IBM 이탈리아 자회사 침해 사고, 중국 사이버 작전과 연관 가능성

IBM 이탈리아 자회사, 국가 후원 연계 침해 사고 피해

이탈리아 IBM의 자회사로 공공 및 민간 기관의 IT 인프라를 관리하는 Sistemi Informativi를 겨냥한 사이버 공격이 핵심 국가 인프라 보안에 대한 심각한 우려를 불러일으키고 있습니다. 보안 연구원들과 관계 당국은 중국 국가 후원 사이버 작전과의 잠재적 연관성을 지적하고 있으며, 이번 사건은 서방 IT 시스템에 대한 국가 차원의 위협을 둘러싼 논의에서 중요한 분수령이 되고 있습니다.

Sistemi Informativi는 일반인에게 잘 알려진 이름은 아니지만, 이탈리아 인프라에서 차지하는 역할은 결코 작지 않습니다. 이 회사는 안정적이고 안전한 시스템에 의존하는 여러 조직에 IT 서비스를 제공하고 있어, 이러한 침해 사고는 단일 조직을 훨씬 넘어서는 파급 효과를 낳을 수 있습니다. 여러 고객의 인프라를 관리하는 벤더가 침해당할 경우, 해당 벤더에 의존하는 모든 기관이 잠재적인 노출 지점이 됩니다.

침해 사고에 대해 알려진 사실

조사가 진행 중인 만큼 세부 사항은 여전히 제한적이지만, 핵심 우려 사항은 분명합니다. 공격자가 이탈리아 IT 생태계에 깊숙이 자리 잡은 회사의 관리 시스템에 무단으로 접근했다는 것입니다. 중국 사이버 작전과의 연관성 의혹은 이번 사건을 유럽과 북미 전역의 핵심 인프라를 겨냥한 국가 후원 침입이라는 더 광범위한 패턴 속에 위치시킵니다.

이는 고립된 현상이 아닙니다. 미국, 영국, 유럽연합의 정보기관들은 중국과 연계된 것으로 알려진 국가 행위자들이 인프라 공급업체, 통신 회사, 정부 IT 벤더를 체계적으로 탐색하고 침투해 왔다고 거듭 경고해 왔습니다. Sistemi Informativi와 같은 벤더를 침해하면 공격자는 해당 하위 대상들을 직접 침해하지 않고도 다수의 하위 대상에 대한 지속적인 접근권을 확보할 수 있습니다.

공급망 공격이라 불리는 신뢰할 수 있는 제3자 IT 공급업체를 진입 경로로 활용하는 방식은 정교한 위협 행위자들이 사용할 수 있는 가장 효과적인 전술 중 하나가 되었습니다. 공격자가 인프라 관리자를 침해하면, 해당 관리자가 고객들과 맺고 있는 신뢰 관계를 그대로 이어받게 됩니다.

핵심 인프라 침해가 다른 이유

대부분의 데이터 침해는 탈취된 자격 증명, 유출된 고객 기록, 또는 랜섬웨어 페이로드와 관련됩니다. 인프라 관리 회사에 대한 국가 후원 침입은 정보 수집, 지속적인 접근 유지, 그리고 전략적으로 유용한 시점에 시스템을 교란할 수 있는 능력 확보라는 다른 목적을 지니는 경향이 있습니다.

이러한 차이는 조직과 개인이 위험을 어떻게 바라봐야 하는지에 있어 매우 중요합니다. 소매업체에서의 침해는 신용카드 번호를 노출시킬 수 있습니다. 정부 및 기관 IT 인프라를 관리하는 회사에서의 침해는 공공 서비스, 민감한 정부 통신, 또는 핵심 시스템의 운영 연속성에 영향을 미칠 수 있습니다.

이탈리아에 국한해서 보더라도, 이번 사건은 유럽 정부들이 국가 인프라에 내재된 벤더들의 보안 관행을 점점 더 면밀히 들여다보고 있는 시점에 발생했습니다. 2023년에 발효된 유럽연합의 NIS2 지침은 바로 이 범주의 회사들에 더 엄격한 사이버보안 요건을 부과하기 위해 설계되었습니다. Sistemi Informativi 침해 사고는 해당 기준이 충족되고 있는지를 가늠하는 실제 사례가 되고 있습니다.

