안녕하세요. 새로운 보고 툴을 테스트 중입니다. 아래 링크를 클릭하여 몇 가지 샘플 보고서를 실행해 주시겠어요? SSO에서 실행해야 하므로 암호를 묻는 경우 사용 중인 네트워크 암호를 입력하세요. 이 툴에 대해 어떻게 생각하는지 알려 주세요.
정상적인 이메일일까요, 아니면 표적 피싱 시도일까요? 이는 수많은 기업과 직원들이 매일 직면하는 문제이며, 이러한 공격이 더욱 교묘해짐에 따라 그 차이를 구분하는 것이 더욱 어려워지고 있습니다.
사이버 공격의 약 40%가 피싱으로 시작
실제로 IBM®이 2021년에 파악한 결과에 따르면, 가장 흔한 위협 벡터는 피싱 시도로서 공격의 약 40%가 시작되는 지점으로 이용되고 있었습니다. 그리고 범죄자와 사기꾼이 통화 방식(비싱 또는 보이스 피싱)을 추가하면 시도가 성공할 확률이 3배 더 높아졌습니다. 마찬가지로, 랜섬웨어 공격은 전체 공격의 21%를 차지하는 주요 사이버 위협이 되었습니다.
특히 전통적인 산업 부문의 기업들이 디지털 혁신을 통해 확실한 경쟁 우위를 확보할 수 있는 방법을 모색하기 시작하면서 해당 분야에서도 사이버 위협이 증가하고 있습니다. IBM의 연구에 따르면, 2021년 가장 많이 공격받은 산업은 금융 서비스를 제치고 제조업이 차지했으며, 그 해 기업이 해결한 공격의 23.2%를 차지했습니다.
제조업: 2021년 가장 많은 공격을 받은 산업
따라서 프로덕션 현장에서 AI와 하이브리드 클라우드가 보편화되고 분석 기반 의사 결정으로 인해 워크플로의 실시간 전환이 요구됨에 따라 해커와 기타 불법 행위자들은 새로운 타깃이 풍부한 환경을 찾고 있습니다.
주로 두산그룹에 IT 및 DT 서비스를 제공하는 기업인 두산 디지털이노베이션(DDI)의 최고운영책임자(COO)이자 두산그룹의 기업 디지털 전략 총괄인 로버트 오 부사장은 이렇게 말합니다. "직원이 누르지 말아야 할 링크를 클릭하는 것과 같이 악의적이지 않은 행동을 한 번이라도 할 수도 있습니다. 일단 백도어를 열고 안으로 들어가면 대부분의 회사는 한 달 넘게 보안 침해를 당했다는 사실을 알지 못합니다. 피해를 입히기에 너무 충분한 시간입니다."
더 빨라진 배포
프로젝트 시작 후 1년 내에 글로벌 통합 보안 인프라를 구상하고 배포
더 빠른 대응
SOAR를 이용해 위협 대응을 가속화하여 대응 시간을 최대 85% 단축
2021년 초, 두산그룹 기업 디지털 전략 총괄 겸 부사장직을 맡고 있던 오 부사장은 DDI의 COO에도 선임되었습니다. 그리고 이 임명을 통해 그는 변화하는 보안 환경과 이에 대처하는 방법을 고려했으며, 효과적이고 포괄적인 사이버 보안 프로그램이 모든 디지털 혁신 노력의 기반이 되어야 한다고 믿었습니다. 다행스럽게도 그는 새로운 직책을 맡아 DDI뿐만 아니라 글로벌 두산그룹의 디지털 혁신 여정을 이끄는 책임을 맡게 되었습니다.
