맨디언트의 시각으로 바라본 '뮌헨 사이버 보안 컨퍼런스 2023(MCSC 2023)'의 핵심 의제!
Mandiant
*본 아티클의 원문은 2023년 2월 28일 Google Cloud 블로그(영문)에 게재되었습니다.
2023년 2월 16일과 17일 양일간 독일에서 '뮌헨 사이버 보안 컨퍼런스(Munich Cyber Security Conference 2023, 이하 MCSC 2023)'이 열렸습니다. 2014년을 시작으로 매년 열리는 MCSC는 유명한 국제 보안 행사로 최신 사이버 위협 동향과 대응 전략을 논의하는 자리입니다. 2023년 행에는 초청 연사로 맨디언트 인텔리전스 부사장인 산드라 조이스(Sandra Joyce)와 구글 클라우드의 CISO인 필 베나블스(Phil Venables)가 연사로 참여하였습니다. 이번 포스팅에서는 MCSC 2023의 주요 의제와 함께 구글 클라우드의 가족이 된 맨디언트가 사이버 정책 관련 도전 과제를 해결하는 데 어떤 역할을 하고 있는지 알아보겠습니다.
사라진 전장의 경계 & 공격자 사이의 경계도 흐려져...
MCSC 2023에서 다룬 주요 의제 중 하나는 러시아의 우크라이나 침공 전후로 이루어진 사이버 작전이었습니다. 맨디언트는 2022년 1월부터 4월까지 기간 동안 우크라이나를 목표로 한 파괴적인 사이버 공격이 지난 8년간 일어난 것보다 더 많이 이루어진 것을 목격하였습니다.
전쟁이 시작된 후 서방 국가 정부와 주요 보안 기업에 주어진 과제는 러시아가 배후에 있는 사이버 위협 캠페인을 식별하고 방어하는 것이었습니다. 관찰에 따르면 러시아와 우크라이나 및 NATO 회원국 간의 사이버 분쟁에서 경계가 흐려지는 현상이 나타났습니다. 관련해 구글과 맨디언트는 공동으로 'Fog of War'라는 타이틀의 보고서를 통해 상세 내용을 공유하였습니다.
Fog of War 보고서는 사이버 분쟁에서 경계가 흐려지고 있다는 것을 잘 보여주는 관찰 내용을 담고 있습니다. 몇 가지 예를 들면 다음과 같습니다. 더 자세한 내용은 보고서 원문을 참조 바랍니다.
맨디언트는 XakNet Team, Infoccentr, CyberArmyofRussia의 핵티비스트 텔레그램 채널을 운영하는 위협 행위자가 러시아 정찰 총국(GRU)가 후원하는 공격 그룹인 FROZENLAKE?APT28과 함께 작전을 조정하고 있다고 평가하고 있습니다.
- 일부 공격 그룹은 러시아에 충성을 선언하였고, 정치 및 지정학적 노선에 따라 뜻을 달리하는 공격 그룹도 있었습니다. 유명한 운영자 중 하나는 활동을 중단하기도 했습니다. 또한, 러시아 및 동유럽 공격 그룹 사이에 암묵적으로 이어지던 러시아 정부를 공격하는 금기도 완화되었습니다.
- 러시아의 정보 작전(Information Operation)은 파괴적인 사이버 작전과 함께 진행되었습니다.
이번 전쟁 관련해 네트워크 방어자는 사이버 스파이 활동, 파괴적인 사이버 작전, 정보 작전, 핵티비즘, 사이버 범죄 등 다차원적인 위협에 직면하였습니다. 이런 도전은 보안 커뮤니티 측면에서 협력을 강화해 해결해야 합니다. 구글은 이미 공동의 노력에 힘을 기울이기 시작하였습니다. Fog of War 보고서에서 강조한 바와 같이 구글의 TAG(Threat Analysis Group)은 우크라이나의 구글 서비스 이용자를 적극적으로 보호하고 있습니다. 그리고 구글 트러스트 앤 세이프티(Trust and Safety) 팀은 러시아 공격 그룹이 정보 작전으로 수익을 창출하는 것을 차단하기 위해 단호한 조치를 취하고 있습니다. 맨디언트도 우크라이나 정부와 민간에서 일어난 침해 사건 대응 서비스를 제공하고 있습니다.
책임감 있는 기업
MCSC 2023의 또 다른 의제는 책임감 있는 기업(Responsible Player)이었습니다. 연사로 참여한 여러 정부 관계자들은 입을 모아 사이버 전장에서 일어나고 있는 러시아의 만행에 IT 및 보안 업계가 적극적으로 나서야 한다고 촉구하였습니다.
언급한 바와 같이 맨디언트와 구글은 책임 있는 기업이 되기 위해 최선을 다하고 있습니다. 가령 구글 클라우드 서비스는 고객과 공동으로 위험을 관리하는 모델(shared-fate model)을 채택하고 있습니다. 구글은 기술적으로 안전한 클라우드 환경을 제공하는 것으로 책임과 역할을 다 한다고 보지 않습니다. 구글은 안전한 클라우드 환경 및 제품 제공을 기본으로 고객이 클라우드를 사용하는 시작부터 끝까지 책임을 함께 해야 한다고 봅니다.
