2024년 초 시애틀 항구가 전례 없는 사이버 공격을 당해 물류와 수출입에 큰 차질을 빚었다. Rhysida(리시다) 랜섬웨어 그룹이 항구 관리 시스템을 마비시키고, 선박 운항 정보를 조작해 항구 전역의 운영을 일시적으로 마비시킨 것. 이 사건은 글로벌 공급망에 대한 공격이 실제로 어떻게 경제와 안보에 큰 영향을 미칠 수 있는지를 보여준 사례다.
공격으로 인해 짐 처리, 티켓 발급, 키오스크, Wi-Fi, 여객 정보 디스플레이 등 서비스가 중단되었으며, 시스템을 긴급 차단하여 추가 피해를 막는 데에는 성공했지만 항구 운영이 상당 기간 중단되었다. 이 과정에서 무역업체와 물류 기업들의 운송 지연으로 큰 경제적 피해를 입었으며, 시애틀 항구와 연결된 글로벌 공급망 역시 연쇄적 영향을 받았다.
이러한 공급망 공격은 단순히 한 기업에 대한 공격에 그치지 않고 연결된 파트너 및 고객사에까지 위협을 확산시킬 수 있다. 기업이 자신이 직접 통제할 수 없는 외부 환경에 대해서도 대비해야 하는 부담을 안게 되었다는 뜻이다. 특히 코로나19 이후 원격 근무가 증가하면서 관리해야 할 보안경계가 넓어지고 복잡해졌다. 이에 따라 기업들이 보안 위협을 사전에 식별, 즉각적인 대응이 가능한 시스템을 구축하는 것이 더욱 중요해졌다.
그 해결책 중 하나가 바로 외부 위협 인텔리전스(Cyber Threat Intelligence-CTI)다. 발생하는 사이버 위협 정보를 실시간으로 수집ž분석하여 기업에 전달, 보안 담당자가 즉각적인 대응을 할 수 있도록 돕는다. 이를 통해 조직은 위협을 초기에 파악하고 적절한 방어 전략을 수립할 수 있다. 발생한 위협과 변화하는 공격 패턴에 대한 최신 정보로 보안 팀이 더 신속하고 효율적으로 대응할 수 있게 하는 것이다.
대표적인 예로 이너버스의 로그센터(LogCenter)는 CTI 대시보드에 위협 IP, 위협 URL, 악성코드(Malware), CVE(공통 취약점 및 노출 정보), 구글 해킹, 보안 뉴스 등의 항목을 포함한 실시간 위협관련 정보를 제공한다. 이를 통해 외부 위협 정보를 종합적으로 제공, 실시간 모니터링을 통해 공격 초기에 감지할 수 있도록 지원하고 있다. 로그센터는 Open CTI 서버, 예시로 한국인터넷진흥원(KISA)의 인터넷 침해사고 경보단계를 반영, 사용자가 현재 위협 수준을 직관적으로 파악할 수 있도록 설계되었다.
위와 같은 사건에서는 외부 위협 정보를 신속하게 수집하고 분석해 위협을 조기에 발견하는 능력이 중요한데, 로그센터의 CTI 기능으로 항구 관리 시스템에 위협 IP나 악성 URL이 접근하려 할 때 감지해 차단할 수 있다. 경보 체계를 통해 사이버 위협 수준을 한눈에 확인, 보안 담당자가 선제 대응에 나설 수도 있다. 또 로그센터 대시보드를 통해 수집된 위협 데이터를 바탕으로 내부 시스템의 이상 징후를 더욱 면밀히 분석하고 글로벌 위협 트렌드를 실시간으로 반영해 보안 사고에 신속하게 대응할 수 있다.
또한 로그센터와 같은 통합로그관리žSIEM 솔루션은 CTI 정보 제공에서 그치지 않고 수집된 위협 정보를 바탕으로 탐지패턴을 만드는 등 이상 행위를 감지, 경고를 발송하여, 보안 담당자가 신속하게 대응할 수 있도록 지원한다. 이를 통해 조직은 보안 위협에 대한 탐지부터 대응까지의 과정을 보다 체계적이고 효과적인 보안 관리 환경을 구축할 수 있다.
로그센터는 복잡한 로그를 효율적으로 관리하고 분석할 수 있도록 설계된 솔루션으로 23년의 노하우와 8개의 특허를 보유, 강력한 성능을 자랑한다. 700개 이상의 고객사와 함께하며, 업계 1위로 자리 잡은 SIEM 솔루션 로그센터는 사이버 위협에 대응하는 중요한 방어선이 될 수 있다. (기고. 이너버스)
![[경제산책] 초연결사회의 공포와 대응](https://www.nongmin.com/-/raw/srv-nongmin/data2/content/image/2024/11/16/.cache/512/20241116500019.jpg)
