[데이터넷] 악의를 가진 내부자나 내부자의 권한을 탈취한 공격자는 해당 권한 내에서 접근할 수 있는 시스템에서 정보를 탈취한다. 따라서 정상 계정으로 접근한다 해도 비정상적인 접근인지, 지나치게 많은 정보에 접근하는지 판단하는 것이 필요하다.
최근 공격자들은 액티브 디렉토리(AD) 정보를 탈취해 대규모 정상 사용자 계정을 획득하고 있다. 기업의 90% 이상이 AD를 사용하고 있는데, AD는 전체 임직원의 계정 정보 뿐 아니라 인사정보, 업무 관련 정보 등 임직원에 대한 고급 정보가 있어 공격자가 이용하기에 유용하다.
시만텍은 ‘위협 방어 포 액티브 디렉토리(TDAD)’로 AD 타깃 공격을 막는다. AI를 이용해 보안 위협을 신속하게 탐지하고 위협을 억제할 수 있는 다양한 기능을 제공한다. 고급 난독화로 보안 위반 시점에 공격자가 모든 엔드포인트, 서버, 사용자, 애플리케이션, 로컬 저장된 인증 정보 등 기업의 내부 리소스를 인식할 수 없도록 제어한다.
고급 개인 정보 탈취 위한 크리덴셜 스터핑 성행
공격자가 정상 사용자 계정을 공격에 사용할 수 있는 주된 요인은 그간 수많은 개인정보 탈취 공격을 통해 공격자가 이용할 수 있는 계정이 많기 때문이다. 지하세계에서는 개인정보가 저렴한 가격에 판매되고 있으며, 웹이나 클라우드 등에도 방치된 계정정보를 쉽게 획득할 수 있다.
공격자들은 이 같은 개인정보를 이용해 웹 사이트에 정상 사용자로 위장해 로그인 한 후 추가 개인정보를 탈취해 또 다른 공격에 이용한다. 이를 크리덴셜 스터핑이라고 하며, 대부분의 경우 봇을 이용해 공격을 진행한다. 공격자들은 대량의 개인정보를 대입해보기 때문에 수작업으로는 할 수 없으며, 자동화되고 지능화된 봇을 이용해 개인정보를 훔친다.
이를 막기 위해 악성봇 차단 기술이 제안되며, 아카마이가 클라우드 기반 ‘봇 매니저’를 출시하고 시장을 환기시키고 있으며, 라드웨어는 쉴드스퀘어를 인수한 후 ‘봇 매니저’ 제품을 내놓고 시장 공략에 나섰다. 악성 봇 차단 기술은 정교한 행위 분석과 상황인지 분석 기술, 평판분석 기술 등을 이용해 웹사이트 접속이나 로그인 시도가 정상 사용자의 행위인지, 봇에 의한 것인지 확인한다.
추가인증으로 계정 권한 통제 강화
사용자 계정과 접근권한을 ID/PW 만으로 통제하는 것은 위험하다. 내부 네트워크로 침투한 공격자가 네트워크 환경을 파악하고 자격증명을 탈취해 수평 이동하는데 7분 밖에 걸리지 않는다는 조사가 있다. 따라서 정상적인 계정 정보를 이용한 접근이라 해도 중요한 정보 시스템에 대한 접근은 추가 인증을 거치는 것이 좋다. 일회용 비밀번호나 FIDO를 활용한 차세대 인증 시스템을 이 제안되며, 사용자가 소지한 스마트폰이나 신용카드 등을 활용하는 2팩터 인증도 많이 사용된다.
시만텍은 정교한 상황인지 기술을 이용한 사용자 인증 기술인 ‘VIP’로 편리하면서 강력한 인증 기술을 제공한다. VIP는 데이터 수신자의 신원을 확인하고 사내 직원이 언제 어디서나, 어떤 디바이스에서든지 안전하게 작업할 수 있는 환경을 보장한다. 편리한 다중 인증 및 리스크 기반 인증 방식으로 네트워크, 애플리케이션, 클라우드에 대한 무단 액세스를 차단해 데이터가 잘못된 사람이나 조직의 수중에 들어가지 않도록 보호한다.
FIDO 기반 인증 기술을 활용하는 사례도 늘어나고 있는 가운데, 이를 통제 시스템에 연동해 더욱 강화된 보안 환경을 제공하는 모델도 등장했다. 휴네시온은 FIDO 기반 인증 솔루션 기업 서우에스앤씨와 기술협력을 맺고 강화된 인증 서비스를 선보인다. 서우에스앤씨는 FIDO 기반 인증 서비스를 제공하며, 인증 정보를 블록체인으로 관리해 보안을 강화한다. 휴네시온은 이 기술을 자사의 모바일 디바이스 관리 시스템 ‘모비카’와 시스템 접근제어 및 계정관리 솔루션 ‘NGS’, 망연계 시스템 ‘아이원넷’ 제품군에도 적용해 인증 보안을 강화한다.
