“정책·표준화 체계 수립으로 보안 위협 완화해야”
상태바
“정책·표준화 체계 수립으로 보안 위협 완화해야”
  • 데이터넷
  • 승인 2022.01.13 09:00
  • 댓글 0
이 기사를 공유합니다
TI 기반 보안 위협 완화 방안 마련 필수 … 기술 변화 대응한 경계 방어 태세 갖춰야
▲ 홍정표 넷스카우트코리아 이사
▲ 홍정표 넷스카우트코리아 이사

[데이터넷] IT 서비스는 주요 요소의 단위별로 이뤄지는 것이 아니라 모든 요소를 통합해 운영된다. 따라서 단위 분석, 단위 도구, 단위 가시성이 아니라 IT 서비스의 통합 가시성 보장이 필수다. 특히 변화하고 증가하는 IT 서비스 운영에 있어 네트워크 및 보안 위협에 대응하기 위한 통합 가시성 기반의 대응체계 자동화 구축 전략이 필요하다. 통합 네트워크 가시성과 AI 기반 위협 인텔리전스(Threat Intelligence)의 필요성에 이어 지능형 위협 플랫폼 기반의 보안 위협 완화 구축 전략을 살펴본다.

IT 서비스는 주요 요소의 단위별로 이뤄지는 것이 아니라 모든 요소를 통합해 운영된다. 따라서 단위 분석, 단위 도구, 단위 가시성이 아니라 IT 서비스의 통합 가시성 보장이 필수다.

특히 변화하고 증가하는 IT 서비스 운영에 있어 네트워크 및 보안 위협에 대응하기 위한 통합 가시성 기반의 대응체계 자동화 구축 전략이 필요하다. 이에 보안 가시성 기반의 보안 위협 감지와 방어 그리고 최근 유행하는 사이버 위협에 대한 다양한 대응 방안 구축에 대해 살펴본다.

▲ 2021년 사이버 공격 요약(출처: 넷스카우트 실시간 사이버 공격 글로벌 맵)
▲ 2021년 사이버 공격 요약(출처: 넷스카우트 실시간 사이버 공격 글로벌 맵)

위협 환경 급변
단 한 번의 클릭으로 DDoS, 랜섬웨어, 피싱, 소셜엔지니어링 기반의 공격 등 지능적인 사이버 공격을 쉽고 저렴하게 수행할 수 있게 됐다. 여기에 IoT를 비롯한 기술 발전과 초연결 사회로의 이전은 공격 빈도나 노출을 기하급수적으로 증가시키고 있다.

이러한 위협은 당연히 비즈니스의 연속성을 침해하고 있다. 주가 하락, 평판 감소, 금전적인 손해 등 다양한 목적의 위협 공격은 결론적으로 비즈니스나 업무 연속성의 훼손이다. 따라서 위협 완화를 위해 당연히 더 많은 인력을 투입해야 하지만 현실은 그렇게 쉽지만은 않다.

▲ TI 기반 감지와 서비스 위협 완화
▲ TI 기반 감지와 서비스 위협 완화

포브스에서는 이미 2021년에 전 세계에서 보안 관련 인력이 350만 명이 부족할 것이며, 60% 이상의 기업이 보안 사고에 직면하거나 문제가 될 것이라고 전망한 바 있다. 2020년 이후 팬데믹에서 볼 수 있듯이 더 많은 보안 위협과 침해사고가 발생하고 있으며, 더 많은 비즈니스가 온라인에서 시작되고, 폭증하고, 강화되고 있다.

어떻게 보안 위협에 대한 효율적인 방어 체계를 구축할 수 있는지 또 어떠한 구성 방식을 선택해야 하는지 살펴보자.

▲ 경계 방어 최적화
▲ 경계 방어 최적화

적극적인 공격 완화 대응 방안 수립
보안 위협에 효율적으로 대응하기 위해서는 어디서부터 어떻게 강화해야 하고 필요한 것은 무엇인지 이해해야 한다. 이에 다음과 같은 다양한 준비가 반드시 뒤따라야 한다.

· 위협 완화를 위한 지능형 보안 위협 정보/데이터
· 위협 경계에 대한 제약 없는 완화 방안, 경계 방어 최적화
· 기술 환경 변화에 대비한 보안 위협 완화
· 가시성 기반 보안 위협 확인과 정책 수립
· 애플리케이션 기반 보안 위협 방어 태세 구성

사이버 위협 환경의 변화와 전문성을 갖춘 보안 인력의 부족은 결국 부적절하거나 잘못된 대응을 하게 마련이다. 앞서 언급한 것처럼 보안 위협에 대한 정책 그리고 표준화 체계를 구축해 보안 위협 완화를 위한 최적화 방안을 수립하고 운영해야 한다.

