CMC Markets에서 제로데이 공격을 방어하는 방법

비즈니스에 금융 서비스, 유통 및 게임 요소가 포함되는 경우 사내 리소스와 써드파티 솔루션을 결합하는 민첩한 보안 접근 방식이 필요합니다. 온라인 거래 회사인 CMC Markets도 예외가 아닙니다.

최근 Akamai와의 대화에서 CMC Markets 보안 책임자 필립 여(Philip Yeo)는 이 회사가 어떻게 중단 없는 경계와 제로데이 인시던트가 발생할 경우 초고속 대응을 결합시키고 있는지 설명했습니다. 

또한 비즈니스 보호 분야에서 Akamai가 수행하는 역할과 제로데이 공격의 지속적인 위협에 대한 규제 기관 및 보험사의 대응에 대해서도 이야기합니다.  

전체 대화를 읽으려면 아래 스크립트를 참조하시기 바랍니다.

나탈리 빌링햄(Natalie Billingham): CMC Markets의 보안 책임자이신 필립 여와 함께하게 되어 매우 기쁩니다. 자기소개와 함께 어떤 업무를 맡고 계신지 좀 알려주시겠어요?

필립 여: 예, 감사합니다. 저는 CMC Markets의 보안 책임자입니다. 저희 회사는 글로벌 온라인 소매 거래 회사입니다. 보안 측면에서 볼 때, 많은 최종 사용자가 다양한 유형의 디바이스에서 서비스에 접근하기 때문에 유통 업체와 비슷합니다. 금융 서비스 회사처럼 규제를 받고 있기 때문에 핀테크 기업과도 약간 비슷합니다. 또한 사용자의 많은 상호 작용이 매우 시간에 민감하다는 점에서는 게임 회사와 비슷합니다. 연결이 중단되면 불만이 생길 테니까요. 

NB: Akamai와 함께 하는 여정은 어떻게 시작되었습니까?

PY: CMC Markets는 설립된 지 꽤 되는데 영국에서 기술, 플랫폼, 제품을 개발했습니다. 현재 아시아, 유럽, 호주, 캐나다 등 많은 국가에서 고객을 확보하고 있습니다. 이러한 고객은 실시간 가격 스트리밍 및 차트 작성과 당일 거래 기능을 원합니다. 연결 품질과 전반적인 성능이 저희 회사에 매우 중요합니다.

초기 CDN을 다른 벤더사로부터 구현했는데 결과가 좋지 않았습니다. 하지만 엣지 네트워크를 직접 처리하지 않아야 한다는 것을 깨닫게 되었습니다. 저희 회사가 WAF 기술을 구축할 때 Akamai도 접촉했습니다. DDoS 및 DNS 취약점도 저의 어젠다에 포함되어 있습니다. Akamai를 살펴보니 콘텐츠 전송 플랫폼, 데이터센터, DDoS 방어, Site Shield, WAF를 매니지드 서비스로 이용할 수 있었습니다. 정말 쉬운 결정이었죠.

먼저 영국 및 호주 시장을 대상으로 두 가지 제품을 보호하는 데 초점을 맞추었습니다. 하지만 계약에 따라 까다로운 작업을 마치고 나서는 Akamai 보안 레이어로 모든 것을 보호할 수 있었습니다. 저희는 모든 인터넷 및 퍼블릭 사이트를 Akamai 뒤에 배치하는 것을 기본 정책을 설정했습니다. 

웹, 마케팅 및 SEO 담당자들에게도 문제가 되지 않았습니다. 성능 일관성이 향상되고 내부 고객의 불만이 감소했기 때문입니다. 이는 내부 보안 측면에서 최선의 결과입니다. 마케팅 담당자와 제품 담당자가 보안에 대해 불평을 하지 않는다면 그것이 성공입니다!  

Akamai Managed Services도 도움이 되었습니다. 월별 조정에서 회사의 위험 프로필을 명확하게 보여주었습니다. 특히 오탐을 방지하는 데 도움이 됩니다. 오탐으로 인해 정상적인 고가치 고객을 차단하게 될 경우 큰 문제가 될 수 있기 때문입니다. 

NB: 금융 업계가 직면하고 있는 다른 사이버 보안 문제를 생각할 때 어떤 것들이 떠오릅니까?

PY: 잘못될 수 있는 것들이 너무 많습니다. 랜섬웨어 위협은 실제합니다. 저희는 사람들이 피싱을 당하는 것을 방지하고 멀웨어가 환경에 침투하지 못하도록 노력하고 있습니다. 규제 압력은 상존하고, 감사 체제는 논스톱으로 느껴지죠. 

