인하여 악의적인 활동을 신속하게 식별하고 대응할 수 있게 되었습니다.
마지막으로, 네트워크 블랙박스를 통해 네트워크 상에서 유통되는 모든 파일들을 추출하여 새로 구축한 통합파일검역소에서 추출한 파일에 대한 검역 요청과 파일 유통 기록을 추적하는 로그 등을 통합하였습니다.
결과
이 은행은 ㈜쿼드마이너의 NDR 솔루션을 도입하여 다양한 경로를 통해 수집된 파일 및 네트워크 블랙박스에서 추출된 파일에 대한 통합 파일 검역 기능을 강화 했으며, 또한 경계망 보안 장비들에서 발생된 보안 위협 이벤트들에 대한 상세한 정보를 제공함에 따라 은행내의 사각지역을 해소하고 포괄적인 위협 대응 체계를 구축하였습니다.
방대하고 복잡한 네트워크 환경내에서 대외 및 대내 사각지역을 해소한 포괄적인 위협 대응체계의 구축을 통해 조직화된 랜섬웨어 공격에 대한 내성을 강화하고, 외부-내부 및 내부-내부간 네트워크 에서 발생된 보안 이벤트들에 대한 즉각적인 위협의 유효성 및 영향도 판단 기능을 갖춤으로써, 보다 신속하게 보안 위협에 대응하고 예방할 수 있게 되었습니다.