"제가 최고 경영진에게 가장 먼저 언급한 것 중 하나는 디지털 혁신에 대한 투자 보호의 중요성이었습니다."라고 오 부사장은 회상합니다. "상상하시겠지만, 경영진이 회사의 보안 태세를 강화하는 데 동의하도록 설득하는 데는 어느 정도 시간이 걸렸습니다. 보안을 당연한 것으로 여기는 경우가 많은데, 아직 문제가 발생하지 않았으니 앞으로도 발생하지 않을 것이라고 생각하는 겁니다. 하지만 저는 보안이 앞으로 회사의 성공을 가능하게 하는 핵심 요소라는 점을 이해시키는 데 집중했습니다. 보안은 회사의 변화와 함께 존재하는 것이 아니라 기초였습니다."
특히 오 부사장은 두산그룹의 보안 태세를 더 선제적이고 전 세계적으로 관리되는 상태로 전환하고 싶었습니다. 이전에는 회사의 보안 노력이 사업부 또는 지역 수준에서 관리되었기 때문에 보안 팀 간의 협업이 다소 비효율적이었습니다.
"두산그룹은 전 세계 40개국 이상에서 사업을 운영하고 있습니다."라고 오 부사장은 덧붙였습니다. "글로벌 규모에서는 모두의 동의를 구할 시간이 없습니다. 이미 정책, 프로세스, 선제적인 기술 지원을 통해 합의된 상태여야 합니다."
오 부사장은 계속해서 이렇게 말합니다. "저는 글로벌 보안 팀의 모든 구성원이 우리가 관리하는 가능한 모든 엔드포인트에 대해 동일하고 통합된 시각을 확보하도록 하고 싶었습니다. 즉, 경계를 구축해야 했고, 실행 가능한 실시간 글로벌 가시성을 확보해야 했습니다."
생각은 글로벌하게, 보호는 지역에 맞게
오 부사장도 알고 있듯이 40개국의 보안 정책을 표준화하고 중앙 집중화하는 것은 간단한 작업이 아닙니다. "처음에는 팀원들에게 일생일대의 모험을 경험하게 될 거라고 말했어요."라고 그는 회상합니다. "전 세계 업무 방식에 영향을 미칠 수 있는 혁신적인 기회는 거의 없습니다. 하지만 적절한 지원이 있다면 이 모험을 훨씬 더 예측 가능하게 만들 수 있다는 것을 알았습니다. 바로 그 지원을 IBM을 통해 받을 수 있었죠."
첫 번째 단계로, 원격 IBM Security® X-Force® 팀이 DDI의 기존 프로세스 내에서 가시성을 개선할 수 있는 영역을 평가하고 파악했습니다. 그런 다음 고객의 보안 담당자가 현장의 IBM Security X-Force 컨설팅 팀과 협력하여 그룹의 글로벌 네트워크에 대한 더 심층적인 성숙도 분석을 수행했습니다. 그리고 이러한 정보를 바탕으로 공동 팀은 보안 시스템을 더욱 강화하고 업계에서 인정하는 모범 사례에 부합하는 글로벌 거버넌스를 촉진하는 데 도움이 되는 권장 사항을 취합했습니다.
이러한 노력의 일환으로 DDI와 IBM 팀은 보안 인프라 내에서 일하는 두산 직원의 적절한 역할과 책임을 파악하고 계획했습니다. 마찬가지로, 공동 팀은 이 새로운 보안 태세를 위한 용량 계획에 참여하면서 보호 노력을 강화하는 데 도움이 되는 추가 사용 사례 및 사고 대응 런북 옵션을 파악했습니다.
또한 DDI와 IBM 공동 팀은 두산그룹이 지역별 보안관제센터(SOC)를 통합된 글로벌 SOC로 통합하는 것이 더 나은 서비스를 제공할 수 있을 것으로 판단했습니다. 더 긴밀하게 통합되고 표준화된 감독 전략을 통해 그룹은 공통 성과 지표를 확립하고 여러 사이트와 지역에 걸쳐 더 쉽게 조정할 수 있게 됩니다.