여러분에게 의미하는 바

대부분의 사람들에게 이탈리아 IT 인프라 자회사의 침해 사고는 멀게 느껴질 수 있습니다. 그러나 여기서 개인과 조직이 자신의 데이터와 통신을 보호하는 방식에 직접 적용할 수 있는 실질적인 교훈이 있습니다.

첫째, 공급망 문제는 보편적입니다. 제3자 서비스 공급업체에 데이터나 시스템을 맡길 때마다 그 공급업체의 보안 관행도 함께 신뢰하는 것입니다. 클라우드 회계 플랫폼을 사용하는 소규모 기업이든 외부 위탁 IT 관리자를 활용하는 정부 기관이든, 그 사슬에서 가장 취약한 고리가 실제 노출 수준을 결정합니다.

둘째, 네트워크 수준의 보안이 중요합니다. 민감한 시스템에 접근하는 조직, 특히 원격 연결을 통한 접근의 경우 암호화되고 인증된 경로가 필요합니다. VPN과 제로 트러스트 네트워크 아키텍처는 자격 증명이 탈취되거나 벤더가 침해되었을 때 피해 범위를 제한하기 위해 존재합니다. 조직의 원격 접근이 사용자 이름과 비밀번호 조합에만 의존하고 있다면, 신뢰할 수 있는 벤더에서의 침해만으로도 공격자에게 필요한 모든 것이 제공될 수 있습니다.

셋째, 벤더 위험 평가는 선택 사항이 아닙니다. 기업과 기관은 시스템에 접근하는 모든 제3자의 보안 태세를 정기적으로 감사해야 합니다. 여기에는 사고 대응 절차 검토, 침투 테스트 관행에 대한 질의, 그리고 침해 통지에 관한 계약상 의무가 갖춰져 있는지 확인하는 것이 포함됩니다.

실천 가능한 핵심 사항

• 벤더 관계를 감사하십시오. 시스템이나 데이터에 접근할 수 있는 모든 제3자 공급업체를 파악하고, 그들의 보안 기준이 귀 조직의 위험 허용 범위와 일치하는지 평가하십시오.
• 암호화된 통신을 강제하십시오. 민감한 시스템에 대한 모든 원격 접근은 인증되고 암호화된 연결을 통해 이루어져야 합니다. 암호화되지 않거나 보안이 취약한 채널에 의존하면 벤더의 자격 증명이 탈취되었을 때 노출될 수 있습니다.
• 모든 곳에 다단계 인증을 구현하십시오. 두 번째 인증 요소가 필요할 때 탈취된 자격 증명은 공격자에게 훨씬 덜 유용해집니다. 이는 귀 조직의 시스템에 적용되어야 하며, 벤더에게도 요구해야 하는 사항입니다.
• NIS2 및 유사 프레임워크를 따르십시오. 귀 조직이 NIS2 또는 동등한 기준을 법적으로 준수할 의무가 없더라도, 이를 기준선으로 삼는 것은 보안 태세를 벤치마킹하는 실용적인 방법입니다.
• 침해를 가정하고 그에 맞게 대비하십시오. 충분한 자원을 갖춘 IT 인프라 공급업체조차 침해될 수 있다는 점을 이해한다면, 조직은 신뢰할 수 있는 벤더가 자신들에게 불리하게 이용되는 시나리오를 대비해 계획을 세워야 합니다. 접근 권한을 분리하고, 활동을 기록하며, 사고 대응 계획을 준비해 두십시오.

Sistemi Informativi 침해 사고는 디지털 인프라의 기반을 관리하는 조직들이 높은 가치의 표적이라는 사실을 상기시켜 줍니다. 자신을 보호한다는 것은 보안 사고를 자신의 경계 너머, 즉 시스템에 대한 접근을 신뢰하는 모든 이에게까지 확장하는 것을 의미합니다.