[SaaS 보안①] 쉽게 사용하는 SaaS, 공격도 쉽다
상태바
[SaaS 보안①] 쉽게 사용하는 SaaS, 공격도 쉽다
  • 김선애 기자
  • 승인 2021.04.06 10:47
  • 댓글 0
이 기사를 공유합니다

SaaS 도입률 늘어나며 SaaS 타깃 공격 급증
사용중 SaaS 가시성 확보·일관적 정책 기반 통제 필수

[데이터넷] 기업·기관은 그 어느 때보다 많은 서비스형 소프트웨어(SaaS)를 사용하고 있다. 그러나 보안 대책은 충분히 마련되지 않아 SaaS 타깃 공격이 폭발적으로 증가하고 있다. 트렌드마이크로가 지난 한 해 탐지한 SaaS 타깃 멀웨어가 110만건에 이르렀으며, 1520만건의 피싱 URL과 31만 6500건의 비즈니스 이메일 침해(BEC) 공격을 차단했다.

퍼블릭 클라우드 보안 우려는 많은 조사 보고서에도 언급된다. (ISC)2 조사에 따르면 보안 전문가 94%가 퍼블릭 클라우드 보안에 대해 우려하고 있으며, 69%는 “조직의 클라우드 보안 준비 상태가 평균 이하”라고 답했다. 또 82%는 “전통적인 보안 솔루션은 클라 우드에서 작동하지 않거나 제한적인 기능만 사용할 수 있다”고 답했다.

SaaS를 노리는 대표적인 공격 유형으로 다음의 4가지를 꼽을 수 있다.

  • 사용자·애플리케이션 제어 상실: SaaS 애플리케이션이 클라우드 환경에서 배포되고 사용되면 IT 부서는 더 이상 사용자 수준의 접근성, 데이터, 사용 동작을 완벽하게 제어할 수 없다. 직원이 실수로 데이터를 삭제해 데이터가 손실되거나 중요한 데이터가 권한 없는 사용자에게 노출되어 데이터 유출로 이어질 수 있다.
  • 멀웨어·제로데이 공격: SaaS의 장점은 데이터와 파일을 자동으로 동기화하는 기능인데, 해커는 이를 악용해 오피스 문서, PDF 파일 등에 악성 코드를 숨기고 파일 공유 서비스에 업로드함으로써 사용자 개입 없이 전체 파일을 감염시킬 수 있다.
  • 감사·규정 준수 관련 비즈니스 위험: 데이터 콘텐츠, 첨부 파일 요구 사항에 대한 SaaS 애플리케이션 사용을 입증하기 위해 감사 및 보고 등이 필요하다. 조직은 모든 민감한 데이터를 안전하게 보호 하고 사용자 활동을 추적할 수 있어야 하며, 더 중요한 것은 승인·비 승인된 SaaS 애플리케이션 에 대한 감사 추적이 보장돼야 한다.
  • 알려지지 않은 내부자 위협: 보안 장애와 관련, 사 람이나 직원은 가장 약한 통로로 사용된다. 모든 내부자 위협이 반드시 악의적인 의도를 가지고 있 는 것은 아니며, 사용자 과실로 인한 우발적인 내 부자 공격이 발생할 수 있다. 시스템과 데이터에 대한 승인된 액세스를 남용하는 경영진, 직원 또는 관리자와 같은 내부자는 막대한 피해를 입히거 나 데이터 유출까지 초래할 수 있다.

(자료: 상포테크놀로지)

▲2020년 1월부터 4월까지 전 산업에서 발견된 클라우드 위협(자료: 맥아피 ‘클라우드 도입과 리스크 리포트’)
▲2020년 1월부터 4월까지 전 산업에서 발견된 클라우드 위협(자료: 맥아피 ‘클라우드 도입과 리스크 리포트’)

SaaS 보안위협에 선제적으로 대응하기 위해서는 ▲조직이 어떤 SaaS를 사용하고 있는지 파악하고, 승인되지 않은 SaaS 사용 제한 ▲SaaS가 사용 목적에 맞게 사용되고 있는지 파악 ▲권한 접근 관리가 제대로 되고 있는지 모니터링 ▲데이터의 흐름을 면밀히 살펴보고 적절한 보안 정책 적용 ▲알려진·알려지지 않은 취약점 대응 등이 필요하다.

류승환 이글루시큐리티 빅데이터보안연구소장은 “SaaS 애플리케이션에서 원격 제어, 권한 상승을 가능 하게 하는 취약점을 찾아내 멀웨어를 유포하거나, 다크웹에서 구입한 계정 정보를 토대로 기업 경영과 밀접하게 관련된 SaaS 애플리케이션에 접속해 중요정보를 유출한다. 또 악의를 가진 내부자와 선량한 내부자의 실수, 권한·접근관리 실패 등으로 인한 사고도 빈번하다”며 “중요 데이터에 대한 적절한 통제 정책과 SaaS 전반에 대한 이상행위 모니터링으로 사고가 피해로 이 어지기 전에 차단해야 한다”고 조언했다.

보호할 자산 파악이 첫 단계

SaaS 보안의 첫 단계는 조직에서 사용하고 있는 SaaS 애플리케이션을 파악하는 것이다. SaaS는 쉽게 사용할 수 있는 만큼 보안 조직이 파악 하지 못하는 섀도우 클라우드가 상당하다. 실시간 조직에서 사용하는 SaaS를 파악해 허가되지 않은 SaaS나 취약한 서비스, 사용할 필요가 없는 SaaS 접속을 차단한다. 또한 규제준수 지원, 사용자 및 엔티티 행위 분석(UEBA), 사용자 권한 제어, 민감한 데이터의 세부적인 제어,와 가시성 제어 등의 기능도 조사한다.