NB: 금융 서비스 세계에서는 특히 엄청난 압박을 받고 있으신데요 기밀 정보를 공개하지 않고 어떻게 이를 극복하십니까? 

PY: 제로 트러스트 이념은 매우 타당하다고 생각합니다. 저희 회사에서는 권한 있는 접속 관리를 배포하는 것을 고려했지만 이는 상당한 작업이며 이를 달성하기 위해서는 두 개 이상의 솔루션이 필요합니다. 저희에게 마법의 해결책은 없습니다. 누가 좀 알려줬으면 좋겠습니다!

보다 긍정적인 점은 관리가 필요한 사내 개발 및 온프레미스 데이터 센터의 유산이 있는 것입니다. 하지만 클라우드 기술을 채택하는 혁신을 추진 중이고 여러 사업부가 가능한 한 신속하게 제품을 출시하는 상황에서 또 다른 보안 문제가 발생할 수 있습니다.  

뛰어난 보안을 원한다면 어떻게 게임을 할 수 있을까요? 그리고 어떻게 그 과정에서 개발 수명 주기가 느려지지 않을 수 있을까요? 자동 컴플라이언스에는 전송 파이프라인 전반에 거버넌스 및 보안 정책을 적용하기 위해 구축할 수 있는 많은 요소가 있습니다. 그런 다음 Akamai의 WAF 엣지 플랫폼을 그 위에 배치할 수 있습니다. 

NB: 항상 많은 일이 일어나고 있습니다. 많은 시장과 다양한 비즈니스에 걸친 경우에는 특히 그렇습니다. 앞서 언급하셨듯이 금융 서비스 업계에서도 게임에 가깝습니다. 소비자 활동의 급증과 고열 이벤트는 어떻게 처리하고 계십니까?  

PY: 온라인 상태가 유지되지 않으면 고객이 이탈할 수 있으므로 용량에 우선 순위를 두어야 합니다. 용량 모니터링을 수행하는 훌륭한 직원들이 있습니다. 이들은 하루 중 가장 바쁜 순간과 거래 지연 시간, 필요한 용량을 찾고 있습니다. 많은 용량 모델링을 수행한 후에 CDN 구성 요소 및 DDoS 방어와 관련하여 외부 지원을 받도록 했습니다.

NB: 조금 전에 직원에 대해 언급하셨습니다. 보안 업계에서 모두가 겪고 있는 문제 중 하나는 우수한 보안 인력을 찾는 일입니다. 우선 순위가 높은 프로젝트에 더 집중할 수 있도록 내부 리소스를 확보하는 데 Akamai가 어떤 도움을 주었습니까?

PY: 이전 공급업체와 협력할 때는 모든 애플리케이션에 대한 정책을 누가 관리할 것인가가 문제였습니다. 저는 자체적으로 가능하다고 생각했습니다. 하지만 개발 팀이 이러한 정책 중 일부를 관리하는 것을 논의하는 단계에 이르자 이것이 가능하지 않다는 것을 깨달았습니다. 바로 이때가 매니지드 서비스로서 Kona Site Defender를 선택하게 된 전환점이었고, 따라서 저희가 조정에 집중할 필요가 없습니다. 

저는 지난 몇 년 동안 상사와 함께 아웃소싱 및 매니지드 서비스 공급업체를 많이 살펴봤습니다. 보안에서 다른 사람들을 신뢰하는 것이기 때문에 회사에 적합한 것을 찾아야 합니다. 

저희는 가치를 더하는 서비스 공급업체와 아웃소싱 또는 파트너 관계를 맺을 수 있지만 대응 능력을 유지하는 데 필요한 제어를 잃지 않는 분야를 찾고자 했습니다. 문제가 있는 경우 바로 연락할 수 있어야 합니다.

NB: 그렇습니다. 저희도 고객과 자주 논의하는 부분입니다. 고객은 제어, 서비스 및 고객 친밀감을 원합니다. 또한 자체 민첩성과 실행 능력을 유지하기를 원하죠. 보안 스택이 더욱 복잡해지고 전문화됨에 따라 신뢰할 수 있는 파트너십이 더욱 중요해지고 있습니다.

