지속적 모니터링으로 계정탈취 공격자 접근 차단해야
가성비를 중시하는 공격자들은 비싼 맞춤형 공격도구보다 쉽게 구할 수 있는 권한계정을 이용해 침투한다. 그래서 보안의 시작을 ‘계정’으로 정의한다. 계정탈취 공격을 차단하기 위해 계정관리 솔루션이 주목되며, 클라우드·하이브리드 환경을 지원할 수 있는 서비스형 계정관리(IDaaS)가 새로운 주류를 형성하고 있다.
계정관리는 계정 생성부터 변경, 삭제까지 전 과정에 걸친 관리 기능을 제공하며, 수시로 바뀌는 권한과 역할 부여도 자동으로 적용한다. 퀘스트소프트웨어 보안사업부문 원아이덴티티가 제공하는 ‘원로그인’이 그 대표적인 제품으로, 애플리케이션, 디바이스, 사용자를 안전하게 중앙집중화 해 관리한다. 원로그인은 사용자 라이프사이클 관리, 셀프 서비스 비밀번호 재설정, MFA, SSO 등의 기능을 제공한다.
원아이덴티티는 특권접근관리(PAM), ID거버넌스와 관리(IGA), 액세스 관리 분야 리더이며, AD 보안 분야에서도 업계 최고 리더십을 갖고 있다. 원아이덴티티는 전체 비즈니스에서 계정·접근에 대한 가시성과 통합 제어, 중요한 자산에 대한 액세스 권한을 지원한다.
퀘스트의 AD 보안 제품군은 AD 권한관리와 AD에서 발생하는 이상행위 탐지, 백업·복구 기능을 제공한다. AD는 기업 기업 임직원의 계정과 개인정보를 다수 갖고 있으며, 모든 임직원과 연결되기 때문에 공격자가 AD 권한을 탈취하고 지속적인 공격을 펼친다. 해킹그룹 노벨리움은 AD를 장악하고 MFA 수단을 무단으로 변경해 MFA까지 우회하는 공격을 벌인 바 있다. 퀘스트 AD 보안 솔루션은 AD 타깃 공격에 효과적으로 대응할 수 있다.
MFA도 우회 가능 … 강력한 인증 필요
랩서스 공격에서 주목해서 봐야 할 부분이 다중인증(MFA)을 우회한 것이다. 공격자들은 권한계정 사용자처럼 가장해 헬프 데스크에 인증 수단 변경을 요청했다. MFA 기술이 안전하지 않다는 뜻은 아니지만, 인증 프로세스에서 본인확인 과정의 취약한 부분이 있다는 것을 의미하기 때문에 인증 프로세스를 반드시 점검해야 한다는 뜻이다.
이와 유사한 사례는 국내에서도 다수 발생했다. 인터넷에서 SIM 카드를 구입하고 이를 미리 입수한 피해자 개인정보를 이용해 그 사람의 새로운 SIM으로 등록한 후 인증정보를 조작한 사례가 있다. 본사 직원으로 가장해 특정인에게 급히 연락해야 한다며 전화번호와 이메일 주소를 물어보는 식으로 계정정보를 탈취하는 사례도 수 차례 발생했다. 미리 입수한 개인정보와 전화번호, 이메일 주소를 결합해 추가인증 수단을 이메일로 변경하는 방법으로 타깃 조직에 숨어들 수 있었다.
‘MFA 프롬프트 폭격’ 공격은 랩서스 공격자들이 MFA를 무력화 한 방법이다. 공격자는 원격지에서 MFA 인증을 요청한 후 타깃 사용자에게 전화를 건다. 사용자가 통화 버튼을 누르면 인증이 되는 방식을 악용했다. 랩서스는 마이크로소프트 인증에 이 방식을 사용해 노트북에 액세스 했으며, VPN에도 로그인 가능했고, 피해자는 인지하지 못했으며, MFA를 재등록할 수 있었다고 자랑하기도 했다.
마이크로소프트는 이 같은 2FA·MFA 우회 공격을 피하기 위해 전화기반 인증 대신 윈도우 헬로, FIDO 토큰 등 패스워드 없는 인증을 선택할 것을 권고했다. 업무용 자격증명은 브라우저나 개인 저장소에 저장해서는 안되며, 온라인 암호 보관 솔루션에 저장하지 말고, 조건부 액세스와 권한 사용자의 접근을 최소화하고 통제하는 방법이 필요하다고 강조했다.
마이크로소프트는 AD에 빌트인 된 보안을 제공, ID와 액세스 관리, SSO, MFA, 패스워드 없는 인증을 지원한다. 최소권한 원칙에 따라 JIT(Just-in-time)·JEA(Just-enough access)를 설정, ID와 애플리케이션의 접근통합 관리를 지원한다.
애저 AD는 정상 권한 사용자의 위험한 행위도 지속적으로 모니터링한다. 예를 들어 권한사용자 계정을 새롭게 생성하려고 시도할 때 애저 AD 아이덴티티 프로텍션에서 설정한 위험점수를 기반으로 정상적인 계정 생성 시도인지 아닌지 판단하고 경고한다. 이를 통해 탈취한 계정으로 권한을 상승시키면서 측면이동하는 공격을 막는다.