배준호 포티넷코리아 상무는 “SaaS의 가장 큰 이슈는 가시성을 확보하는 것이다. 허가되지 않은 애플리케이션을 사용하면 기업 정보 유출, 계정 탈취 등의 공격을 당할 수 있으며, 규제준수 의무 위반으로 막대한 벌금을 물게 될 수 있다”고 지적했다.

허가된 SaaS로만 접속하도록 통제하는 솔루션이 클라우드 접근 보안 중개(CASB)이며, 허가되지 않은 SaaS 이용으로 인한 위협을 막는다. CASB는 클라우드 보안 형상관리(CSPM), SaaS 보안 형상관리(SSPM), UEBA, 사용자 지정 애플리케이션 지원, 보안 웹 게이트웨이(SWG), 제로 트러스트 네트워크 액세스(ZTNA), 원격 브라우저 격리(RBI) 등을 통합하거나 지원·연계하는 방향으로 진화하고 있다. 또한 BYOD 사용자와 비즈니스 파트너를 위한 적응형 액세스를 활성화해 SaaS 애플리케이션과 관리되지 않는 장치를 안전하게 연결할 수 있게 한다.

DLP 통합 CASB로 SaaS 위협 방어

CASB는 SaaS 사용률이 늘어날수록 도입 속도가 빨라진다. 따라서 국내에서 코로나19로 SaaS 도입이 가속화되면서 CASB 도입 문의도 늘어나고 있다. CASB 시장 개화를 기다리던 맥아피가 가장 먼저 이 상황을 반기며 영업에 박차를 가하고 있다. 맥아피는 성숙도 높은 CASB를 제공해 온 스카이하이네트웍스를 인수하고 이 기술을 기반으로 한 ‘엠비전 클라우드 (MVISION CLOUD)’를 제공하고 있다.

엠비전 클라우드는 뛰어난 DLP 기능을 내장하고 있 어 섀도우 데이터 위협도 낮출 수 있다. 엠비전 클라우 드는 30개 이상 SaaS 서비스 보안과 접근제어, 모니터링을 제공하고, 사용자의 비정상 행위를 탐지하며, 연결된 앱 제어 기능을 제공해 써드파티 앱을 통한 정보 유출을 막는다.

CWPP, CSPM, RBI, SWG 확장 기능을 통해 클라우드 통합 보안을 제공하며, ‘UCE(Unified Cloud Edge)’ 라이선스를 사용해 엔드포인트와 클라우드 전 체 영역에 대한 데이터 보호를 보장할 수 있다.

CASB와 연계해 사용할 수 있는 맥아피 DLP는 엔드포인트와 네트워크 상의 데이터 유출을 지능적으로 탐지한다. 외부 반출 규정에 어긋나는 데이터는 차단 하고 외부 유출 사고 탐지 시 정확한 증거자료를 수집 한다.

포스포인트도 CASB 시장 개화를 반기며 본격적인 영업을 시작했다. 에스에스앤씨가 한국지사 역할을 하는 포스포인트의 CASB는 뛰어난 DLP 기능과 섀도우 IT 관리, 계정오용 방지, 모바일 접근보안, 클라우드 관리자 보호, 민감정보 공유 제거, 고급 위협 방어 등을 제공한다.

ZTNA 도입하는 SaaS 보안

CASB는 브로드컴이 가장 앞장서서 개척해 온 시장이다. 블루코트가 클라우드 보안 전문기업 퍼스펙시스를 2015년 인수해 CASB 시장을 본격 개화시켰으며, 2016년 시만텍이 블루코트를 인수하면서 클라우드 보안 플랫폼의 중심에 CASB를 위치시켰다. 2019년 시만텍이 브로드컴에 인수되면서 CASB를 중심으로 한 클라우드 보안 플랫폼 전략을 이어가고 있다. 브로드컴 CASB는 DLP를 포함하고 있으며, 별도 콘솔을 통해 SWG, 보안 이메일 게이트웨이(SEG), ZTNA와 연동된다.

클라우드 보안 기업으로 빠르게 변신하고 있는 팔로알토 네트웍스와 포티넷의 시장 공략도 주목된다. 팔로알토 네트웍스는 SaaS 보안 솔루션 ‘프리즈마 액세스’를 통해 CASB를 포함한 다양한 SaaS 보안 기술 을 제공한다. 이 제품은 사용 중인 애플리케이션의 가시성을 제공하고, 기업 트래픽 전체에 걸친 애플리케 이션 위험과 지사·모바일 사용자를 포함한 애플리케 이션 사용량을 파악해 섀도우 IT를 최소화한다.

인라인 머신러닝과 엔터프라이즈 DLP 기능으로 승인되거나 승인되지 않은 애플리케이션 업로드 차단과 중요 데이터를 보호한다. 사용자의 작업을 방해하지 않는 안전한 사용자 환경을 유지하면서 신뢰할 수 있 는 액세스만 보장한다. 클라우드 규정 준수와 개인정보 보호, 사용자 액세스와 제어 권한을 관리해 신뢰할 수 없는 사용자를 차단한다.

포티넷은 ‘포티CASB’와 ‘포티SASE SIA’로 SaaS를 통제한다. 포티CASB는 API를 이용해 SaaS 애플리케이션을 통제하고, 데이터 분석과 정책 관리를 지원한다. SaaS에 저장되는 악성코드 파일 탐지와 샌드박스를 추가로 제공해 SaaS 위협을 관리한다.

포티SASE SIA는 원격근무자의 엔드포인트에서 SaaS 애플리케이션 접속 정책을 제어한다. 소프트웨어 정의 경계(SDP)를 적용해 회사에서 지급한 기기든 직원 개인 소유 기기든 상관없이 허가된 애플리케이션 에만 접속하도록 통제한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.