파이어아이 스토리

Mandiant 덕에 랜섬웨어 위기에서 벗어난 여러 브랜드의 레스토랑을 운영하는 미국 유명 기업

미국에서 여러 레스토랑 브랜드를 운영 중인 유명한 기업이 하나 있습니다. 이 기업은 식음료 서비스 부문에서 규모가 꽤 큰 축에 속합니다. 한국으로 치자면 백종원이 운영하는 더본코리아 같은 기업을 떠올리면 됩니다. 여러 브랜드의 레스토랑을 미국 전역에서 운영하는 이 기업은 2021년 7월 초 큰 위기를 맞이할 뻔했습니다. 7월 초는 미국의 독립 기념일 연휴 시즌입니다. 레스토랑 매출의 상당 부분이 이때 나오죠. 이 중요한 시기를 하마터면 랜섬웨어 감염으로 고통을 받을 뻔 했습니다. 다행히 이 레스토랑 기업은 Mandiant Managed Defense 서비스를 이용하고 있던 중이라 랜섬웨어 침입을 사전에 막아 황금연휴 시즌을 무사히 보낼 수 있었습니다. 그 비하인드 스토리를 전해드립니다.

Kaseya의 원격 모니터링 및 관리 도구의 취약점

2021년 7월 2일 오후 MSP 사업자이자 IT 솔루션 개발사인 Kaseya가 자사의 원격 모니터링 및 관리 도구인 VSA 제품의 제로 데이 취약점을 이용한 랜섬웨어 공격에 대해 발표했습니다. 독립 기념일 연휴 기간 동안 자사의 소프트웨어 취약점을 이용한 랜섬웨어 공격으로 피해 사례가 보고되었다는 내용이었습니다. 언론이 추정에 따르면 800~1,500개의 중소기업이 랜섬웨어 피해를 본 것으로 보입니다. 이 소식은 SolarWinds 때와 떠올리게 하였습니다. 관련해 Kaseya로부터 MSP 서비스를 받는 조직과 VSA 소프트웨어를 배포한 곳은 비상이 걸렸습니다.

파이어아이의 고객인 레스토랑 기업의 보안 팀 역시 연휴 기간이지만 신경이 곤두섰습니다. 앞서 언급한 바와 같이 큰 매출이 일어나는 황금 시즌에 일어난 사고다 보니 혹시나 하는 마음이던 것이죠. 일단 이 레스토랑 기업의 CISO는 내부 점검을 하였습니다. 다행히 내부에는 VSA 소프트웨어를 배포하지 않아 일단 안심을 하였습니다. 그런데 Mandiant Managed Defense 팀에서 연락이 왔습니다. 팀은 고객에게 Kaseya VSA 소프트웨어 취약점을 이용한 랜섬웨어 침투 시도를 탐지해 격리했다고 알렸습니다. 그리고 레스토랑 기업의 CISO가 놓치고 있던 사실을 알려 줬습니다. VSA 소프트웨어를 몇 년 전에 설치했었고, 이를 배포한 시스템은 서드파티 호스팅 시설에 있다는 것이었습니다. 사내 시스템 환경 점검 시 놓쳤던 것을 알게 된 것입니다. 일종의 사각지대를 Mandiant Managed Defense 팀이 찾아 고객에게 알린 것입니다.

Managed Defense는 비즈니스에 영향을 주지 않고 APT 그룹들이 전략적으로 배포한 랜점웨어의 평균 지속 시간을 72일에서 24시간 이하로 줄입니다.

독립 기념일 시즌을 살리 Madiant Managed Defense 팀

Mandiant Managed Defense 팀은 고객이 인지하기 전에 VSA 소프트웨어 취약점을 이용한 랜섬웨어 공격을 탐지해 성공적으로 차단하였습니다. 그 결과 레스토랑 기업의 중요 데이터 중 암호화로 인해 피해를 본 것은 하나도 없었습니다. 레스토랑 기업 CISO는 당시를 이렇게 회상합니다. "만약 Madiant Managed Defense 서비스를 이용하지 않았더라면 랜섬웨어 피해로 인한 영향이 상당했을 것"이라며 "독립 기념일은 우리 회사의 매출 상위 탑 5에 드는 날인데, 맨디언트가 없었다면 사업장 문을 닫아야 했을 것이고 그 피해는 어마어마 했을 것"이라고 말합니다.

이 레스토랑 기업은 Mandiant Managed Defense 서비스를 이용해 탐지와 대응 활동을 해왔는데, 이번 사고로 그 덕을 톡톡히 보았습니다. 평소에도 Mandiant Managed Defense 서비스로 사내 IT 환경에 관련된 위험을 찾아 제거해왔습니다. 이번 랜섬웨어 사태도 이 기업에게는 일상적인 탐지와 대응을 통해 문제를 해결한 한 사례에 불과합니다. 관련해 레스토랑 기업 CISO는 "Mandiant Managed Defense를 사용하면 인력, 도구 같은 리소스 확보에 대한 걱정이 없습니다. 사내 인프라를 모니터링하고 문제가 있을 경우 즉시 조치를 취하는 전문가가 24X7 곁에서 지원하기 때문입니다."라고 말합니다.

한편, 이 레스토랑 기업은 Mandiant Managed Defense 서비스 덕을 사세 확장 시에도 누리고 있습니다. CISO는 "한 회사를 인수한 적이 있는데, 당시 그 회사의 보안 팀은 우리와 다른 솔루션을 사용하고 있었습니다. 우리 보안 팀이 그 회사와 거래하던 보안 기업들과 인터뷰를 할 때 Mandiant Managed Defense 서비스 이용 경험은 큰 도움이 되었습니다. 현재 적용하고 있는 탐지와 대응 관련해 지원이 가능한지 묻자 인수한 회사와 거래하던 보안 업체 대부분 안된다, 모르겠다 소리로 일관했습니다. 그래서 우리는 인수 회사 보안 환경도 Mandiant Managed Defense 서비스를 통해 보호하게 되었습니다."라고 말합니다.

언론 보도를 보고 난 후 점검하면 늦습니다!

레스토랑 기업의 사례에는 중요한 메시지가 담겨 있습니다. 우리 조직도 노출될 수 있는 취약점에 대한 뉴스가 보도된 것을 보고 활동하면 늦는다는 것입니다. 보안은 대대적인 공격이 시작되기 전이나 바로 그 시점에 탐지와 대응이 이루어져야 합니다. SolaWinds, SonicWall, Microsoft Exchange 같이 평소 믿고 쓰던 솔루션의 취약점을 이용하는 경우 더욱 빠른 탐지와 대응이 필요합니다. 이처럼 많은 조직이 쓰는 소프트웨어 취약점을 이용한 공격에 가장 효율적으로 대응하는 것은 뭐니 해도 위협 인텔리전스를 적극적으로 활용하는 관리형 서비스를 이용하는 것이 아닐까요?