PY: 물론입니다. 저희 회사는 아웃소싱을 고려한 다른 몇 가지 영역에서 이를 찾고 있습니다. 원하는 경우 언제든지 재정의, 배포 또는 롤백할 수 있기를 원합니다. 그렇게 할 수 없다면 매우 불안할 것입니다. 반면, 저희 회사가 전체 스택에서 모든 제품에 대한 기술을 보유하고 있는 것은 아닙니다. 

NB: 유용한 조언입니다. 여기에 다른 Akamai 고객이 있다면 이러한 신뢰를 구축하기 위해 Akamai 또는 다른 공급업체에게 무엇을 요청해야 할까요? 

PY: Akamai는 전 세계적으로 신뢰를 얻고 있습니다. 작년에 Akamai에서 인시던트가 발생했고 저희 회사도 어느 정도 영향을 받았지만 인시던트를 소유한 방식, 인시던트 후 기록, 전반적인 투명성 등 현재는 Akamai가 이 문제를 심각하게 받아들인다는 것을 보여주는 많은 부분이 정립되어 있습니다. 아픔이 있었을 것입니다.

NB: 보안과 관련하여 일반적으로 공급업체 현황을 생각할 때 특별히 중점을 두는 영역이 있습니까?

PY: 저는 15년 동안 정보 보안 업무를 담당해 왔는데 영업을 위한 수사는 가끔 뻔뻔스러울 정도로 사실이 아닌 경우가 있습니다. 오탐 없이 100% 보호를 제공한다는 것은 비현실적입니다. 도움이 되지 않죠. 벤더사는 자신의 주장을 뒷받침하거나 저희 회사가 무엇을 직접 평가해야 하는지 제시해야 합니다.

NB: 그것이 비즈니스에 적합한 것을 찾는 것 아닐까요? 말이 나온 김에 지난 몇 년 동안 여러 면에서 다소 특이한 일이 있었습니다. 무엇을 배우셨습니까? 동료에게 어떤 조언을 하시겠습니까?

PY: 아직 듣지 못한 것은 없을 텐데요! 대응 속도가 상승하고 있습니다. 저희는 보험 중개업체 중 하나에 현재 상황에 대해 이야기했는데, 때때로 규제 기관과 표준이 서로 다른 이야기를 하는 것처럼 느껴져 흥미로웠습니다. 마치 보험사가 랜섬웨어 공격으로 보험금을 지급하고 있고, 사람들이 보험사가 보험금을 지급하고 있음을 알고 있는 것 같습니다. 보험사는 저희 회사의 보안 조치에 대해 매우 날카로운 질문을 합니다. 

그들이 하는 얘기 중 하나는 네트워크가 감염되고 피해가 발생하기까지의 시간이 크게 단축된다는 것입니다. 보다 신속하게 대응해야 합니다. 

침입을 최대한 일찍 탐지해야 합니다. 적절한 시간 내에 대응할 수 없다면 소용이 없습니다. 손상을 제한할 수 있는 시간은 점점 짧아지고 있습니다.

영리한 정보 보안 실무자들로 구성된 더 넓은 커뮤니티의 지혜를 활용할 수 있다면 도움이 됩니다. Twitter가 도움이 되는 경우도 있습니다. 누가 먼저 당했어요? 알아냈어요? 룰이 있나요? 배포해도 될까요? Log4J는 그로 인해 고통스러웠던 좋은 예입니다. 하지만 Akamai WAF를 배포하면서 Akamai에 연락할 수 있어 여유가 생겼습니다.

NB: 처리해야 할 것이 상당히 많지 않습니까? 특히 랜섬웨어 측면에 대응하려고 하는 경우에 말이죠. 대응할 시간이 줄어들고 보험사가 예의 주시하는 경우는 특히 그렇겠습니다.

PY: 그리고 팬데믹 기간 동안 모든 사람들이 많은 시간을 투입했습니다. 더 일찍 일어나고 하루 종일 일하면서 사람들은 "잠깐, 우리는 사람이야."라고 깨닫기 시작했습니다. 팀이 빠르게 대응하고 항상 상황을 파악할 수 있도록 팀을 구성했습니다. 하지만 직원들이 에너지를 소진하는 일이 없도록 하려면 어떻게 해야 할까요?

NB: 어떻게 하고 계십니까?

PY: 저는 경영진과 계속 대화를 합니다. 이렇게 말하죠. "슈퍼히어로처럼 행동하는 소수의 사람들만 있다면 위기일발 상황을 몇 번이나 벗어날 수 있을까요?" 우리는 더 많은 사람들을 지원하고, 개발하고, 멘토링하고, 다른 사람들로부터 배우려고 합니다. 

