[CIO Korea] 2023년 미 정부 기관 주요 보안 사고 11선

 

https://www.ciokorea.com/news/340799#csidx60b6e92476d394e93ffd28fba7feb09

2023년 미 정부 기관 주요 보안 사고 11선

 

위 글을 기반으로 작성했습니다.

 

 

 

 

미국 정부 기관들이 2023 회계연도에 11건의 주요 정보 보안 사고를 미 의회 예산관리처에 보고

 

Image Credit : Getty Images Bank

미국 관리예산처(OMB)의 새로운 보고서에 따른 일부 미국 연방 정부 시스템이 해커에게 공격 당한 이유

• 부실한 패치 관리
• 지원되지 않는 시스템
• 부적절한 인증 제어

 

2023년 9월 30일까지의 회계연도에 11건의 주요 사고 발생

 

가장 일반적인 공격 벡터

• 부적절한 사용 1만 2,261건
• 이메일/피싱 6,198건

→ 이 중 11건을 '중대한' 사건으로 규정

 

 

1. 아웃보다 인이 더 낫다?
   미국 메디케어 및 메디케이드 서비스 센터(CMS)와 협력하는 한 계약업체에 해당 업체가 소유 및 운영하는 시스템의 네트워크 파일 공유 기능을 통해 랜섬웨어 공격
   → 280만 명의 개인 데이터 노출(이름, 주소, 생년월일, 메디케어 식별자, 은행 정보 등), 그 중 130만 명은 사망자
   → CMS는 시스템 사내 이전 및  피해자들에게 무료 신용 모니터링 서비스 제공
2. 예방 조치
   미국 보건인적서비스부(HHS)와 관련된 또 다른 주요 사고
   공격자들이 제로데이 취약점을 이용해 두 개의 계약업체를 표적으로 삼아 HHS 데이터가 포함된 시스템에 접근
   → HHS 시스템 손상 징후X, 계약업체 시스템 손상O
   → 질병통제예방센터, 국립보건원, CMS 등의 기관에서 보유한 188만 명의 개인정보 잠재적 노출(이름, 사회보장번호, 이메일 주소, 전화번호, 생년월일, 의료 진단 및 기타 정보 등)
3. 연방 보안국의 실수
   2023년 2월, 한 랜섬웨어가 직원과 법적 절차에 관련된 사람들의 개인정보가 포함된 미국 연방보안국(USMS)의 컴퓨터 시스템 공격
   → 새로운 시스템 구축 및 백업에서 복원, 피해 입은 개인에게 통지 및 무료 신용 모니터링 제공
4. 검찰청도 포함
   2023년 5월, 한 랜섬웨어가 법무부 민사 부서와 일부 미국 검찰청의 특정 사건에 대한 데이터 분석 지원을 제공하는 공급업체의 시스템을 대상으로 공격
   → 개인 및 의료 데이터 손상
   → 외부 사고 대응 서비스에 의뢰해 조사 및 정리 진행, 피해 입은 개인에게 신용 모니터링 서비스 제공
5. 반복되는 실수
   국세청(IRS) - 이미 노출됐던 개인정보를 다시 노출
   프로세스 자동화 과정에서 계약업체 고용 및 코딩 오류로 인한 양식 노출
   → 데이터는 공용 웹 서버에서 즉시 제거, But 다음 회계연도에 준비 서버에서 실수로 다시 게시
6. 사전 차단에 성공
   재무부의 모든 기록과 자료에 대한 전체 액세스 권한에서 비롯된 사고
   감사 또는 조사 대상을 결정하고 보고서를 작성하는 감찰관실(OIG)에서 근무하는 한 직원이 단 15시간 동안 한 직원의 로그인 자격 증명에 액세스한 사건 발생
   → 공격의 배후에 있는 국가가 후원하는 행위자는 정보 리소스에 액세스 불가, 액세스 권한이 있는 동안 맬웨어 심기X
   → 재무부는 재발 방지를 위해 다단계 인증 정책을 업데이트하고 소프트웨어 구성을 검증했으며 직원들 대상으로 인식 교육 실시
