국제 운송 회사는 종종 오프라인 상태가 되거나 네트워크 연결이 제한된 대규모 선박을 관리합니다. 승무원이 선박의 컴퓨터에 액세스할 수 있는 회사는 내부 데이터의 손실을 방지하기 위해 선박의 네트워크 연결이 끊어진 상태에서 항해하는 도중에도 멀웨어 및 기타 보안 위험을 신속하게 해결할 수 있는 방법을 모색했습니다.

과제:

  • 레거시 솔루션이 멀웨어 및 랜섬웨어를 여러 번 감지하지 못했습니다.
  • 레거시 솔루션의 서명이 대역폭 및 연결 제한으로 의해 거의 업데이트되지 않았습니다.
  • 인터넷 연결 중단으로 24x7 모니터링이 불가능합니다.
  • 사이버 보안 담당자가 탑승하지 않으며 승무원도 보안 교육을 받지 않았습니다.
  • 인증되지 않은 디바이스가 선박의 컴퓨터에 연결되는 경우가 많습니다.

선박의 환경은 매우 독특하고 색다른데, 몇 개월씩 계속 해상에 있거나 장기간 동안 주요 선박 기지에서 멀리 떨어져 있기 때문입니다. 인터넷이 간헐적으로 연결되고, 자주 대역폭이 제한되고 비용이 많이 듭니다. 승무원들은 대부분 사이버 보안 교육을 받지 않았으며 멀웨어와 랜섬웨어가 감염된 안전하지 않은 디바이스를 가지고 승선할 수 있습니다. 기존의 내부 프로세스로 인해 다른 문제를 야기하지 않고 외부 디바이스를 차단하는 것은 불가능합니다. 이러한 디바이스는 일반적인 작업에도 필수적이므로 여러 우발적 상황에서 즉시 교체될 수 있습니다. 응답 시간은 매우 중요하지만 선박이 악조건 속에서 또는 고립된 지역에서 항해하는 경우가 많기 때문에 실시간 액세스는 거의 드물게 이루어집니다.

3개월 동안 IBM Security ReaQta가 차단한 공격 수

24건
랜섬웨어 공격

데이터 손실 방지를 위해 추적하고 해결한 공격 수

수십 건
기타 공격

감지 및 문제 해결

솔루션:

  • IBM Security® ReaQta를 통해 모든 선박의 엔드포인트에 설치할 솔루션을 제공했습니다.
  • 데이터 사용량이 적어서 지상 승무원이 실시간으로 선박을 모니터링하고 연결이 가능할 때 대응할 수 있었습니다.
  • 인터넷 연결 중단 시 위협을 제거할 수 있도록 자동화된 대응 및 문제 해결 조치를 활성화했습니다.

선상에서 심각한 문제를 야기한 랜섬웨어 공격을 여러 차례의 경험 이후 국제 운송 회사는 IBM에 인프라 보호를 요청했습니다. 초기 보안 위생 검사 결과 이미 다수의 선박이 RAT, 트로이 목마 및 역방향 셸을 비롯한 다양한 멀웨어에 감염된 것으로 나타났습니다. 식별된 모든 감염을 진단하고 제거한 다음 회사의 사양에 맞게 ReaQta 솔루션을 재구성했습니다. 즉, 인터넷 연결 중단 시 데이터가 폐기되지 않도록 보장하면서 비즈니스 연속성의 중단에 따른 리스크를 최소화해야 했습니다. 일상적인 작업에 필수적인 위성 연결이 포화되지 않도록 데이터 전송을 최소한으로 유지해야 했습니다. 아래 그림은 구축 환경을 보여줍니다.

아름다운 파도를 만들며 전속력으로 항해 중인 컨테이너선

위생 검사

초기 구축 후 ReaQta는 여러 비정상적 행동을 즉시 신고하고 신속하게 문제를 해결했습니다. 대부분의 멀웨어는 승무원들에 의해 유입되었고 나머지 인스턴스는 인터넷에 연결된 엔드포인트에서 다운로드한 콘텐츠에서 시작되었습니다. 위협 헌팅 캠페인을 시작했고 원격 운영자가 연결되어 통제권을 가질 때까지 기다리는 "휴면" 상태의 멀웨어 인스턴스가 거의 없다는 사실을 확인했습니다. 이러한 문제도 해결한 후 7일 간의 관찰 기간을 가졌습니다. 비정상적 행동이 더 이상 없음을 확인한 후 IBM은 최적의 데이터 사용률 및 비즈니스 연속성 중단에 따른 리스크 최소화라는 회사의 기준 목표 내에서 작동하도록 플랫폼을 재구성했습니다.