▲ 하이브리드 위협 방어 체계 구성
▲ 하이브리드 위협 방어 체계 구성

● TI 기반 보안 위협 완화 방안
다양한 보안 위협에 대한 AI 기반의 탐지와 감지를 동반하지 않는다면 보안 위협의 완화에도 커다란 구멍이 생기는 것이다. AI 기반의 TI(Threat Intelligence) 또는 시그니처 업데이트 최적화 방안은 운영자의 개입, 보안 정책 관리자의 최소한의 개입으로 보안 위협 탐지와 침해 대응 최적화 및 신속성 그리고 자동화 기반을 마련할 수 있다. TI 기반의 완화 정책은 효율적인 보안 관제 운영, 자동화 첫 걸음이자 수많은 보안 위협 사각지대의 함정에서 벗어나는 사이버 위협 대응 방안이 될 것이다.

블랙 IP, IoC, 랜섬웨어, 멀웨어, C&C, 봇넷 등 다양한 보안 위협이 복합적으로 공격을 감행하고 있다. 서비스의 보호는 복합 공격에 대한 대비, DDoS에서 랜섬웨어, IoT, 봇넷 등 신기술 트렌드에 대한 TI 기반으로 위협 완화 방안을 수립해야 한다.

▲ 클라우드 방어 수행과 다중 공격·TLS 방어 수행
▲ 클라우드 방어 수행과 다중 공격·TLS 방어 수행

● 위협 경계 제약 없는 완화 방안과 경계 방어 최적화
첫 번째 보안 위협 차단은 당연히 외부에서 유입되는 트래픽 또는 트랜잭션의 감시에서 시작된다. 두 번째는 내부에서의 위협 대응 방안 구성이나 완화, 데이터 유출 등의 선제적 위협 사전 제거가 필요하다.

결국 랜섬웨어나 멀웨어 등의 사이버 범죄와 위협 역시 내부로의 명령 전달 체계나 데이터 유출을 위한 사전 체계를 구성해야하기 때문에 내부에서 외부와의 통신을 검사하고 감지할 수 있어야 한다.

이 역시 TI와 연관을 가지고 있다. 흔히 말하는 외부의 블랙 IP 주소와 통신을 하고 있는 내부 호스트가 있다면 우선 탐지와 감지, 완화나 차단 방안을 수립하고 더 좋은 것은 자동화 방안까지 갖추면 좋을 것이다.

외부에서의 유입에 대비해 내부 서비스를 보호하는 것은 당연한 위협 방어 수단이며, 이제 내부의 자원, 사용자, 호스트가 외부와의 통신을 통한 데이터 유출, 외부에서의 C&C 등의 연결 고리를 할 수 없게 내부의 클라이언트가 외부로의 통신에 대한 감시와 위협 완화를 할 수 있어야만 경계 방어를 할 수 있다. 경계 방어는 유입뿐 아니라 유출에 대한 대비를 필수적으로 갖춰야 한다.

▲ 가시성 기반 공격 완화와 차단 관리
▲ 가시성 기반 공격 완화와 차단 관리

● 변화하는 기술 환경에 대비한 보안 위협 완화
봇넷, IoT 기기, 퍼블릭 클라우드에서의 서비스 운영 등 다양한 IT 환경에 따른 보안 위협도 변화하고 있으며, 이러한 변화에 대비한 보안 위협 완화와 방어 방안을 마련해야 한다.

기본적으로 모든 네트워크 트래픽에 대한 감시와 탐지 그리고 방어나 완화의 수단이 필요하다. 즉 모든 트래픽을 볼 수 있어야 한다. 

플로우를 보거나 샘플링을 하거나 단순한 유입 트래픽의 감시로는 부족하며, 전수 패킷에 대한 감시와 분석을 기반으로 감지와 차단 정책을 제공해야 한다. 또한 네트워크 운영에 부담이 되지 않는 스테이트풀 기반의 정책을 제공해야 한다. 덧붙여 공격자들 역시 HTTPS(SSL/TLS)를 이용한 공격을 무수히 많이 실행하고 있기 때문에 암호화된 트래픽에 대한 전수 패킷, 데이터의 탐지와 차단 정책을 제공해야 한다. 