맨디언트는 오랫동안 공격자와 그들의 행위에 대한 심층적인 통찰력을 확보해왔습니다. 이 통찰력은 현재 구글의 통찰력과 시너지를 내고 있습니다. 맨디언트는 공동의 책임을 어떻게 지고 있을까요? 이는 구글 클라우드 CEO인 토마스 쿠리안(Thomas Kurian)이 맨디언트 인수를 완료했을 때 설명한 내용에 잘 묘사되어 있습니다. 당시 그는 양사의 공동 비전은 최고의 위협 인텔리전스를 통해 보안 운영을 민주화하는 것이라고 밝혔습니다. 양사의 위협 인텔리전스에 대한 문턱을 낮춰 보안 커뮤니티가 중요한 위협을 탐지하고 대응하는 데 있어 유용한 통찰력을 갖출 수 있도록 돕는 것을 양사의 비전으로 본 것입니다.
규제의 역할
세 번째로 주목할 의제는 규제입니다. 유럽 지역은 사이버 보안 관련해 매우 역동적으로 규제를 적용하고 있습니다. 현재 EU는 네트워크 및 정보 보안 지침 2.0(NIS2)를 채택하였고, 최근에는 사이버 복원력 법(CRA)를 발표하였습니다.
구글 클라우드는 플랫폼과 보안 도구 등 다각적으로 규정 준수를 위해 최선을 다하고 있습니다. 규정 준수를 위해 위험 거버넌스, 인시던트 리포팅, 취약점 관리를 위한 프로세스 개발에 10년 이상을 투자해왔습니다.
EU의 NIS2 채택은 포괄적인 사고 대응 계획 수립과 명확한 보고가 그 어느 때보다 중요해졌음을 의미합니다. 관련해 맨디언트는 사고 대응, 자문 및 위협 인텔리전스 서비스를 통해 사고를 해결하고 조직이 취약성을 명확히 이해하고 안전한 네트워크를 구축하기 위한 로드맵을 수립할 수 있도록 적극적인 역할을 수행하고자 합니다.
한편, 공급망 보안 강화에 중점을 두는 CRA 발표에 따라 위협 인텔리전스를 사용해 실제 위협에 집중하는 것도 중요해졌습니다. 러시아가 지원한 솔라윈즈(SolarWinds) 공급망 침해 사건은 보안 리더들 사이에 공급망 보안에 대한 광범위한 논의를 촉발하였습니다. 그러나 이것만으로는 부족합니다. 공급망 보안은 더 큰 주의를 기울여야 합니다.
가령 위협 인텔리전스 보고서에 따르면 솔라윈즈 침해가 발생한 해에 발생한 소프트웨어 공급망 침해의 약 40%가 개발자 도구 및 오픈 소스 라이브러리와 관련된 것으로 나타났습니다. 이후 중국은 소프트웨어 공급망 공격에 적극적으로 나섰습니다. 이외에도 맨디언트의 관찰에 따르면 금전적인 동기로 공급망 공격에 나서는 사례가 급격히 증가하고 있습니다.
종합해 볼 때 공급망 위협과 CRA 규제 대응에 있어 위협 인텔리전스의 역할은 매우 크다고 볼 수 있습니다. 규제 기관은 공급망 관련 위협 인텔리전스를 활용해 눈에 띄는 위협을 식별하고 충분한 정보를 바탕으로 정책을 마련할 수 있습니다. 또한, 네트워크 방어자는 공급망 위협 인텔리전스를 참조해 주요 위협에 초점을 맞춘 명확한 보호 계획을 수립할 수 있습니다.
맨디언트와 구글은 이런 문제 해결을 위해 유럽의 사이버 보안 규제 관련 기관과 협력할 수 있는 기회가 주어지기를 바랍니다. 맨디언트와 구글은 규제 기관과 협력을 통해 더 적극적인 규제의 기준선을 마련할 기회가 있다고 봅니다. 맨디언트의 경험에 비추어 볼 때 기술적으로 규제를 준수하는 조직임에도 침해를 당하는 곳이 많습니다. 실제로 맨디언트는 규제 준수를 잘 함에도 침해를 당한 수많은 고객의 침해 대응 현장에서 활동하고 있습니다.
앞으로의 도전 과제는 무엇이고, 이를 어떻게 수용할 것인가?
MCSC 2023을 통해 사이버 정책과 네트워크 방어 커뮤니티 모두가 공감할 다양한 과제가 논의되었습니다. 보안 커뮤니티는 현재 당면한 문제를 정면으로 해결할 수 있는 조직과 역량을 갖추고 있습니다. 위협 인텔리전스와 자동화 기술의 조합을 통해 보안 기능을 강화하면 더 중요한 위협에 집중할 수 있습니다. 이런 생각은 구글 보안팀이 추진 중인 다양한 이니셔티브의 바탕에 깔려 있는 비전과도 같습니다.
구글은 책임감 있고, 신중하고, 사려 깊은 접근 방식을 통해 위협 환경에 대한 심층적인 이해를 쌓아가고 있습니다. 이를 참조하면 사이버 공격자들에게 치명적인 타격을 가할 수 있습니다. 네트워크 방어자가 정부의 지원을 등에 업은 막강한 공격 그룹과 맞닥뜨리면 절망감을 느끼기 쉽습니다. 그렇다고 좌절할 필요는 없습니다. 위협 인텔리전스로 보안 기능을 강화하고, 위협에 대한 가시성을 높이면 실행 가능한 통찰력을 빠르게 확보해 대응할 수 있습니다. 이런 식으로 방어자가 초기 위협에 신속히 대응할 수 있게 되면 위협 행위자는 더 많은 시간과 노력 그리고 비용을 들이는 수고를 해야 합니다.
탄력적이고 사전 예방적인 보안 태세를 갖추는 것! 이는 거창한 목표가 아닙니다. 당장 실행할 수 있고 달성 가능한 목표입니다.
-Mandiant, 작성자: Jamie Collier
