Trace Id is missing

사이버 위협, 점차적으로 세계 최대의 행사 무대로 표적 확장

다운로드
공유
다양한 아이콘이 있는 축구 경기장 그림.

Cyber Signals 5호: 플레이 상태

위협 행위자는 표적 공격, 광범위한 공격, 기회를 노린 공격 등 다양한 공격 시작 기회를 포착하기 위해 표적이 있는 곳으로 찾아갑니다. 그들의 표적은 세간의 이목이 쏠리는 스포츠 행사, 특히 점점 더 연결되는 환경에서 개최되는 행사로 확장되고, 주최자, 지역 주최 시설 및 참석자에 대한 사이버 위험을 초래하고 있습니다. 영국사이버보안센터(NCSC)에 따르면 스포츠 단체를 목표로 한 사이버 공격이 점점 더 흔해지고 있습니다. 조사 대상자의 70%가 매년 최소 1회 이상의 공격을 경험했으며, 이는 영국 기업들이 경험한 평균 횟수보다 훨씬 높은 수치입니다.

현지 주최자와 주최 시설은 세계 무대에서 원활하고 안전한 환경을 제공해야 한다는 새로운 압박감을 느끼고 있습니다. 장치 하나의 구성 오류, 암호 노출, 간과된 타사 연결과 같은 실수가 데이터 침해 또는 침입 성공으로 이어질 수 있습니다.

Microsoft는 2022년 카타르 FIFA 월드컵TM 개최 기간에 중요한 인프라 시설에 대한 사이버 보안 지원을 제공했습니다. 이번 호에서는 행사 장소, 팀, 행사와 관련된 중요 인프라 전반에 걸쳐 위협 행위자가 이러한 환경을 어떻게 평가하고 침투하는지에 관해 현장 경험을 바탕으로 알려 드립니다.

우리 모두가 사이버 보안 지킴이입니다.

Microsoft는 2022년 11월 10일부터 12월 20일까지 카타르의 시설 및 조직에 사이버 보안 방어를 담당하면서  6억 3,460만 건 이 넘는 인증을 수행했습니다.

기회를 노리는 위협 행위자, 표적이 풍부한 환경 악용

스포츠 행사 및 장소에서 발생하는 사이버 보안 위협은 다양하고 복잡합니다. 에스컬레이션을 예방하고 완화하기 위해서는 끊임없는 경계와 이해관계자들 간의 협업이 필요합니다.  6,000억 달러 이상의 가치에 달하는 세계 스포츠 시장에서 표적은 풍부합니다. 스포츠팀, 메이저 리그 및 글로벌 스포츠 협회, 행사 장소는 사이버 범죄자가 바라 마지않는 귀중한 정보의 집합소입니다.

운동 성과, 경쟁 우위, 개인 정보 등의 정보는 수익성이 높은 표적입니다. 안타깝게도 이러한 환경에서 이러한 정보는 커넥티드 디바이스도 많고 상호 연결된 네트워크 수도 많아 취약성이 대규모로 발생할 수 있습니다. 종종 이 취약성의 범위는 팀, 기업 후원자, 지방 자치 단체, 제삼자 계약자를 비롯한 여러 소유자에 걸치기도 합니다. 코치, 운동선수, 팬 또한 데이터 손실 및 갈취의 피해자가 될 수 있습니다.

또한 행사장과 경기장에는 알려진 취약성은 물론 알려지지 않은 더 많은 취약성이 있어 POS 장치, IT 인프라, 방문자들의 장치와 같은 중요 비즈니스 서비스가 위협의 표적이 될 수 있습니다. 유명 스포츠 행사들은 사이버 위험 프로필이 같은 경우가 없으며, 위치, 참가자, 규모, 구성 요소 등의 요인에 따라 달라집니다.

Microsoft는 카타르 월드컵이 개최되는 동안 노력을 집중하기 위해 엔드포인트, 전자 메일 시스템, 디지털 ID 및 클라우드 앱에서 위협을 사전에 검색하는 관리형 위협 헌팅 서비스인  헌팅용 Defender 전문가를 통해 위험을 평가함으로써 사전 예방적 위협 헌팅을 수행했습니다. 이 행사의 사이버 위험 프로필 요인에는 위협 행위자 동기, 프로필 개발, 대응 전략이 포함되었습니다. 또한 지정학적 동기가 있는 위협 행위자와 사이버 범죄자에 대한 글로벌 위협 인텔리전스도 고려했습니다.

가장 큰 우려 사항으로는 행사 서비스 또는 지역 시설에 대한 사이버 침해 위험이 포함되었습니다. 랜섬웨어 공격과 데이터 도용 시도와 같은 침해도 행사 환경과 정상적인 운영에 악영향을 미칠 수 있습니다.