NB: 맞는 말씀입니다. 미래를 바라본다면 무엇을 예상할 수 있을까요?

PY: 기본적인 실수는 여전히 일어나고 있습니다. 웹 개발자가 되는 데는 장벽이 없습니다. 30년 전의 실수가 여전히 일어나고 있습니다. 최상단은 점점 더 어려워지고 복잡해지고 있습니다. 

사이버 보험과 보안에 대해 얘기하고 있는데, 실제 세계에서는 "강탈을 당해도 아무 일도 할 수 없다는 것을 걱정해야 하는 것 아닌가요?"라고 생각하기 때문에 이는 이상한 것입니다. 그러나 어떤 정부들이 이 지형을 바꾸기 위해 힘을 모으고 있나요? 실제로 이를 선도하는 기술 회사들이 많이 있습니다. 흥미로운 일입니다. 하지만 정말로 기술 회사들이 규정을 정하기를 원하십니까? 전 모르겠습니다. 

NB: 예, 공공 정책을 형성하는 데 많은 작업이 진행되고 있습니다. 그리고 EU와 영국, 미국의 규정이 다 다릅니다. 현재 우크라이나에서 전쟁이 벌어지고 있다는 점에서 이는 매력적인 영역입니다. 향후 사용을 고려하고 있는 특정 기술이 있습니까?

PY: 저희 회사가 무엇을 보고 있는지에 따라 다를 것입니다. 그린필드 프로젝트가 있다면 매우 다르게 다시 시작할 것입니다. 제로 트러스트, 특히 마이크로세그먼테이션에 대해 많은 생각을 합니다. 서버리스 작업 부하로 수행할 수 있는 작업에 대해서도 관심이 있습니다.

NB: 시청자 중에 질문이 있는 분 계십니까? 

시청자: 자동화 및 인공 지능과 관련하여 자동화 경로를 얼마나 편안하게 생각하십니까? 보안 환경에서 얼마나 깊이 진행할 수 있습니까?

PY: 저희는 전혀 불편하게 생각하지 않습니다. 단지 수학적 근사에 불과한 휴리스틱 머신 러닝 모델을 말씀드리는 것입니다. 무엇을 어디서 사용하고 있는지 알고 있다면 합리적일 수도 있고 그렇지 않을 수도 있습니다. 상황에 따라 다릅니다. 엄격한 룰을 사용하거나 보다 복잡한 룰을 사용할 수 있습니다. 패턴 매칭은 상황에 따라 좋은 아이디어일 수도 나쁜 아이디어일 수도 있습니다. 

기업으로서 내부적으로 하는 작업은 독점적입니다. 하지만 저희는 깊이 파고들어 훈련을 할 수 있는 벤더사를 찾고 있습니다. 저희는 이상 징후를 발견하기 위해 몇 시간을 할애합니다. 이는 장애 방지 및 용량에 있어 실질적인 도움이 됩니다. 

제 동료 중 한 명이 이상 징후를 찾는 모니터링 툴을 여럿 구축했습니다. 이를 위해 클래식 머신 러닝 모델이 필요하지는 않았습니다. 그래서 저는 이 기술에 여전히 과대포장 요소가 있다고 생각합니다. 하지만 전반적으로 머신 러닝을 사용하는 서비스는 불편하게 생각하지 않을 것입니다.  

시청자: 위기 상황에서 Twitter를 사용하여 다른 사람들과 소통하는 방법을 언급하셨는데요. 앞으로 이 커뮤니티가 얼마나 중요할 것으로 생각하십니까? 그리고 Akamai와 같은 벤더사의 역할로 무엇을 생각하십니까?

PY: Twitter는 유용합니다. 저는 특별히 눈에 띄는 사용자는 아니지만, 이러한 채널을 통해 알고 있는 사람들과 이야기를 나누고 있습니다. 저는 누군가 나머지 커뮤니티와 공유할 수 있는 악성 문자열 같은 것을 발견할 때를 좋아합니다. 벤더사들이 정보를 취합하여 할 수 있는 일을 하고 있습니다. 탁월한 보안 분석가가 많이 있습니다. 이들은 최신 동향에 정통하죠. 저는 이미 문제를 해결한 사람으로부터 배우고 싶습니다. 저희도 커뮤니티에 도움이 될 만한 것이 있으면 공유하기를 원합니다.

NB: 시간을 내어 저희와 대화해 주셔서 정말 감사드립니다. 

PY: 감사합니다.