악성코드 및 랜섬웨어 공격 방지
국제 해운 회사는 위성 연결이 제한된 선박에 자동화된 엔드포인트 보안을 배포합니다.
컨테이너를 운반하는 해상 화물선의 조감도

국제 해운 회사는 종종 오프라인 상태이거나 위성 연결이 제한된 대규모 선박을 관리합니다. 승무원이 선박의 컴퓨터에 액세스할 수 있는 이 회사는 내부 데이터 손실을 방지하기 위해 선박이 연결되지 않은 해상에서도 멀웨어 및 기타 보안 위험을 신속하게 해결할 수 있는 방법을 모색했습니다.

해결해야 할 과제:

  • 레거시 솔루션은 멀웨어 및 랜섬웨어를 여러 번 탐지하지 못했습니다.

  • 대역폭 및 연결 제한으로 인해 레거시 솔루션의 서명은 거의 업데이트되지 않습니다.

  • 인터넷 연결이 불가능하여 24시간 연중무휴로 모니터링할 수 없습니다.

  • 기내에 사이버 보안 직원이 없고 승무원은 교육을 받지 않았습니다.

  • 승인되지 않은 기기가 종종 선박의 컴퓨터에 연결됩니다.

선박은 한 번에 몇 달씩 바다에 있을 수 있기 때문에 독특한 환경에 있습니다. 인터넷 연결이 간헐적으로 이루어지며 대역폭이 제한적이고 비용이 많이 드는 경우가 많습니다.승무원은 종종 사이버 보안 교육을 받지 않은 경우가 많아 멀웨어와 랜섬웨어가 포함된 안전하지 않은 기기를 기내에 반입하게 될 수 있습니다. 내부 프로세스가 확립되어 있기 때문에 다른 문제를 일으키지 않으면서 외부 기기를 차단하는 것은 불가능합니다.또한 이러한 기기는 정상적인 작동에 필수적이며 다양한 비상 사태 발생 시 즉시 교체될 수 있습니다. 멀웨어나 랜섬웨어에 감염된 경우 대응 시간이 매우 중요하지만, 선박이 불리한 조건이나 고립된 지역에서 항해하는 경우가 많기 때문에 실시간 액세스가 거의 불가능합니다.

향상된 보안

 

이 회사는 3개월 동안 IBM Security QRadar EDR을 사용하여 24 랜섬웨어 공격을 차단했습니다.

강력한 치료

 

수십 개의 다른 공격을 추적하고 해결하여 데이터 손실 방지.

탐지 및 수정

해결책:

  • 모든 선박 엔드포인트에 IBM Security® QRadar® EDR을 설치했습니다. 

  • 데이터 사용량이 적기 때문에 지상 승무원은 실시간으로 선박을 모니터링하고 연결이 가능할 때 대응할 수 있습니다.

  • 자동화된 대응 및 해결은 인터넷 연결을 사용할 수 없는 경우에도 위협을 제거하는 데 도움이 됩니다.

선박에 심각한 문제를 일으킨 일련의 랜섬웨어 공격 이후, 이 해운 회사는 IBM에 인프라 보안을 요청했습니다. 초기 위생 점검에서는 RAT, 트로이 목마, 리버스 쉘을 포함한 다양한 멀웨어에 이미 감염된 다수의 선박이 나타났습니다. 확인된 모든 감염을 평가하고 제거한 다음, IBM Security QRadar EDR 소프트웨어를 인터넷에 연결되지 않은 상태에서도 데이터 손실이 없도록 보장하면서 비즈니스 연속성에 대한 위험을 최소화해야 하는 회사의 사양에 맞게 재구성했습니다. 일상적인 작업에 필수적인 위성 연결이 포화되지 않도록 데이터 전송도 최소화해야 했습니다. 

 

위생 점검

초기 배포 후 QRadar EDR은 다양한 비정상적인 작동에 즉시 플래그를 지정하고 신속하게 해결하고 수정했습니다. 대부분의 멀웨어는 승무원이 기내에 반입한 것이었으며, 인터넷에 연결된 엔드포인트에서 다운로드한 콘텐츠에서 발생한 경우도 있었습니다. 위협 헌팅 캠페인이 시작되었고 원격 운영자가 연결하여 제어하기를 기다리는 몇 가지 "휴면" 멀웨어 인스턴스가 드러났습니다. 이들 역시 해결되었으며, 7일간의 관찰 기간이 이어졌습니다. 추가 이상 현상이 없음을 확인한 후 IBM은 최적의 데이터 사용과 낮은 비즈니스 중단 위험이라는 회사의 매개변수 내에서 작동하도록 플랫폼을 재구성했습니다.