퍼블릭 클라우드에 대한 방어, 완화 수단의 제공과 동시에 단일 네트워크에 감당할 수 없는 트래픽 공격을 감행하는 예를 들어 한 번에 1TB 이상의 트래픽 공격 등에 대한 대비를 할 수 있어야 한다. 클라우드 스크러빙 센터나 우회 공격 차단 등의 자동화 역시 중요한 보안 위협 차단 또는 완화 요소가 됐다.

▲ 애플리케이션 대상 공격과 암호화 공격 증가
▲ 애플리케이션 대상 공격과 암호화 공격 증가

● 가시성 기반 보안 위협 확인과 정책 수립
2020년, 2021년 공격의 빈도수를 보면 한국은 월 평균 7만~8만 회의 다중 복합 공격이 있었으며, 봇넷을 포함한 서비스 연결에 영향을 미치는 공격이 많았다. 앞으로도 다중 공격과 애플리케이션, HTTPS를 이용한 공격은 증가할 것이다. 빠른 기술의 변화로 인해 실제 사용자나 IoT, 기계가 사용하는 트래픽을 전수 검사하고, 탐지해 방어해야 한다.

운영하고 있는 서비스에 어느 정도의 공격이 어디에서 어떤 방식으로 위협을 주고 있는지 실시간으로 파악하고 대응할 수 있어야 한다. 또한 현재의 공격에 대한 실시간 데이터를 확인하고 이에 대한 정책 수립과 방어, 완화에 대한 방안을 즉각 대응할 수 있어야 한다. 

보면서 막고, 막으면서 검증할 수 있는 가시성 기반의 보안 위협 체계를 구축하는 것이 앞으로 보안 위협에 대비하는 매우 중요하고 좋은 방법이다. 실시간으로 패킷을 면밀히 검토할 수 있다면 현재의 분석과 동시에 사후 분석 시간과 노력을 단축할 수 있다.

● 애플리케이션 기반 보안 위협 방어 구성 
마지막으로 애플리케이션에 기반한 보안 위협 방어 태세를 구성해야 한다. 클라우드, 그리고 가상화나 컨테이너 기술의 발전은 점점 더 복잡한 애플리케이션의 구조와 서비스 운영을 동반한다. 애플리케이션의 이해나 애플리케이션을 위한 보안 위협 방어 기술을 갖추지 않으면 매우 위험한 상황에 직면하게 될 것이다.

변화하는 기술 발전 중 HTTP(S)를 이용한 서비스 구성과 구축, 운영은 매우 빠르게 진화하고 있으며, 더 많은 서비스가 더 많은 수의 분산 환경에서 더 복잡하게 운영되게 될 것이다. 애플리케이션에 대한 이해 없는 방어는 이제 불가능하다. 애플리케이션 또는 네트워크 관점에서 레이어7 방어 체계는 필수며, 효율적인 운영 방안을 보장하는 길이다.

▲ 다양한 애플리케이션 보호 정책
▲ 다양한 애플리케이션 보호 정책

DDoS 넘어선 보안 위협 완화
흔히 경계 방어라고 불리는 DDoS 공격 방어 체계가 이제는 TI 게이트웨이라는 서비스 보호로의 이전은 당연하다. 트래픽이 들어오는 관문이자 마지막으로 트래픽을 검사할 수 있는 방어선이기 때문이다.

암호화 트래픽 전체를 대상으로 분석해 보호하고, 다양한 애플리케이션 보호 정책을 수립해 방어를 최적화한다. 기술 변화에 대응할 수 있는 경계 방어 태세를 반드시 구축해야 서비스 보호의 안정성을 확보할 수 있다.

신기술에 대응하는지, 그리고 가시성 기반의 정책과 서비스 보호를 제공할 수 있는지, 무엇보다 부족한 인력이 운영할 수 있는 자동화의 기반을 갖춰 서비스 운영과 보호를 최적화할 수 있는지, 효율적인 운영 방안을 제시할 수 있어야 한다.

더 많은 보안 위협에 보다 빨리 대응할 수 있는 보안 위협 탐지와 완화의 자동화, 애플리케이션을 이해하고, 유입되는 보안 위협과 유출되는 데이터의 사전 감지와 차단 방안을 구성하는 것이 관문 방어, 경계 방어의 새로운 패러다임이 되고 있다.

저작권자 © 데이터넷 무단전재 및 재배포 금지
데이터넷
데이터넷 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사