데이터베이스, 각종 민감한 정보와 비밀 들어있는 창고
지속적인 모니터링 및 실시간 경보 시스템 기본으로 갖춰야
[보안뉴스 문가용 기자] 야후에서 발생한 사이버 공격으로 약 5억 개의 사용자 계정이 수개월 동안 유출된 사실이 최근 드러났다. 데이터베이스를 보호할 대책 혹은 마음이 우리에겐 없다는 치명적인 현실 또한 드러났다.
물론 ‘뭘 그렇게까지 생각하나’라고 물을 수 있다. 성급한 결론이라고 느낄 수도 있다. 하지만 우리가 지금 운영하고 있는 디지털 저장소 자체에 대한 이해도가 어느 정도 갖춰진 사람이라면 나의 생각에 동의할 것이라고 본다. 시스템 관리자의 로그인 정보가 도난당했든, 맞춤형 멀웨어가 익스플로잇을 감행했든, 악성 내부자가 나쁜 마음을 먹은 것이든, 현재 데이터베이스는 엄청난 위험을 직면하고 있다.
데이터베이스에는 어떤 정보가 들어있나? 금융, 건강, 직원, 신용, 교육 정보 등 중요한 걸 넘어 치명적으로까지 분류될 수 있는 정보들이 들어있다. 또, 국가 안보와 직결된 기밀을 비롯해 국가 경제를 들쑤실 수 있는 지적재산도 들어있다. 그런데도 데이터베이스에 들락날락 한 알 수 없는 존재들을 우리는 탐지할 수도, 파악할 수도 없다. 해도 너무 늦은 경우가 대부분이다.
문제는 이 사실을 우리는 모르고 적들은 알고 있다는 것이다. 그래서 적대관계에 있는 외국 정부들은 우리의 데이터베이스를 끊임없이 노리고 있다. 그에 따라 사이버 캠페인들이 각지에서 벌어지고 있고, 특히 데이터베이스 해킹으로 이어질 수 있는 사고를 미연에 방지할 수 있는 실천사항들이 여러 매체들을 통해 퍼져나가고 있다. 그럼에도 아직은 마이동풍 수준이다.
1. 감독의 부재
설문 및 연구 전문기관인 오스터만 리서치(Osterman Research)는 평균 2만 2천명의 직원을 보유하고 있는 200개의 기업 및 기관을 대상으로 데이터베이스 보안에 대한 연구를 실시했다. 그 결과 데이터베이스 보안이 놀랍도록 형편없다는 사실이 밝혀졌다. 이번 연구에 참여한 조직들 중 20%만이 탐지를 위해 지속적인 데이터베이스 모니터링을 실시한다고 밝힌 것. 다시 말해 5개 조직 중 4개는 데이터베이스를 쳐다도 보지 않거나 아주 가끔씩 흘끔거리기만 할 뿐이라는 뜻이다.
데이터베이스 모니터링이란 조직이 지속적으로 데이터베이스 내에서 일어나는 통신 및 데이터 이동 상황을 캡처, 분석, 실험, 확인하는 것으로 사실상 불법 접근을 제 때 탐지할 수 있게 해주는 유일한 방법이다. 하지만 로그를 저장하는 것만이 모니터링의 전부라고 생각하는 인식이 팽배하다.
물론 로깅은 모니터링이라는 전체 과정에 있어서 매우 중요한 요소다. 그러나 아무런 맥락이나 분석 없이 정보만 쌓아두는 건 이 중요한 정보를 쓰레기로 만들어버리는 행위다. 탐지나 해킹 방지에 있어서는 아무런 의미가 없다.
2. 전략의 부재
감독과 모니터링을 하자고 마음먹었다면, 효율적으로 해야 한다. 이는 전략이 필요하다는 말과 동일한데, 그 핵심은 자동 경보 시스템이다. 실시간으로 경보가 울리는 프로세스를 따로 지정해두지 않는다면, 데이터베이스에서 일어나는 어마어마한 일처리(프로세싱) 양 때문에 경보 시스템이 지연되거나 멎을 수도 있다. 경보 프로세스가 제대로 작동해야 조직들은 데이터베이스에서 발생한 노이즈를 즉각 분석할 수 있고, 진짜 위협거리에 집중할 수 있게 된다.
