새로운 위협 요소와 새로운 사이버 공격 및 위험 방지 전략

Zero trust를 통해 보완된 잘 확립된 심층 방어 개념을 기반으로 구축되는 보안 전략을 제안합니다.

사이버 위협 환경이 지속적으로 성장하고 사이버 공격이 더욱 정교해짐에 따라, 어떤 조직이든 명확하고 실행 가능한 사이버 방어 전략을 잘 준비하는 것이 중요합니다. 시스코의 Chuck Robbins 회장 겸 CEO가 RSA Conference 2021에서 기조 연설을 하는 동안 언급한 바와 같이, 사이버 범죄는 2021년에 전 세계적으로 약 6조 달러의 피해를 입혔습니다. 또한 전 세계적으로 사이버 범죄로 인한 피해는 매년 약 15% 증가하여 2025년까지 10조 5천억 달러에 이를 것으로 추정됩니다. 원격 근무가 많은 조직에서 코로나19 이후의 일반적인 팬데믹이 되면서, 기업 네트워크 경계가 변경되었고, 더 많은 취약 지점이 생성되었습니다. 사이버 보안 전략은 새롭게 부상하는 공격에 적응해야 합니다.

이 글은 Zero trust라고 알려진 보다 최근의 패러다임에 의해 보완되는 잘 확립된 심층 방어 개념을 기반으로 하는 보안 전략을 제안합니다. 두 개념에 대한 간략한 개요를 설명한 후, 우리는 올바르게 구현되면 떠오르는 사이버 공격과 위험을 방지하는 조직의 역량을 높일 수 있는 구체적인 행동에 대해 더 자세히 설명할 것입니다.

 

 

새로운 위협 요소와 새로운 사이버 공격 및 위험 방지 전략

 

 

심층 방어 개념

심층 방어 개념은 침입자의 진행 상황을 모니터링하고 사건에 대한 대응을 구현하는 동안 침입자의 진행을 방해하는 장벽을 제공하기 위한 전략으로 군대에서 유래되었습니다. 이 개념은 사이버 공격을 중단하고 침입의 결과를 줄이기 위해 설계된 일련의 탐지 및 보호 보안 조치로 주로 사이버 보안에서 번역되어 사용되었습니다.

대규모 조직에서는 정보 시스템 아키텍처가 매우 복잡할 수 있기 때문에 악용될 경우 지속적인 결과를 초래할 수 있는 잠재적인 취약성이 장기간 발견되지 않을 수 있습니다. 따라서 심층 방어 전략은 다중 계층 접근 방식을 사용하여 사이버 침입 탐지 확률과 악의적인 위협 행위자에 대한 방어 능력을 향상시킵니다. 다음 표는 심층 방어 보안을 구현할 때 권장되는 솔루션 및 전략을 보여줍니다.

 

심층 방어 전략 솔루션 

리스크 관리 프로그램

위협 식별

위험 특성 분석

자산 인벤토리 유지 관리

 

사이버 보안 아키텍처

 표준/권장사항

정책.

절차들

 

물리적 보안

제어 센터 액세스 제어

원격 사이트 비디오, 액세스 제어, 장벽

네트워크 아키텍처

 

공통 건축 구역

비무장지대(DMZ)

가상 LAN(VLAN)

네트워크 경계 보안

 

방화벽

원격 액세스 및 인증

다중 요소 인증

서버/호스트 점프

호스트 보안

 

패치 및 취약성 관리

필드 장치

가상 시스템

보안 모니터링

 

침입 탐지 시스템(IDS)

보안 감사 로깅

보안 사고 및 이벤트 모니터링(SIEM)

공급업체 관리

 

공급망 관리

관리 서비스/아웃소싱

클라우드 서비스 활용

사용자 관리

 

정책들

절차들

교육 및 인식

ID 및 액세스 관리(IAM)

역할 기반 액세스 제어(RBAC)

 

 

제로 트러스트 원칙을 활용하여 보다 강력한 보안 태세를 구현하고 보다 유연한 환경 조성

제로 트러스트는 빠르게 일반화되고 있는 새로운 개념입니다. Gartner의 조사에 따르면 2025년까지 60% 이상의 조직이 제로 트러스트를 보안의 출발점으로 수용할 것입니다.

제로 트러스트는 어느 사용자도 암묵적으로 신뢰하지 않는 보안 패러다임으로 제로 트러스트 원칙에 따라 각 사용자를 명시적으로 식별해야 하며, 위험이 감소하는 동안 사용자가 최소한의 마찰력으로 비즈니스 기능을 수행하는 데 필요한 자원에만 접근 권한을 부여합니다.

 

 

제로 트러스트란?  

보는 바와 같이 제로 트러스트는 작업 장소의 독립성을 가능하게 합니다. 이는 집이나 원격지에서 일해야 할 필요성이 급격히 증가한 포스트 코로나 상황에서 중요합니다.

이를 통해 위치 중심 모델에서 보다 데이터 중심적인 접근 방식으로 전환되고 사용자, 시스템, 데이터 및 자산 간의 세분화된 보안 제어가 가능합니다.