 

일일 조작

선박 관리를 중앙 집중화하기 위해 IBM과 이 해운 회사는 회사의 주요 기지에 보안 대시보드를 설치했습니다. 선상 네트워크가 통합되어 있고 단 하나의 엔드포인트만 인터넷에 액세스할 수 있는 선박에서 IBM은 승무원 기기를 포함한 모든 엔드포인트가 QRadar EDR 데이터를 주요 기지에 전달할 수 있는 보안 채널을 만들어 분석가 팀이 가능한 사고를 모니터링하고 대응할 수 있도록 했습니다.

선박이 오프라인 상태가 되면 이 해운 회사는 랜섬웨어는 데이터를 위험에 빠뜨릴 수 있는 유일한 악성 벡터이기 때문에 QRadar EDR의 랜섬웨어 보호 기능을 활성화합니다. RAT나 트로이 목마를 통한 감염은 연결이 없었기 때문에 즉각적인 영향을 미치지 않았을 것입니다. 다른 모든 동작은 추적 데이터를 로컬에 보관하여 모니터링되며 인터넷 연결을 다시 사용할 수 있게 되면 즉시 전달됩니다.

데이터 손실 방지

이후 3개월 동안 이 해운 회사는 QRadar EDR을 사용하여 24건의 랜섬웨어 공격을 방지하고, 수십 가지 위협(대부분 RAT)을 추적 및 해결하고, 데이터 손실을 방지했습니다. 이 솔루션이 없었다면 선박의 운영이 위태로웠을 것이고, 승무원들이 이상적이지 않은 조건에서 중요한 데이터를 사용할 수 없게 되어 운송이 지연되고 많은 비용이 드는 긴급 대응 작업이 필요했을 것입니다.

국제 해운 회사 정보

주요 국제 해운 회사는 전 세계적으로 상품을 운송하는 200척 이상의 선박을 관리합니다.

 

다음 단계:
사례 연구 보기 IBM 뉴스레터 구독하기 주요 국제 공항

IBM Security QRadar EDR을 사용하여 에어 갭 네트워크 내에서 멀웨어 탐색

사례 연구 읽기
주요 인프라스트럭처

용수 관리 시설을 겨냥한 고도의 지능형 공급망 공격 추적

사례 연구 읽기
법률

© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

2023년 7월 미국에서 제작.

IBM, IBM 로고, IBM Security 및 QRadar는 전 세계 여러 국가에 등록된 International Business Machines Corporation의 상표입니다. 기타 제품 및 서비스 이름은 IBM 또는 다른 회사의 상표일 수 있습니다. 최신 IBM 상표 목록은 https://www.ibm.com/kr-ko/legal/copyright-trademark 에서 확인하세요.

이 문서는 최초 발행일 기준 최신 문서로, IBM은 언제든지 해당 내용을 변경할 수 있습니다. IBM이 현재 영업 중인 모든 국가에서 모든 제품이 제공되는 것은 아닙니다.

본 문서에서 인용되거나 설명된 모든 고객 사례는 일부 고객이 IBM 제품을 이용한 방식과 그로 인해 달성할 수 있는 결과에 대한 예시로 제공됩니다. 실제 환경 비용과 성능 특성은 개별 고객 구성 및 조건에 따라 다를 수 있습니다. 각 고객별 실제 결과는 전적으로 고객이 주문한 시스템과 서비스에 따라 크게 달라질 수 있으므로 일반적인 기대 결과는 제시될 수 없습니다. 본 문서의 정보는 상품성, 특정 목적에의 적합성, 비침해성 보증 또는 조건을 포함하여 명시적 또는 묵시적 보증 없이 '있는 그대로' 제공됩니다. 제품 제공 시의 계약 조건에 따라 해당 IBM 제품을 보증합니다.

 우수 보안 실천 선언문: 어떤 IT 시스템이나 제품도 완전히 안전한 것으로 간주되어서는 안 되며 어떤 단일 제품, 서비스 또는 보안 조치도 부적절한 사용이나 액세스를 방지하는 데 완전히 효과적일 수 없습니다.  IBM은 시스템, 제품 또는 서비스가 임의 사용자의 악의적이거나 불법적인 행위로부터 영향을 받지 않는다는 것을 보증하지 않으며, 귀사가 이러한 행위로부터 영향을 받지 않음을 보증하지 않습니다.