[데이터넷] 기업과 공공기관이 지금까지 막대한 규모의 시간과 예산, 자원을 투자해 인터넷에 노출된 자산을 식별하고 분류하며 위험도를 측정해 왔으나, 클라우드로 확대된 환경에서 인터넷의 모든 자산을 모두 파악하는 것이 불가능한 수준에 이르렀다.

이에 새롭게 등장한 보안 방법론이 ‘공격표면 관리(ASM)’다. 가트너는 최근 기업에 대한 성공적인 공격의 1/3이상이 외부와 연결된 자산으로부터 시작되며 ASM은 CIO, CISO에게 필수의 과제가 될 것으로 전망하고 있다.

ASM은 ▲정보·금융자산, 지적재산 등 비즈니스 수행을 위해서 존재하는 외부 디지털 자산 ▲해커가 발견할 수 있는 인터넷상의 모든 하드웨어, 소프트웨어, SaaS, 클라우드 자산 등을 관리하는 것이다.

노출 가능성이 있는 모든 곳에서 기업·기관의 중요 자산을 지속적으로 검색하고, 보호해야 할 자산을 분류하며, 취약점을 탐지하고, 다크웹 상에서의 자격증명 유출 여부를 수행하는 등의 활동이 포함된다.

단 하나의 열린 포트로 사고 발생

ASM이 필요한 이유를 제시하는 사고 사례가 있다. 코로나19가 기승을 부리던 2020년 8월, 유럽의 한 은행이 랜섬웨어 공격을 받아 전체 서비스가 중단되는 사고를 당했다. 이 사고는 외부 공격표면에 위치한 서버의 단 한 개의 열려 있는 포트(RDP)로 공격이 시작됐다.

1. 해커는 은밀히 목표 은행의 공격표면에 존재하는 자원 중에서 열려 있는 서비스를 찾기 시작한다.

2. 2020년 8월 28일 오후 3시22분에 공격 대상 서버의 원격 데스크톱 접속(RDP) 서비스를 통해서 공격을 시작한다.

3. 해커는 침투에 성공한 피해서버를 통해서 두 가지 전형적인 정찰 행동을 수행한다.

① 해커는 내부 확산을 위해 IP를 스캐닝하면서 내부망의 취약한 단말기 현황을 파악해 분류하기 시작한다.

② 미미카츠(Mimikatz)라고 불리는 자격증명 수집도구를 활용해 도메인 관리자의 계정 정보를 탈취한다. 미미카츠는 메모리에 격납되어 있는 비밀번호, 해시, 케르베로스 티켓과 같은 자격증명 관련 정보를 수집할 수 있는 해킹도구다.

4. 해커는 지금까지 습득한 정보를 바탕으로 내부의 취약한 또 다른 서버를 공격한다. 역시 RDP를 활용해 접속한 후, 도메인 관리자와 사용자의 가짜 계정을 생성한다. 작업 수행 후에는 Cleanip.bat와 IOBit uninstaller를 사용해 해킹에 사용된 레지스트리 항목과 멀웨어를 삭제한다.

5. 최초 공격 시작 후 4시간 18분 후인 7시 40분에 바로 전 단계에서 RDP 접속 후 생성한 가짜 계정을 사용해 lockbit ransomware.exe를 실행하고 첫 번째 랜섬웨어 공격 후 계속 확산해 결과적으로 오랜 시간 동안 은행의 업무가 마비됐다.

이 사고 사례에서 알 수 있듯, 해커는 어려운 방법으로 공격하지 않는다. 은밀하지만 동시에 쉽게 접근해서 신속하게 행동하고, 자신이 원하는 목적을 달성하면 바로 철수한다. 하나의 취약점이면 충분히 해킹에 성공할 수 있다. 그래서 기업 경계선 외부에 존재하는 ICT 자산의 위험을 지속적으로 평가하는 ASM이 필요하다.