이 평가에 확신을 갖고 DDI는 권장되는 보안 개선 사항을 추진했습니다. IBM Security X-Force 팀이 감독하는 새로운 글로벌 SOC는 '태양을 따르는' 모델에 따라 24시간 모니터링 및 보호 기능을 제공합니다. 두산의 글로벌 인프라에 대한 보안 책임은 24시간 내내 3개의 IBM 사이트에서 순환되며, 하루 중 가장 활동량이 많은 지역에 매니지드 탐지 및 대응(MDR) 지원을 배치합니다.
또한 글로벌 SOC 솔루션을 통해 DDI는 IBM 업계 전문가, 보안 컨설팅 지원, 최신 글로벌 위협 인텔리전스를 지속적으로 이용할 수 있습니다. 정기적으로 업데이트되는 이 지식 풀을 활용함으로써 DDI와 두산그룹은 특히 제조 부문을 대상으로 하는 위협 요소를 포함하여 가장 최근의 위협 벡터로부터 더 잘 보호받을 수 있습니다.
글로벌 SOC의 운영을 통제하기 위해 DDI는 IBM과 협력하여 핵심 보안 인프라를 업데이트했습니다. 이 팀은 엔드포인트 탐지 및 대응(EDR)을 감독하기 위해 Cybereason EDR을 배포하여 회사의 선제적 보안 인시던트 및 이벤트 관리(SIEM) 노력을 강화했습니다. EDR 소프트웨어는 잠재적인 위협을 신속하게 식별, 대응 및 해결할 수 있습니다. 또한 IBM은 IBM Cloud Pak® for Security이 제공하는 IBM Security QRadar® SOAR 기술을 통합하여 오픈 플랫폼과 Cybereason EDR 솔루션을 활용함으로써 위협 대응을 더욱 간소화하는 AI 기반 자동화를 제공했습니다.
"직원들의 귀중한 시간을 빼앗지 않고도 잘못된 위협 탐지를 해결할 수 있도록 SOAR 기능을 계층화했습니다."라고 오 부사장은 설명합니다. "이 기능은 글로벌 SOC와 조화를 이루기 때문에 이제 관련성이 있는 영역에 집중할 수 있습니다. 그리고 시스템이 실제로 해결이 필요한 문제를 발견하면 우리는 민첩성과 확신을 갖고 조치를 취할 수 있습니다."
두산은 지속적인 성장과 성숙, 변화하는 환경을 주도하기 위해 IBM X-Force 자문 계약을 활용하여 보안 전략, 거버넌스, 메트릭, 운영 모델을 지속적으로 최적화하고 있습니다. 오 부사장은 "우리의 보안 태세가 바뀌었습니다."라고 덧붙였습니다. "잠재적인 위협을 살피고 대응하는 능력이 달라졌습니다. 우리의 문화가 바뀌었죠. 그리고 글로벌 DDI 및 IBM 팀과 함께 디지털 혁신에 대한 우리의 준비 상태가 바뀌었습니다."
문제 발견에 따른 즉각 조치
글로벌 SOC가 가동되면서 오 부사장과 두산은 미래와 현재에 대한 준비가 훨씬 더 잘 되어 있다고 느끼고 있습니다.
전 세계 40개국의 두산 임직원 중 한 명이 실수로 악성 링크를 클릭했다고 상상해 보세요. 랜섬웨어는 즉시 직원의 하드 드라이브를 암호화하기 시작합니다. 다행히 두산의 새로운 EDR 솔루션은 3중 사고 탐지 계층을 제공하기 때문에 플랫폼이 의심스러운 암호화를 감지하고 즉시 해당 하드 드라이브 섹터를 격리하는 조치를 취합니다.
이와 동시에 자동화된 보안 프로토콜이 IBM Security 매니지드 탐지 및 대응 팀에 알립니다. 이것이 실제 공격임을 확인하면, IBM 팀은 현장 직원과 협력하여 영향을 받은 하드 드라이브를 재포맷하고 즉시 온라인 상태로 복구하여 비즈니스 중단을 최소화합니다.