이 경보라는 건 이메일로 날아올 수도, 문자 메시지로 전송될 수도 있다. 혹은 자동 음성 전화 서비스로도 제공된다. 이 경보를 받았을 때 보안 감사자다 담당자는 반드시 해당 경보 내용을 파악하고 세부 내용을 분석해 위험도를 평가해야 한다. 데이터베이스에 실제적인 위협요소가 발견되었을 경우, 관련자들에게 이를 알리고 수사를 즉각 시작하는 등 조치를 취하는 것이 기본이다.
다음은 일반적인 현상으로 유추해볼 수 있는 공격 형태다.
1) 표, 횡, 열의 수정 : 데이터 조작 공격
2) 감사 로그의 비활성화 : 데이터베이스 공격
3) 식별되지 않은 IP 주소로부터의 데이터베이스 접근 : 의심스러운 지역에서의 접속 가능성 높음
4) 데이터베이스 내 접근제한 세그먼트로의 접근 시도 : 권한 상승 공격
5) 수상한 시간대에서의 접근 : 사용자 로그인 정보 탈취 공격
6) 정보 복사 : 데이터 탈취
7) 데이터베이스 내 대량의 정보 이동 및 엑스포트 시도 : 데이터 탈취
위 7가지 사항들은 공격이 실제 발생할 때 일반적으로 나타나는 현상으로, 이 중 하나라도 발견될 경우 반드시 분석과 탐지, 수사 활동을 벌여야 한다. 데이터베이스에 대한 공격은 최근 일어날 수 있는 사이버 공격 중 가장 위험하다고 해도 과언이 아니다. 그럼에도 아직 우리는 방어 준비가 안 되어 있다. 심지어 야후도 말이다. 데이터베이스에 대한 각별한 보호가 필요하다.
글 : 존 모이니한(John Moynihan)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
지속적인 모니터링 및 실시간 경보 시스템 기본으로 갖춰야
[보안뉴스 문가용 기자] 야후에서 발생한 사이버 공격으로 약 5억 개의 사용자 계정이 수개월 동안 유출된 사실이 최근 드러났다. 데이터베이스를 보호할 대책 혹은 마음이 우리에겐 없다는 치명적인 현실 또한 드러났다.
물론 ‘뭘 그렇게까지 생각하나’라고 물을 수 있다. 성급한 결론이라고 느낄 수도 있다. 하지만 우리가 지금 운영하고 있는 디지털 저장소 자체에 대한 이해도가 어느 정도 갖춰진 사람이라면 나의 생각에 동의할 것이라고 본다. 시스템 관리자의 로그인 정보가 도난당했든, 맞춤형 멀웨어가 익스플로잇을 감행했든, 악성 내부자가 나쁜 마음을 먹은 것이든, 현재 데이터베이스는 엄청난 위험을 직면하고 있다.
데이터베이스에는 어떤 정보가 들어있나? 금융, 건강, 직원, 신용, 교육 정보 등 중요한 걸 넘어 치명적으로까지 분류될 수 있는 정보들이 들어있다. 또, 국가 안보와 직결된 기밀을 비롯해 국가 경제를 들쑤실 수 있는 지적재산도 들어있다. 그런데도 데이터베이스에 들락날락 한 알 수 없는 존재들을 우리는 탐지할 수도, 파악할 수도 없다. 해도 너무 늦은 경우가 대부분이다.
문제는 이 사실을 우리는 모르고 적들은 알고 있다는 것이다. 그래서 적대관계에 있는 외국 정부들은 우리의 데이터베이스를 끊임없이 노리고 있다. 그에 따라 사이버 캠페인들이 각지에서 벌어지고 있고, 특히 데이터베이스 해킹으로 이어질 수 있는 사고를 미연에 방지할 수 있는 실천사항들이 여러 매체들을 통해 퍼져나가고 있다. 그럼에도 아직은 마이동풍 수준이다.