공격 가능성 최소화하는 ASM

공격자는 단 하나의 잠재적 취약 지점만 찾으면 공격에 성공할 수 있다. 특히 클라우드 증가로 물리적인 네트워크 경계가 사라지고 외부에서 쉽게 접속할 수 있는 지점이 많아지면서 공격표면이 확장되고 있어 공격자가 이용할 수 있는 취약점은 급격하게 증가하고 있다.

해커가 발견할 수 있는 기업의 외부 자산의 위험성에 대해서 보안팀이 먼저 발견해 먼저 조치할 수 있다면 소 잃고 외양간 고치는 상황은 최대한 방지할 수 있다. ASM 솔루션을 통해 외부에 공개된 취약점을 완전히 제거하거나 최소화할 수 있으며, 그 위험성에 대한 평가가 신속하게 이뤄지면서, SIEM과 같은 관리 솔루션과 표준 API를 통해 쉽게 연동돼 활용될 수 있다면 보안 대처 능력을 향상시킬 수 있다.

ASM을 내부 스캐너, 취약점 관리 도구와 유사한 것으로 생각할 수 있지만, 대상과 기술, 점검 결과물이 다르다. 이들 솔루션은 상호 보완적 관계로, 함께 사용하면 내·외부 보안 취약성을 관리할 수 있다. 또 SIEM/SOAR와 연동해 기업 내부 보안관리 시스템과 통합관리 되어야 한다.

위험기반 관리로 정확한 취약성 대응

ASM을 고려할 때 가장 먼저 자신의 조직에 필요한 핵심 기능을 살펴보는 것이 필요하다. 기업의 업무나 네트워크 환경이 모두 다르기 때문에 요구되는 기능이 다를 수 있다.

모든 조직에 공통적으로 요구되는 4가지 필수 기능은 다음과 같다.

● 자동 발견 기능

자동 발견은 ASM의 가장 중요한 기능으로, 기업 혹은 조직의 외부 IT자산을 자동으로 탐색하는 것이다. 예컨대, IP 주소대역과 자산의 정보가 없고, 메인 도메인만으로 관련된 모든 자산(섀도우IT 포함)을 파악할 수 있어야 한다. 파악해야 하는 정보는 다음과 같다.

- 인터넷상의 IPv4/IPv6 자산

- 클라우드 자산

- 자산에서 실행되는 서비스(Open Port, SSL 인증서 등)

- 자동 발견 범위가 아닌 조직의 확인된 자산 추가 기능

● 위협 시각화 그래프

발견된 자산의 시각화 그래프 기능이 필요한다. 시각화를 통해서 자산간의 상관관계를 보다 신속하게 이해해 위협을 판단하고 조치를 취할 수 있다.

● 지속적 모니터링 기능

자산은 자유롭게 언제든지 추가되고 삭제될 수 있다. 따라서 ASM 솔루션은 기업의 자산을 주기적으로 모니터링해 최신의 정보를 보여주어야 하며 더 중요한 것은 만약에 자산 이 삭제가 됐다 할지라도 그 내용은 담당자가 그 시간대로 되돌아가서 확인이 될 수 있도록 저장돼 관리가 돼야 한다. 한가지 더 중요한 기능은 바로 오탐의 관리가 되겠다. 오탐은 발생할 수 있지만 쉽게 제어될 수 있어야 한다. 오탐으로 발견된 자산을 최소한의 클릭으로 제외시킬 수 있어야 한다.

● 위험기반 관리 기능

전통적으로는 공격표면 자산에 존재하는 알려진 CVE 코드를 기반으로 하는 취약성 정보를 의미한다. 취약성과 관련된 악성 코드에 대한 자세한 정보와 해결방안도 제시해야 한다. 하지만 동일한 종류의 자산이라 할지라도 기업마다 느끼는 가치는 다를 수 있다. 그래서 좋은 ASM 솔루션은 전통적인 ASM 솔루션에서 제공하는 정보이외에도 별도의 추가 정보를 제공함으로써 비즈니스의 영향과 해결방안에 도움을 줄 수 있어야 한다.