2018년~2023년 공개적으로 보고된 사건의 연대표

  • 2023년 1월, NBA(전미 농구 협회)는 팬들에게 타사 회보 서비스로부터 개인 정보가 새어 나간 데이터 유출 사고를 경고합니다.1
  • 2022년 11월, 맨체스터 유나이티드는 자신들의 시스템이 사이버 공격을 당했음을 확인했습니다.2
  • 2022년 2월, 샌프란시스코 포티나이너스는 슈퍼볼 선데이에 대규모 랜섬웨어 공격을 받았습니다.3
  • 2021년 4월, 한 랜섬웨어 단체가 계약서, 기밀 유지 협약서, 재무 데이터를 포함하여 휴스턴 로케츠로부터 500GB 데이터를 훔쳤다고 주장합니다. 내부 보안 도구가 일부 시스템을 제외하고 랜섬웨어가 설치되는 것을 막았습니다.4
  • 2021년 10월, 미네소타의 한 남성이 메이저 리그 베이스볼 컴퓨터 시스템을 해킹하고 미화 15만 달러를 갈취하려고 시도한 혐의로 기소되었습니다.5
  • 2018년 평창 동계올림픽에서는 고도의 공격이 이루어졌습니다. 개막식 전에 올림픽 네트워크가 러시아 해커들의 공격을 받았습니다.6

위협 헌팅 팀은 고객 장치와 네트워크를 점검하고 보호하는 데 심층 방어 원칙에 따라 운영되었습니다. 또 다른 중점 사항은 ID, 로그인 및 파일 액세스의 동작을 모니터링하는 것이었습니다. 운송, 통신, 의료 및 기타 필수 기능과 관련된 고객을 포함하여 광범위한 부문에 적용되었습니다.

인간 주도 위협 헌팅과 대응 지원을 통해 하루 24시간 모니터링되는 전체 엔터티와 시스템은 총 10만 개 이상의 엔드포인트, 14만 4,000개 이상의 ID, 1,460만 건 이상의 전자 메일 흐름, 6억 3,460만 건 이상의 인증 및 수십억 개의 네트워크 연결을 망라했습니다.

한 예로, 팬과 선수에게 중요한 지원과 의료 서비스를 제공하는 병원을 비롯하여 몇몇 의료 시설이 행사용 긴급 치료 병동으로 지정되었습니다. 의료 데이터를 보유한 의료 시설은 가치가 높은 표적이었습니다. Microsoft의 컴퓨터 및 인간 기반 위협 헌팅 활동은 위협 인텔리전스를 활용하여 신호를 스캔하고, 감염된 자산을 격리하고, 이러한 네트워크에 대한 공격을 방해했습니다. 팀은 Microsoft Security 기술의 조합을 활용하여 의료 네트워크를 표적으로 삼은 랜섬웨어 전 단계 활동을 탐지하고 격리했습니다. 여러 번 실패한 로그인 시도가 기록되었고 이어지는 활동은 차단되었습니다.

의료 서비스는 긴급함이라는 특성 때문에 장치와 시스템이 최고 수준의 성능으로 유지되어야 합니다. 병원과 의료 시설은 정상적인 사이버 보안 태세 유지와 서비스 가용성 제공이라는 두 가지 필요성에서 균형을 찾아야 하는 어려운 과제를 안고 있습니다. 공격이 성공하는 경우 단기적으로는 데이터에서 IT에 이르는 관점에서 의료 시설이 마비되어 의료 서비스 공급자가 펜과 종이로 환자 데이터를 업데이트하게 되고, 응급 상황 또는 대량 환자 분류 상황에서 생명을 구하는 의료 서비스 수행 능력이 약화될 수 있습니다. 장기적으로는 네트워크 전체에 대한 가시성을 얻기 위해 심어 둔 악성 코드가 추가 침해를 목표로 한 더 큰 랜섬웨어 공격에 활용될 수 있습니다. 이 경우 데이터 도난 및 갈취로 향하는 문이 열릴 수 있습니다.

대규모 글로벌 행사가 계속해서 위협 행위자에게 가치 높은 표적이 됨에 따라, 공격을 통해 광범위한 지정학적 이익을 얻을 수 있다면 부차적 피해는 기꺼이 감수하려는 국가 단위 행위자들에게  다양한 동기가 부여되고 있습니다. 또한 스포츠 및 경기장 관련 IT 환경에 존재하는 막대한 재정적 기회를 활용하려는 사이버 범죄 단체는 계속해서 이러한 환경을 훌륭한 표적으로 여길 것입니다.