1. 감독의 부재
설문 및 연구 전문기관인 오스터만 리서치(Osterman Research)는 평균 2만 2천명의 직원을 보유하고 있는 200개의 기업 및 기관을 대상으로 데이터베이스 보안에 대한 연구를 실시했다. 그 결과 데이터베이스 보안이 놀랍도록 형편없다는 사실이 밝혀졌다. 이번 연구에 참여한 조직들 중 20%만이 탐지를 위해 지속적인 데이터베이스 모니터링을 실시한다고 밝힌 것. 다시 말해 5개 조직 중 4개는 데이터베이스를 쳐다도 보지 않거나 아주 가끔씩 흘끔거리기만 할 뿐이라는 뜻이다.
데이터베이스 모니터링이란 조직이 지속적으로 데이터베이스 내에서 일어나는 통신 및 데이터 이동 상황을 캡처, 분석, 실험, 확인하는 것으로 사실상 불법 접근을 제 때 탐지할 수 있게 해주는 유일한 방법이다. 하지만 로그를 저장하는 것만이 모니터링의 전부라고 생각하는 인식이 팽배하다.
물론 로깅은 모니터링이라는 전체 과정에 있어서 매우 중요한 요소다. 그러나 아무런 맥락이나 분석 없이 정보만 쌓아두는 건 이 중요한 정보를 쓰레기로 만들어버리는 행위다. 탐지나 해킹 방지에 있어서는 아무런 의미가 없다.
2. 전략의 부재
감독과 모니터링을 하자고 마음먹었다면, 효율적으로 해야 한다. 이는 전략이 필요하다는 말과 동일한데, 그 핵심은 자동 경보 시스템이다. 실시간으로 경보가 울리는 프로세스를 따로 지정해두지 않는다면, 데이터베이스에서 일어나는 어마어마한 일처리(프로세싱) 양 때문에 경보 시스템이 지연되거나 멎을 수도 있다. 경보 프로세스가 제대로 작동해야 조직들은 데이터베이스에서 발생한 노이즈를 즉각 분석할 수 있고, 진짜 위협거리에 집중할 수 있게 된다.
이 경보라는 건 이메일로 날아올 수도, 문자 메시지로 전송될 수도 있다. 혹은 자동 음성 전화 서비스로도 제공된다. 이 경보를 받았을 때 보안 감사자다 담당자는 반드시 해당 경보 내용을 파악하고 세부 내용을 분석해 위험도를 평가해야 한다. 데이터베이스에 실제적인 위협요소가 발견되었을 경우, 관련자들에게 이를 알리고 수사를 즉각 시작하는 등 조치를 취하는 것이 기본이다.
다음은 일반적인 현상으로 유추해볼 수 있는 공격 형태다.
1) 표, 횡, 열의 수정 : 데이터 조작 공격
2) 감사 로그의 비활성화 : 데이터베이스 공격
3) 식별되지 않은 IP 주소로부터의 데이터베이스 접근 : 의심스러운 지역에서의 접속 가능성 높음
4) 데이터베이스 내 접근제한 세그먼트로의 접근 시도 : 권한 상승 공격
5) 수상한 시간대에서의 접근 : 사용자 로그인 정보 탈취 공격
6) 정보 복사 : 데이터 탈취
7) 데이터베이스 내 대량의 정보 이동 및 엑스포트 시도 : 데이터 탈취
위 7가지 사항들은 공격이 실제 발생할 때 일반적으로 나타나는 현상으로, 이 중 하나라도 발견될 경우 반드시 분석과 탐지, 수사 활동을 벌여야 한다. 데이터베이스에 대한 공격은 최근 일어날 수 있는 사이버 공격 중 가장 위험하다고 해도 과언이 아니다. 그럼에도 아직 우리는 방어 준비가 안 되어 있다. 심지어 야후도 말이다. 데이터베이스에 대한 각별한 보호가 필요하다.
글 : 존 모이니한(John Moynihan)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