예를 들어, 자격 증명 유출 혹은 다크웹 포럼에서 기업에 대한 부정적인 정보 언급 등을 미리 습득하고 그에 따른 조치를 할 수 있다면 분명 보안의 위상은 높아질 것이다. 운영적인 측면에서 ASM 솔루션은 다음의 기능을 제공해야 한다.

●경보 기능

ASM의 중요한 기능이며 자산의 변화를 모니터링하고 실시간으로 경보를 담당자에게 전달할 수 있어야 한다. 관리 화면 혹은 이메일을 통한 경보 발생 기능이 기본이다. 위급한 사안에 대해서는 실시간 경보 발생이 이뤄져야 한다. 위급하지 않은 자산의 변화, 새로 발견된 자산 등 그 외의 사항은 주·월 단위의 보고서 형식으로 제공하면 충분하다.

● 관리 기능

ASM 솔루션은 보안 조직의 분업화와 운영화를 지원할 수 있어야 한다. 조직이 클수록 관리 기능은 중요하게 인식되며 핵심 기능은 정책기반 관리 기능 그리고 싱글사인온(SSO) 기능 등을 제공해서 효율적인 운영을 가능케 해야 한다.

●연동 기능

다양한 써드파티 솔루션과 연동될 수 있어야 장기적으로 운영할 수 있다. API 기술문서를 제공해 쉽게 이해할 수 있어야 하며 API 토큰을 생성해 안전한 API 연동을 통해 IP 주소와 같은 자산 정보를 추출/전송할 수 있어야 하며 SIEM과 같은 보안 관리 도구와 연동되는 기능을 제공해야 한다.

PoC 통해 실제 효과 검증해야

클라우드 확산으로 공격면이 넓어지면서 많은 벤더들이 ASM을 출시하고 있지만, 공식 홈페이지와 데이터시트 등을 통해 문서화된 스펙만으로 실제 기능을 비교하는 것은 어려운 일이다. 실제 제품에 대한 개념검증(PoC)을 반드시 거쳐서 ASM을 충분히 이해하고 조직에 필요한 기능을 파악해 도입하며, 업무 흐름과 우선순위를 정해 관리할 수 있다.

ASM 검증 시 반드시 아래의 항목을 고민해야 한다.

- 기업에서 파악하고 있는 공격표면 자산과 얼마나 다른 결과가 도출됐는가?

- 얼마나 더 많은 공격표면 자산이 발견됐는가?

- 오탐의 비율은 어느 정도인가?

- 실행되는 서비스와 애플리케이션의 파악은 얼마나 정확한가?

- 공격표면 자산에 대해서 알려진 취약점은 얼마나 발견했고 그 해결방안도 제시하고 있는가?

PoC 후 도출된 결과를 바탕으로 위험별, 혹은 위험도별 업무 방식을 정의하고, 중요한 자산에 대한 비즈니스 영향도를 측정할 수 있어야 한다는 것도 중요한 사항이다. 또한 기 설치된 여러 보안 관련 솔루션과의 API 연동이 보안 투자를 보호하면서 보안 솔루션 운영 효과의 극대화를 가져올 수 있을 것이다.

코로나19로 클라우드·원격 및 재택근무를 도입하면서 우리 사회는 커다란 변화의 물결에 올라탔다. 업무 환경이 급변하는 중에도 실시간성을 보장하면서 가시성을 확보해야 한다는 난제를 해결해야 하며, 증가하는 섀도우IT를 제거하고 외부 위협을 신속하게 인지하고 대응해야 한다. 이에 공격자들이 접근할 수 있는 공격면을 제거하는 ASM이 필요하며, 내부 취약점 관리 솔루션 및 SIEM·SOAR 등 통합관리 솔루션과 함께 사용해 안전한 보안 환경을 운영해야 한다.