일상적인 작업

관리 대시보드는 선박 관리를 중앙 집중화하기 위해 주요 선박 기지의 인프라 내에 설치되었습니다. 선박 내 네트워크를 통합하는 동안 단 하나의 엔드포인트만 인터넷에 액세스할 수 있었고 승무원의 디바이스를 포함한 다른 엔드포인트는 인터넷에 연결할 수 없었습니다. 이 독특한 환경에서 IBM은 모든 엔드포인트에서 ReaQta 데이터만 주요 기지에 전달되게 하는 보안 채널을 구축해야 했습니다. 분석가 팀이 가능한 인시던트에 대한 모니터링과 대응을 담당했습니다.

선박이 오프라인 상태로 전환될 예정일 때 데이터를 위협할 수 있는 유일한 악성 벡터인 랜섬웨어 차단 기능이 활성화되었습니다. RAT 또는 트로이 목마를 통한 감염은 인터넷 연결이 중단되었기 때문에 즉각적인 영향을 미치지 않았습니다. 다른 모든 행동도 모니터링되었고 결과 추적 데이터를 로컬에 보관한 후 인터넷 연결이 다시 활성화되는 즉시 전달했습니다.

데이터 손실 방지

이후 3개월 동안 ReaQta는 총 24건의 랜섬웨어 공격을 차단하고 수십 건의 위협(주로 RAT)을 추적 및 해결하여 데이터 손실을 방지했습니다. ReaQta이 없었다면 선박 운영이 위험에 처했을 것이고 승무원은 결코 이상적이 아닌 조건에서 중요한 데이터를 사용할 수 없게 되었을 것입니다. 랜섬웨어의 영향과 랜섬웨어가 한 척의 선박에 미치는 영향은 회사도 이미 잘 알고 있습니다. 이 시나리오에서 ReaQta는 지연 시간과 데이터 손실을 방지하고 비용이 많이 드는 비상 대응 작업을 피하도록 도왔습니다.

국제 운송 회사 정보

주요 국제 운송 회사는 전 세계로 화물을 수송하는 200척 이상의 선박을 관리합니다.

솔루션 구성요소
IBM Security® ReaQta

© Copyright IBM Corporation 2022. IBM Corporation (07326) 서울특별시 영등포구 국제금융로 10 서울국제금융센터(3IFC) Tel. 02-3781-5114

미국에서 제작, 2022년 10월.

IBM, IBM 로고, ibm.com 및 IBM Security는 전 세계 여러 국가에 등록된 International Business Machines Corp.의 상표입니다. 기타 제품 및 서비스 이름은 IBM 또는 타사의 상표입니다. 현재 IBM 상표 목록은 https://www.ibm.com/legal/copytrade의 "저작권 및 상표 정보"에서 확인할 수 있습니다.

이 문서는 최초 발행일을 기준으로 하며, 통지 없이 언제든지 변경될 수 있습니다. IBM이 운영되고 있는 모든 국가에 오퍼링이 사용 가능한 것은 아닙니다.

제시된 성능 데이터 및 고객 예는 설명용으로만 제시된 것입니다. 실제 성과는 특정 구성 및 운영 상태에 따라 다를 수 있습니다. 이 문서의 정보는 상품성, 특정 목적에의 적합성에 대한 보증 및 타인의 권리 비침해에 대한 보증이나 조건을 포함하여(단, 이에 한하지 않음) 명시적이든 묵시적이든 일체의 보증 없이 “현상태대로” 제공됩니다. IBM 제품은 제품이 제공되는 계약의 조건에 따라 보증됩니다.

우수 보안 사례에 대한 설명: IT 시스템 보안은 기업 내부 및 외부로부터의 부적절한 액세스에 대한 방지, 감지 및 대처를 통한 시스템 및 정보 보호를 포함합니다. 부적절한 접근은 정보의 변경, 파괴 또는 유용을 초래하거나, 타 시스템에 대한 공격을 포함한 귀사 시스템에 대한 피해나 오용을 초래할 수 있습니다. 어떠한 IT 시스템이나 제품도 완벽하게 안전할 수 없으며, 단 하나의 제품이나 보안 조치만으로는 부적절한 접근을 완벽하게 방지하는 데 효과적이지 않을 수 있습니다. IBM 시스템과 제품은 합법적이며 종합적인 보안 접근방법의 일부로서 고안되며, 이러한 접근방법은 필연적으로 추가적인 실행절차를 수반하며 가장 효과적이기 위해서는 다른 시스템, 제품 또는 서비스가 필요할 수도 있습니다. IBM은 시스템과 제품이 임의의 당사자의 악의적 또는 불법적 행위로부터 영향을 받지 않는다는 것을 보장하지는 않습니다.