권장 사항

  • SOC 팀 보강: 행사를 24시간 모니터링하는 추가 인력을 확보하여 위협을 사전에 탐지하고 알림을 보냅니다. 이를 통해 더 많은 헌팅 데이터를 연계시키고 침입 징후를 조기에 발견할 수 있습니다. 여기에는 ID 침해 또는 장치-클라우드 피벗과 같은 엔드포인트를 넘어서는 위협이 포함되어야 합니다.
  • 집중적인 사이버 위험 평가 수행: 행사, 경기장 또는 행사 개최국과 관련된 잠재적 위협을 식별합니다. 이 평가에는 공급업체, 팀 및 경기장 IT 전문가, 스폰서 및 주요 행사 이해관계자가 포함되어야 합니다.
  • 최소 권한 액세스를 모범 사례로 고려: 시스템 및 서비스에 대한 액세스 권한을 필요한 사람에게만 부여하고 액세스 계층을 이해하도록 직원을 교육합니다.

광범위한 공격 표면에 추가 계획 및 감독 필요

월드컵™, 올림픽 및 일반적인 스포츠 경기와 같은 행사에서는 알려진 사이버 위험이 독특한 방식으로 드러나며, 종종 다른 엔터프라이즈 환경에서보다 탐지하기 어렵습니다. 이러한 행사는 새로운 파트너 및 공급업체에 특정 기간 동안 엔터프라이즈 및 공유 네트워크에 대한 액세스 권한을 부여하여 빠르게 조직됩니다. 일부 행사에서는 급조와 일시적이라는 연결의 특성 때문에 장치와 데이터 흐름에 대한 가시성 및 제어를 발전시키기 어려울 수 있습니다. "일시적인" 연결은 위험성이 낮다는 잘못된 보안 인식이 생겨나기도 합니다.

행사 시스템에는 팀 또는 경기장의 웹 및 소셜 미디어, 등록 또는 티켓팅 플랫폼, 게임 일정 및 점수 시스템, 물류, 의료 관리 및 환자 추적, 사고 추적, 대량 알림 시스템, 디지털 간판 등이 포함될 수 있습니다.

스포츠 조직, 스폰서, 주최자 및 개최지는 이러한 시스템에서 협력을 이루고 사이버 스마트 팬 환경을 개발해야 합니다. 또한 자신의 장치로 데이터와 정보를 가져오는 참석자와 직원의 수가 급격하게 증가함에 따라 공격 표면도 커집니다.

대규모 행사를 위협하는 4가지 사이버 위험

  • 불필요한 포트를 비활성화하고, 네트워크에 불량 또는 임시 무선 액세스 지점 업데이트를 검사하고, 소프트웨어를 패치하고, 모든 데이터에 대해 암호화 계층이 있는 앱을 선택하도록 합니다.
  • 참석자가 (1)최신 업데이트 및 패치로 앱과 장치를 보호하고, (2)공용 Wi-Fi에서 민감한 정보에 액세스하지 않고, (3)비공식 소스의 링크, 첨부 파일, QR 코드를 피하도록 권장합니다.
  • POS 장치가 패치되고, 최신 상태이며, 별도의 네트워크에 연결되어 있는지 확인합니다. 또한 참석자는 익숙하지 않은 키오스크와 ATM에 주의하고 행사 주최자가 공식적으로 승인한 영역으로 거래를 제한해야 합니다.
  • 논리적 네트워크 세그멘테이션을 개발하여 IT 시스템과 OT 시스템을 구분하고 장치 및 데이터에 대한 교차 액세스를 제한하여 사이버 공격의 피해를 완화합니다.

행사 동안 계속 제공되어야 하는 중요한 서비스를 포함하여 필요한 정보를 보안 팀에게 미리 제공하면 대응 계획을 더 잘 준비할 수 있습니다. 이는 경기장 인프라를 지원하는 IT/OT 환경에 필수적이며, 참석자의 물리적 안전을 유지하는 데도 중요합니다. 이상적으로는 조직과 보안 팀이 행사 전에 시스템을 구성하여 테스트를 완료하고, 시스템 및 장치의 스냅샷을 생성하고, IT 팀이 필요할 때 신속하게 재배포할 수 있어야 합니다. 이러한 노력들은 악의를 가진 사용자가 가치 높은 표적이 풍부하게 있는 대규모 스포츠 행사 환경에서 잘못 구성된 임시 네트워크를 악용하는 경우를 예방하는 데 큰 도움이 됩니다.

또한 사무실 인력은 개인 정보 보호 위험을 고려하고, 임시 네트워크를 구성하면서 참석자의 개인 정보나 팀의 독점 데이터에 새로운 위험이나 취약성이 더해지는지 여부를 고려해야 합니다. 이 인력은 예컨대 공식 로고가 있는 QR 코드만 스캔하고, 신청하지 않은 SMS 또는 문자 광고를 의심하고, 무료 공용 Wi-Fi를 사용하지 않도록 팬들을 안내하는 등의 간단한 사이버 스마트 노력을 기울일 수 있습니다.

