Axis Communications의 Peter Dempsey에 따르면 사이버 공격은 어디에서나 발생할 수 있으며 수년간 감지하지 못할 수 있으므로 데이터 센터가 점점 더 엄격해지는 규정을 위반하지 않으려면 탄력적인 보안 하드웨어 장비를 갖추어야 합니다.
사이버 범죄자가 데이터 도난이나 중요 시스템의 중단, 랜섬웨어 배포 등 그 공격 목적이 무엇이든 데이터 센터를 노리는 이유는 수익성이 높은 매력적인 전리품이기 때문입니다. 데이터 센터는 엄청난 수의 시스템과 프로세스 및 하드웨어 장치 등이 있는 곳이기 때문에 이 중에서 약간의 틈만 발견하면 됩니다. 악용 가능성이 조금이라도 있다면 바로 악용될 것이며 잠재적인 진입 경로 또한 많습니다.
20,000개 이상의 데이터 센터 인프라 관리(DCIM) 시스템이 공개적으로 노출될 수 있는 것으로 나타났으며, 공격자가 온도 및 습도 임곗값을 변경하는 것만으로도 데이터 센터를 중단시킬 수 있습니다. 일부 무정전 전원 공급 장치(UPS) 시스템도 취약한 것으로 확인되었는데, 이를 통해 해커가 데이터 센터 전력에 액세스할 수 있습니다. 그리고 데이터 센터에는 공격 벡터 역할을 할 수 있는 사물 인터넷(IoT) 장치로 가득합니다. 데이터 센터는 이러한 취약성을 인식하고 인프라의 모든 부분을 보호하기 위해 노력해야 합니다.
APT31 - 은밀한 공격에 대비
많은 데이터 센터가 눈에 보이지 않아도 이미 보안이 침해되었을 수 있습니다. 공격자들은 악성 파일을 설치하는 대신 컴퓨터 시스템의 핵심 도구를 사용하는 정교한 'LOTL(living off the land)’ 공격을 점점 더 많이 배포하고 있습니다. 이런 종류의 침투는 발견하기 어렵고, 침입자가 공격할 준비가 될 때까지 수년간 탐지되지 않기도 합니다1.
이러한 행위자는 거대 기관일 수 있습니다. 다수의 경우 정부 지원을 받는 에이전트가 발송한 LOTL 페이로드가 중요 네트워크에 숨어 있는 것으로 밝혀졌습니다. 영국 국립사이버보안센터는 현재 정부가 후원하는 해킹 그룹 APT31이 국회의원을 표적으로 삼으려고 시도하고 있다고 밝혔습니다. APT31 사이버 위협은 그 외에도 영국 경제, 중요 국가 기반 시설 및 공급망으로 표적을 확대하고 있습니다2.
이러한 사례를 보면 데이터 센터 관리자는 알려진 사이버 보안 원칙에만 의존하는 것이 아니라 적극적인 모니터링 및 엄격한 실사를 채택하는 보안을 사용하여 사전 예방적 접근 방식을 취해야 할 필요가 있다는 것을 알 수 있습니다. 이러한 조치는 오늘날의 규제 환경에서 특히 중요합니다.
NIS2 - 핵심 기반 시설의 데이터 이상 검출
NIS2 Directive (NIS2) 및 사이버 복원력법(Cyber Resilience Act)은 데이터 센터를 핵심 기반 시설로 재분류합니다. 이들은 이제 의료, 에너지 및 운송과 동일한 범주에 속하며 거버넌스에도 동일한 수준의 감독이 시행됩니다. 하지만 데이터 센터 운영자는 이러한 법률 관할권에 속하든 그렇지 않은 방어를 강화해야 합니다.
무해해 보이지만 비정상적인 활동을 발견하려면 네트워크 내 모든 하드웨어, 소프트웨어 및 펌웨어 동작을 정기적으로 분석해야 합니다. NIS2는 협력업체뿐만 아니라 핵심 시설 활동에도 적용되므로, 이러한 탐지 작업은 데이터 센터의 경계를 넘어서야 합니다. 여기에는 장비 공급업체와 공급망의 모든 단계가 포함됩니다.
공급망 취약점 찾기
공격자가 직접적인 수단을 통해 데이터 센터에 침투할 수 없는 경우, 아직 배포되지 않은 장비에 악성 페이로드를 주입하려고 시도할 수 있습니다. IoT 장치는 범죄자의 비옥한 땅입니다. IoT 장치는 기본적으로 네트워크에 연결되며, 보다 명백한 공격 벡터와 동일한 수준으로 상세하게 검사받지 않는 경우가 많습니다. LOTL 페이로드와 마찬가지로 악성 IoT 장치들은 공격자가 암묵적인 신뢰를 통해 잠입할 수 있기 때문에 눈에 잘 띄지 않는 곳에 숨어 있을 수 있습니다.
공급망 공격은 엄청나게 위험하고 계속 증가하는 추세이며 2022년에만 직접적인 맬웨어 공격이 40%를 넘어섰습니다. 이러한 암묵적인 신뢰를 정당화할 수 있는 방법은 더 이상 없습니다. 공급업체는 공급망의 보안과 순도를 상세히 입증하고 무단 수정이 발생하지 않도록 조치해야 합니다. 데이터 센터는 모든 벤더 관계를 재평가하여 문제에 처하지 않도록 해야 합니다.
다행히도 현대 기술을 통해 공급업체는 하드웨어 적법성을 깨끗하게 입증할 수 있습니다. 신뢰할 수 있는 플랫폼 모듈 하드웨어는 서명된 펌웨어를 보호하며, 이를 통해 공급망 전반에서 장치의 무결성을 확신할 수 있습니다. 보안 부팅은 승인되지 않은 펌웨어 실행을 완전 방지합니다. 또한 일부 장치 내에 암호화 키와 인증서를 안전하게 저장할 수 있어 보안 자격 증명 강화와 방어 관리 프로세스 간소화가 가능합니다.
규제 압박에 대처하기
NIS2와 같은 규정으로 인해 데이터 센터는 즉시 조치를 해야 하며 그렇지 않으면 막대한 벌금에 직면할 수 있습니다. 데이터 센터 관리자는 내부 보안 침해뿐만 아니라 일부 제3자 보안 침해로 인해 발생한 보안 침해에도 책임을 져야 합니다. 보안은 위에서 아래로 재평가해야 합니다.
현장 공격자는 예측할 수 없는 중단을 일으킬 수 있기 때문에 카메라, 열화상 및 레이더 감지, 접근 제어 등을 통한 강력한 물리적 보안이 필수적입니다. 한편, 논리적 보안은 공격자가 가상으로 현장에 도달하지 못하게 하는 데 매우 중요합니다. 규정의 범위 내에 속하거나 그렇지 않은 모든 하드웨어 및 소프트웨어 부품도 정기적으로 카탈로그화하고 분석, 우선순위 지정 및 문서화해야 합니다.
명확한 기록으로 규정 준수를 입증해야 하며 벤더 또한 이를 제공해야 합니다. 가치 있는 공급업체라면 기준에 맞지 않는 제품을 출시하길 원하지 않을 것입니다. 자사 제품에 관심을 기울이는 공급업체와 협력하는 것이 데이터 센터가 보다 스마트하고 안전한 세상을 만들 수 있는 길입니다.