 

 

전략 구현

우리는 우리의 보안 전략이 정보 보안 프로그램 내에서 구체적인 행동을 구현할 수 있도록 심층 방어(Defense-In-Depth) 및 제로 트러스트(Zero trust) 개념을 기반으로 할 것임을 알고 있습니다.

 

위협 요소 및 자산 식별

성공적인 정보 보안 프로그램은 비즈니스 목표 및 목표에 맞게 조정된 보안 위험 평가에서 시작합니다. 위험 평가의 일환으로 위협 요소와 이러한 위협에 대한 노출을 식별해야 합니다.

노출 수준은 모든 정보 자산을 식별하고 분류한 후 각 자산과 관련된 위험 프로파일을 사용하여 결정할 수 있습니다.

모든 비즈니스에 대한 위협은 규모, 능력, 의도 및 운영 수단에서 다양하다는 점에 유의해야 합니다. 또한 위협 요소는 조직 내부(내부자 위협)일 수 있으며 의도적이거나 단순한 인적 오류로 인해 보안 침해를 초래할 수 있습니다.

광범위한 연구, 위협 요소 및 정보 자산의 식별 및 분류를 거친 후 다음 단계에서는 우선 순위를 결정합니다.

 

 

작업 영역 우선 순위 지정

대규모 기업 환경에서는 리스크 평가 보고서 이후 검토할 항목 목록이 압도적으로 많을 수 있지만, 실패는 선택 사항이 아니므로 리스크 프로파일, 기대 손실, 복구 시간, 교체 비용 등에 따라 우선 순위 항목 목록을 설정하는 것이 필수적입니다.

다음 단계는 활동 및 대상 자산의 특성에 따라 기술적, 관리적 또는 물리적일 수 있는 보안 제어 설정을 시작하는 것입니다.

 

 

억제, 탐지, 방지 및 수정을 위한 컨트롤 설정

첫째, 기존 통제의 현재 상태를 파악하고 위험 완화에 대한 효과를 평가해야 합니다.

공격자가 더 정교한 기술을 사용하여 능력을 끊임없이 발전시키는 상황에서 방어 메커니즘은 능력, 기술 및 보안 직원 능력에 대해 적응하고 앞서나가야 합니다. 인공지능(IA) 및 머신 러닝(ML) 기술을 사용하는 기술을 활용하여 보다 정확한 탐지, 예방 및 경고를 통해 잘못된 긍정적인 경고를 줄일 수 있습니다.

보안 제어는 일반적으로 예방, 억제, 탐지 또는 수정이 가능합니다.

정보보안관리시스템(ISMS)을 위한 ISO/IEC 27001:2022 프레임워크에 기술된 바와 같이, 예방적, 억제적 또는 탐지적 유형의 통제는 위험이 애초에 발생할 가능성을 줄이거나 최소한 위험이 발생하는 것을 더 어렵게 만들기 위해 사용됩니다(3). 따라서, 위험 및 통제 분석 결과를 검토하여 정보 자산의 현재 상태와 원하는 상태 사이의 차이를 평가해야 합니다.

 

 

공격 방지(예방 제어)

예방적 통제의 목표는 사고가 발생하는 것을 방지하는 것이며, 이는 위협 요소가 목표에 도달하는 것을 효과적으로 차단하는 것을 의미합니다.

가장 좋은 예상 결과는 예방적 통제가 항상 작동하는 것입니다. 불행하게도 항상 그렇지는 않습니다. 예방적 통제는 위험 평가 결과, 자산 분류 및 우선 순위를 기반으로 실행됩니다.

 

 

예방적 제어의 예

모든 직원을 대상으로 한 보안 인식 교육. 교육은 정기적으로 실시되어야 하며, 광범위한 주제를 다루어야 하며, 직원이 공격의 희생자가 될 수 있는 시나리오를 제공하고 자신과 조직의 위험을 줄이는 방법을 설명합니다. 대표적인 예로는 직원이 낚시 이메일을 식별하는 교육, 강력한 암호 작성 방법 및 암호 사용에 대한 모범 사례, 사회 공학 기술 이해 등이 있습니다. 직원이 수행한 직무 기능을 기반으로 목표 교육을 할당해야 하며, 지침이 쉽게 섭취할 수 있도록 적절한 수준으로 설정되도록 주의해야 합니다.

방화벽, 침입 탐지 시스템(IDS), 시스템 패치, 바이러스 백신 프로그램 설치, 보안 설정 강화 및 역할 기반 액세스 제어(RBAC) 시행을 포함한 다른 예방적 제어 조치를 적절히 선택해야 합니다.

환경이 진화함에 따라 정보 보안 정책 및 절차를 업데이트하고 정기적으로 검토해야 합니다.

 

 

Threat Actor의 활동 탐지

탐지 컨트롤은 가시성 및 보고를 제공하는 데 사용되며, 이를 통해 위협이 영향을 미치기 전 또는 직후에 탐지할 수 있습니다.