이러한 정책과 그 밖의 다른 정책들은 대규모 행사에 존재하는 사이버 위험, 특히 데이터 수집 및 도난에 대한 노출을 대중이 더 잘 이해하도록 도와줍니다. 팬과 참석자는 보안 노력을 실천함으로써 사이버 범죄자가 악용하려는 장소 및 행사 네트워크에서 거점을 확보한 후 행할 수 있는 소셜 엔지니어링 공격의 피해자가 되는 것을 피할 수 있습니다.

아래 권장 사항과 더불어, 국립 관중 스포츠 안전 및 보안 센터는 대규모 경기장의 커넥티드 디바이스와 통합 보안에 대해 다음과 같은 고려 사항을 제안합니다.

권장 사항

  • 포괄적이고 다계층화된 보안 프레임워크의 구현 우선시하기: 여기에는 방화벽, 침입 탐지 및 방지 시스템, 강력한 암호화 프로토콜을 배포하여 무단 액세스와 데이터 침해로부터 네트워크를 강화하는 작업이 포함됩니다.
  • 사용자 의식 및 교육 프로그램: 직원과 이해관계자에게 피싱 메일을 인식하고, 다단계 인증 또는 암호 없는 보호를 사용하고, 의심스러운 링크 또는 다운로드를 피하는 등의 사이버 보안 모범 사례를 가르칩니다.
  • 평판이 좋은 사이버 보안 회사와 협력: 네트워크 트래픽을 지속적으로 모니터링하고, 잠재적인 위협을 실시간으로 탐지하고, 보안 사고에 신속하게 대응합니다. 정기적인 보안 감사 및 취약성 평가를 수행하여 네트워크 인프라 내의 취약점을 식별하고 해결합니다.
Microsoft Security Research의 수석 그룹 관리자인 Justin Turner 씨로부터 일반적인 보안 문제에 관한 더 큰 통찰력를 얻으세요.

스냅샷 데이터는 2022년 11월 10일부터 12월 20일까지 하루 24시간 모니터링된 엔터티와 행사의 총 수를 나타냅니다. 여기에는 토너먼트 인프라에 직접 관여하거나 제휴한 조직이 포함됩니다. 활동에는 새로운 위협을 식별하고, 주목할 만한 공격 캠페인을 추적하기 위한 인간 주도의 사전 예방적 위협 헌팅이 포함됩니다.

주요 인사이트:
 

45 개 조직 보호                                 100,000 개 엔드포인트 보호

 

144,000 개 ID 보호                               14,600 만 전자 메일 흐름

 

6억 3,460만 건 인증 시도                43억 5,000 개 네트워크 연결

방법론: 스냅샷 데이터의 경우 Microsoft Extended Detections and Response, Microsoft Defender, 헌팅용 Microsoft Defender 전문가 및 Azure Active Directory를 비롯한 Microsoft 플랫폼 및 서비스가 악성 전자 메일 계정, 피싱 전자 메일 및 네트워크 내 공격자 이동과 같은 위협 활동에 대한 익명 데이터를 제공했습니다. 추가 인사이트는 클라우드, 엔드포인트, 인텔리전트 에지, Microsoft 보안 침해 복구 사례 탐지 및 대응 팀을 포함하여 Microsoft 전체에서 가져온 65조 개의 일일 보안 신호에서 얻은 것입니다. 표지 아트는 실제 축구 경기, 토너먼트 또는 개별 스포츠를 묘사하지 않습니다. 언급된 모든 스포츠 조직은 개별 소유 상표입니다.

관련 기사

사이버 보안의 세 가지 지속적인 과제에 대한 전문가 조언

Microsoft Security Research의 수석 그룹 관리자인 Justin Turner 씨는 사이버 보안 부문에서 일하며 보아온 세 가지 지속적인 과제인 구성 관리, 패치, 장치 가시성에 대해 설명합니다.
자세한 정보

피싱 공격 61% 증가. 최신 공격 표면 파악하기

점점 더 복잡해지는 공격 표면을 관리하기 위해 조직은 광범위한 보안 태세를 구축해야 합니다. 6개의 주요 공격 표면 영역을 다루며 이 보고서는 올바른 위협 인텔리전스가 방어자에게 유리한 판을 만드는 데 어떻게 도움을 주는지 보여줍니다.
자세한 정보

IT와 OT의 융합

IoT 순환이 증가함에 따라 잠재적 취약성이 늘어나고 위협 행위자에게 노출되면서 OT가 위험에 처했습니다. 조직을 보호하는 방법을 알아보세요.
자세한 정보

Microsoft 팔로우