IBM 기술과 팀이 제공하는 글로벌 실시간 모니터링을 통해 DDI는 잠재적인 보안 사고가 발생했을 때 더 나은 위치에서 대처할 수 있습니다. "이 시스템은 해야 할 일을 제대로 하고 있습니다."라고 오 부사장은 말합니다. "통합 EDR/MDR을 통해 매달 대량의 잠재적 위협을 처리하고 있습니다. 그리고 비즈니스를 중단하지 않고도 모든 잠재적인 공격에 대처하고 있습니다."
그는 계속해서 이렇게 말합니다. "그리고 SOAR도 매우 중요했습니다. AI 기반 패턴 매칭이 자동으로 사전에 처리되므로 사고를 훨씬 빠르게 감지, 해독 및 조치할 수 있어 응답 시간이 약 85% 단축됩니다."
자동화와 함께 글로벌 SOC는 회사의 보안 상태 및 운영에 대한 중앙 집중형 가시성을 제공합니다. "우리는 40개국에서 사업을 운영하고 있기 때문에 글로벌 관점을 갖는 것이 중요합니다."라고 오 부사장은 덧붙입니다. "이제 IBM을 통해 24시간 내내 실시간으로 전 세계 현황을 정확하게 파악할 수 있게 되었습니다. 모든 엔드포인트와 시스템을 파악할 수 있죠. 덕분에 팀 간 협업이 훨씬 더 효율적으로 이루어집니다."
또한 이러한 표준화된 노력을 통해 일관되고 조율된 위협 조사를 통해 보호 및 감독을 강화하는 동시에 보고, 추적 및 감사 프로세스를 간소화할 수 있습니다.
업데이트된 보안 아키텍처와 글로벌 SOC가 제공하는 기능적 향상 외에도 DDI에는 IBM과 협력해야 하는 다른 이유가 있습니다. "우리는 이 전체 프로젝트를 신속하게 수행했습니다."라고 오 부사장은 설명합니다. "저는 이 작업을 1년 안에 마무리하고 싶다고 말했습니다. 그리고 우리 글로벌 팀의 확고한 헌신과 IBM의 전문성 덕분에 우리는 결국 해낼 수 있었습니다."
오 부사장은 또한 IBM 팀이 제공하는 사고 리더십을 인정하며 다음과 같이 말합니다. "두산의 핵심 비즈니스 역량은 사이버 보안이 아닙니다. 따라서 글로벌 기업과 협력하여 두산의 사이버 보안 문화와 태세를 변화시키는 것이 합리적이었습니다. 그렇기 때문에 보안 업무를 수행할 수 있는 글로벌 리더를 영입하여 일상적인 위협에 대처할 수 있는 태도와 기술을 연마하는 데 집중할 수 있도록 했습니다."
또한 DDI는 이 프로젝트를 완료하고 디지털 혁신 노력을 준비하면서 직원들 사이에서 더 광범위하고 문화적인 영향을 인지했습니다. "우리는 보안에 훨씬 더 많은 주의를 기울이고 있습니다."라고 오 부사장은 말합니다. "내부적으로 피싱 이메일 캠페인 교육을 많이 하고 있으며, 주기적으로 모의 피싱 이메일을 발송하여 전 세계 직원들을 테스트합니다. 지난 한 해 동안 이러한 변화를 도입하면서 테스트의 클릭률은 눈에 띄게 지속적으로 떨어졌습니다. 그리고 자신의 비밀번호를 손상시킬 만큼 부주의한 사용자의 수가 극적으로 줄었습니다."
"IBM과 함께 일하면서 우리의 여정, 즉 모험을 더욱 예측 가능하게 만들었습니다."라고 오 부사장은 덧붙입니다. "모호성을 줄이고, 제휴 관계를 구축하고, 애자일 방법론을 수용하는 3A 전략에 잘 부합합니다. 그리고 우리는 함께 무엇을 개선해야 하는지가 아니라 앞으로 어느 방향으로 가야 할지 생각하는 지점에 도달한 것 같습니다."