 공격은 거의 발생하지 않는다는 점에 유의해야 합니다. 대신 공격자는 일반적으로 스푸핑된 IP 주소를 사용하여 여러 무작위 소스로부터 조정된 공격을 수행하기 전에 여러 정찰 활동을 통해 정보 수집 및 시스템 아키텍처 매핑과 같은 활동을 수행합니다. 이러한 점점 더 정교해지는 공격 기술은 악의적인 트래픽과 합법적인 트래픽을 구별하기 어렵게 만듭니다.

다음은 이것이 전체 목록이 아니라는 점을 고려하여 권장되는 몇 가지 탐정 조치입니다. "심층 방어" 접근 방식과 마찬가지로 기존 통제와 충돌하거나 약화되지 않는 경우 추가적인 대응 조치가 권장됩니다.

 

 

활동 로그

시스템의 모든 활동을 기록하는 것이 좋은 시작점이며, 선택된 중요 또는 비상 로그를 SIEM(보안 정보 및 이벤트 관리)과 같은 지정된 시스템으로 보내 분석할 수 있습니다. 기록에는 시스템에 로그인하려는 모든 실패 시도, 성공한 모든 시도, 시스템 구성 및 중요 시스템 데이터에 대한 모든 수정이 포함되어야 합니다.

다른 작업은 기록하고 분류해야 합니다. SIEM은 악의적인 추세를 쉽게 식별할 수 있도록 광범위한 분석 및 그래프를 생성할 수 있습니다.

 

취약성 검색

탐지 기능의 일부로 정기적인 취약성 검색을 수행해야 합니다. 이는 모든 장치에서 자동으로 실행되도록 예약할 수 있으며, 사용자나 보안 전문가가 탐지된 취약성에 대해 경고합니다.

 

 

바이러스 및 악성 소프트웨어 검색

모든 시스템에서 바이러스 및 기타 악성 소프트웨어를 정기적으로 검색해야 합니다. 경고를 생성해야 하며 바이러스 또는 의심스러운 소프트웨어가 탐지되면 즉시 조치를 취해야 합니다. 또한 안티바이러스 서명 데이터베이스를 매일 업데이트해야 합니다.

 

 

ID 및 액세스 관리(IAM)

견고한 ID 및 액세스 관리 관행을 통해 가시성 및 보고를 개선할 수 있습니다. 사용자 활동이 적절하게 기록되면 비정상적인 활동을 탐지하기가 쉬워집니다. 강력한 암호 정책, 다중 요소 인증 및 역할 기반 액세스 제어(RBAC)로 백업된 양호한 IAM을 사용하면 합법적인 사용자는 작업 기능을 수행하는 데 필요한 정보에만 액세스할 수 있습니다(최소 권한 원칙)

 

 

IDS 시스템

침입 탐지 시스템은 의심스러운 네트워크 활동을 탐지하는 데 도움이 되는 핵심 도구입니다. 이들은 일반적으로 네트워크 아키텍처 내의 중심 지점(또는 진입 지점)에 위치하고 행동 분석을 위해 모든 트래픽의 복사본을 받습니다. 현대 IDS는 일반적으로 인공 지능 및 기계 학습 알고리즘을 사용하여 예측 모델(트래픽 패턴 분류)을 통해 비정상적인 트래픽 패턴을 발견합니다.

 

 

회계 감사

정기적인 감사는 다른 메커니즘에 의해 눈에 띄지 않았을 수 있는 보안 공백, 잘못된 관행 및 이벤트 위반을 감지하는 데 중요합니다. 감사는 내부 또는 외부 감사인에 의해 수행될 수 있으며 보안 표준에 대해 수행될 경우 더욱 포괄적일 것입니다. 예를 들어, 조직이 표준을 준수해야 할 경우 정보 보안 관리 시스템의 ISO/IEC 27001에 대해 수행되거나 PCI/DSS, HIPAA, SOC2 등과 같은 특정 표준에 대해 수행될 수 있습니다.

 

 

결론

사이버 공격 건수가 해마다 증가하고 위협 행위자들이 보다 정교한 기법을 사용하는 추세에 따라 새롭게 등장하는 사이버 보안 위협에 효율적으로 대처하려면 현재의 보안 과제와 구체적인 방어 대응 방안에 대한 명확한 이해가 필요합니다. 이 글에서는 새롭게 등장하는 위협에 성공적으로 대처하기 위해 권장되는 실행 가능한 항목의 목록을 제안했습니다. 보다 구체적으로 조직의 이사회와 실행 팀이 지원하는 강력한 거버넌스 및 위험 관리 프로그램을 통해 좋은 정보 보안 관리 프로그램을 구현할 것을 권고합니다. 기술적인 측면에서는 심층 방어(Defense-Depth) 보안 방법론을 구현하고 제로 트러스트(zero-trust) 패러다임을 사용하여 조직에 대한 위험을 최소화하고 공격의 영향을 최소화하는 사이버 보안 방법론을 구현하고 제로 트러스트(Zero-trust) 패러다임을 사용하여 조직에 대한 위험을 최소화하는 사이버 보안 전략을 제안합니다.