7. 제로데이 설문조사
   미국 인사관리처(OPM)는 연방 직원 관점 조사(FEVS)를 지원하는 계약업체가 사용하는 파일 전송 애플리케이션의 제로데이 취약점(MOVEit 해킹으로 추정)과 관련한 중대한 사고 보고
   → 법무부와 국방부 직원 약 63만 2,000명의 정부 이메일 주소, 고유 설문조사 링크, OPM 추적 코드 유출
   → 설문조사 결과에 대한 무단 액세스/조작 증거 발견X
8. 손실 예방을 강화한 CFPB
   소비자금융보호국의 한 직원(현재 퇴직)이 개인 이메일 계정으로 금융기관의 고객 약 25만 6,000명의 개인정보가 포함된 14개 이메일과 2개의 스프레드시트 발송
   → 이메일 삭제 및 삭제 증명을 보내라는 CFPB의 요구 무시
   → 해당 데이터는 계정 액세스/신원 도용에 사용될 수 없지만, 일부 피해자에게 만일을 대비해 알림 발송 & 의도치 않은 유출 방지 위해 기술적 통제 강화 및 모든 직원과 계약업체에 개인정보 보호정책을 상기시키며 모든 정보 관리 절차 검토
9. 열차 이용 정보 누출
   공격자들이 여러 관리 시스템에 침입해 연방 직원들에게 대중교통을 이용하도록 인센티브를 제공하는 주차 및 대중교통 혜택 시스템(PTBS)에서 개인 데이터 탈취
   → 약 23만 7,000명에게 잠재적 영향
   → 이름 없는 상용 웹 애플리케이션 개발 플랫폼의 패치되지 않은 중요 취약점 악용해 이름, 집/직장 주소, 사회 보장 번호의 마지막 네 자리 숫자 탈취
   → 교통부는 패치된 소프트웨어로 영향받은 서버 재구축 및 직원들에게 신용 모니터링 서비스 제공
10. 잊혀진 영향 평가
    내무부 내무 비즈니스 센터(IBC)의 한 개발자가 급여 시스템의 보안 정책을 수정하면서 인사 담당자가 36개 연방 기관의 직원 기록을 볼 수 있게 되는 사고 발생
    → 약 14만 7,000명의 개인 데이터 노출 가능성
    → 시스템 변경 후 개인정보 영향 평가를 수행하지 않은 것이 원인, 내부 프로세스와 교육 강화 필요
11. 방사능 노출 데이터 노출
    에너지부는 익명의 랜섬웨어 그룹이 폐기물 격리 파일럿 플랜드(WIPP)와 오크 리지 관련 대학(ORAU)에서 사용하는 보안 파일 전송 제품의 제로데이 취약점을 악용했다고 보고
    → 랜섬웨어 그룹이 WIPP와 ORAU 시스템에 액세스, 전직 DOE 직원을 위한 건강 모니터링 프로그램에 참여한 3만 4,000명의 개인 정보와 과학부 소속 6만 6,000명의 개인 정보가 포함된 데이터 탈취(이름, 생년월일, 사회보장번호, 일부 건강 정보 등)
    → 영향받은 개인에게 알림, 신원 모니터링 서비스 제공
    
    

 

나쁜 소식만 있는 건 X

보안 사고가 전년 대비 증가했음에도 OMB 감사에서는 기관들이 사이버 방어 조치를 채택하는 데 개선 있었다고 평가

모든 기관들이 OMB 지침에 따라 엔터프라이즈 EDR 플랫폼 선택 및 사이버 탐지 기능 확장

→ 2023 회계연도에는 연방 민간 행정부 기관의 96%가 전년도에 비해 '탐지'된 결과가 증가

 

 

 

 

마치며

작년 미 정부 기관의 주요 보안 사고 11선을 알아보며 어떤 부분들을 유의해야 하는지 알게 되었다. 시스템의 네트워크 파일 공유 기능, 자동화 과정의 코딩 오류, 다단계 인증 정책, 직원 인식 교육, 개인정보 영향 평가 등의 보안 사고는 충분히 미연에 방지할 수 있는 것들이라고 생각한다. 기본적으로 정부 기관 및 기업에서 내부 프로세스와 교육을 강화할 필요가 있다고 본다.