이러한 다음 단계 중 일부는 DDI의 보안 구성을 더욱 강화하는 데 중점을 두고 있습니다. 예를 들어, 회사는 현재 제로 트러스트 보안 원칙의 적용 확장을 고려하고 있습니다. 이제 DDI는 글로벌 네트워크의 경계를 확보했으므로 사용자가 아키텍처 내에서 탐색할 때 적용되는 새로운 인증 계층을 만들고 있습니다.
"따라서 더 중요한 인프라나 서버에 액세스할 때는 더 높은 단계로 증명해야 합니다."라고 오 부사장은 설명합니다. "훨씬 더 안전하고 통제된 제로 트러스트 환경이 것입니다."
또한 DDI는 핵심 보안 아키텍처를 지속적으로 강화하는 한편, 더 광범위한 디지털 혁신을 추진하기 위한 충분한 조치를 취했습니다. 오 부사장은 이렇게 설명합니다. "더 이상 우리가 해야 할 일이 무엇인지 고민하지 않습니다. 이제 우리가 할 수 있는 일이 무엇인지 살펴보고 있습니다. 기술을 활용하여 제조 현장에서 작업을 더 효율적으로 만드는 방법이 무엇일지, 이러한 새로운 보안 기능을 우리가 만드는 제품에 어떻게 통합할지, 우리가 결코 가능하다고 생각하지 못했던 새로운 비즈니스를 창출하기 위해 이러한 변화를 어떻게 활용할지 고민합니다."
법률
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
2022년 10월 미국에서 제작.
IBM, IBM 로고, ibm.com, IBM Cloud Pak, IBM Security, QRadar 및 X-Force는 전 세계 여러 국가에 등록되어 있는 International Business Machines Corp.의 상표입니다. 기타 제품 및 서비스 이름은 IBM 또는 다른 회사의 상표일 수 있습니다. IBM 상표의 최신 목록은 '저작권 및 상표 정보' 웹페이지(ibm.com/trademark)에서 확인하세요.
이 문서는 최초 발행일 기준 최신 문서로, IBM은 언제든지 해당 내용을 변경할 수 있습니다. IBM이 현재 영업 중인 모든 국가에서 모든 제품이 제공되는 것은 아닙니다.
명시된 성능 데이터 및 고객 사례는 오직 정보 목적으로 제공됩니다. 실제 성능 결과는 특정 구성 및 작동 조건에 따라 다를 수 있습니다. 본 문서의 정보는 상품성, 특정 목적에의 적합성, 비침해성 보증 또는 조건을 포함하여 명시적 또는 묵시적 보증 없이 '있는 그대로' 제공됩니다. 제품 제공 시의 계약 조건에 따라 해당 IBM 제품을 보증합니다.
우수 보안 실천 선언문: IT 시스템 보안에는 기업 내외부의 부적절한 액세스를 예방, 탐지 및 대응하여 시스템과 정보를 보호하는 것이 포함됩니다. 부적절한 액세스로 인해 정보가 변경, 삭제, 도용, 오용될 수 있으며 다른 대상을 공격하는 데 이용되는 것을 포함하여 시스템이 손상되거나 악용될 수 있습니다. 어떠한 IT 시스템이나 제품도 완전하게 안전하다고 간주해서는 안 되며, 어떠한 단일 제품, 서비스 또는 보안 조치도 부적절한 사용 또는 액세스를 완전히 효과적으로 방지할 수 없습니다. IBM 시스템, 제품 및 서비스는 합법적이고 포괄적인 보안 접근 방식의 일부로 설계되었으며, 이에 따라 반드시 추가적인 운영 절차가 필요합니다. 또한 가장 효과적인 운영을 위해 다른 시스템, 제품 또는 서비스가 필요할 수 있습니다. IBM은 시스템, 제품 또는 서비스가 임의 사용자의 악의적이거나 불법적인 행위로부터 영향을 받지 않는다는 것을 보증하지 않으며, 귀사가 이러한 행위로부터 영향을 받지 않음을 보증하지 않습니다.