EDR 솔루션 ‘마이크로소프트 365 디펜더’, XDR 솔루션 ‘마이크로소프트 디펜더’, SIEM·SOAR 솔루션 ‘센티넬’을 연계해 정상적이고 강력한 인증을 거쳐 접근한 사용자라도 지속적인 모니터링과 행위분석으로 이상한 정황을 조기에 발견하고 자동으로 대응할 수 있게 한다. 클라우드 스케일의 보안 데이터 수집과 기존 툴과의 통합으로 보안운영을 간소하게 하면서도 정확한 탐지와 대응으로 위협을 선제적으로 차단할 수 있게 한다.
제로 트러스트, 인증·지속적 모니터링 필수
2FA, MFA 우회 기법은 인증 기술의 문제가 아니라 설계의 오류에서 기인한 것이다. 특히 회사 밖에서 접속하는 재택·원격근무의 경우 더 강력한 보안통제가 이뤄져야 하는데 사용 편의성이나 해당 지역의 네트워크·기기 환경의 한계로 약한 보안 통제를 적용해야 하는 상황도 발생한다. 따라서 인증 방법과 수단을 강화하는 것에 더해 지속적인 모니터링과 이상행위 탐지도 함께 이뤄져야 한다.
조남용 RSA코리아 이사는 “이제 탐지의 패러다임이 바뀌어야 한다. 인증을 거치면 정상 사용자라고 전제하는 것이 아니라 사용자의 행위를 추적하면서 이상행위를 탐지해야 한다. 회사 내부 시스템뿐 아니라 클라우드 및 재택·원격근무 환경에서도 동일하게 이뤄져야 한다”고 말했다.
RSA는 리스크 기반 신원 인증 솔루션 ‘시큐어ID’와 XDR 솔루션 ‘넷위트니스’로 제로 트러스트 원칙의 방어 전략을 이어갈 수 있다고 주장한다. 시큐어ID는 OTP와 MFA로 사용할 수 있으며, 적응형 보안 정책이 적용된 스마트한 인증보안을 지원한다. 클라우드, 하이브리드 업무 환경에 광범위하게 적용할 수 있다.
넷위트니스는 SIEM, NDR, EDR, SOAR 통합 플랫폼으로, 로그, 네트워크, 엔드포인트, 클라우드 전반에서 위협정보를 수집·분석하며, 자동화된 탐지와 대응을 제공한다. 실시간으로 네트워크에서 생성되는 150개 이상 메타데이터를 수집해 분석하며, AI가 적용된 정밀한 사용자 엔티티 행위분석(UEBA) 기술을 이용해 효과적으로 이상행위를 찾아낼 수 있다. 또한 RSA는 다크웹에서 판매되는 개인정보·기밀정보를 탐지해 해당 기업에게 알려 미리 대책을 마련할 수 있도록 도와주는 서비스도 제공한다.
조남용 이사는 “보안위협 탐지와 대응에 대한 사고의 전환이 필요하다. 가장 중요한 것은 사람이다. 정상 범주에서 발생하는 이상행위를 찾아야 한다. 보안과 현업을 융합한 새로운 보안 거버넌스 하에 침해가 피해로 이어지기 전에 효과적으로 대응할 수 있는 방법을 찾아야 한다”며 “RSA의 제로 트러스트 원칙의 적응형 인증과 통합 위협 탐지 및 대응이 그 과정을 도와줄 것”이라고 말했다.
아이덴티티와 관련된 10가지 보안 정의
1. 제로 트러스트: 팬데믹 이전에는 제로 트러스트가 과장된 것으로 여겨졌지만, 하이브리드 업무 환경으로 전환되면서 상황이 바뀌었다. 주로 다단계 인증, 거버넌스 프로세스, 기타 ID 중심 조치를 기반으로 하는 제로 트러스트가 보안을 위한 강력한 수단으로 수용되고 있다.
2. 패스워드 없는 유토피아: 패스워드는 사용자를 불편하게 하고 공격을 쉽게 만들어 보안 액세스에 장애가 된다는 이유로 패스워드 없는 인증이 인기를 끌고 있다. 그런데 자격증명을 남용할 수 있는 방법을 찾는 사이버 범죄자들이 패스워드 없는 인증을 찾는다는 것에 주의해야 한다.
3. MFA: 다중인증은 어떻게 쓰느냐가 아니라, 어떻게 ‘잘’ 쓰느냐에 초점을 맞춰야 한다. FIDO·생체인식 등 강력한 인증요소를 적용해 편의성과 보안성을 높여야 한다.
4. 쉽게, 유연하게, 민첩하게: 사용자는 복잡하고 시간이 많이 소요되는 보안을 참지 않는다. 사용자는 인증 속도를 높이고 단순화하는 서비스를, 조직은 ID 거버넌스와 규정준수 프로세스를 간소화하는 기술을 찾는다.
5. 모바일과 클라우드: 사이버 범죄 타깃이 모바일과 클라우드로 확장되면서 최신 인증, 클라우드 인프라 자격관리 등의 기술에 대한 투자가 시급해졌다.
6. 비정형 데이터 보호: 지식재산(IP)은 비정형 데이터로 저장되기 때문에 비정형 데이터까지 액세스 거버넌스를 확장해 IP 유출을 막아야 한다.
7. 개인정보 보호 규제: 개인정보 보호 규제가 강화되면서 규제준수가 비즈니스 리스크가 되고 있다. 소비자 데이터와 개인정보 보호 문제를 해결하고 규제를 준수하는 방안이 마련돼야 한다.
8. 블록체인: 블록체인을 이용한 안전한 디지털 신원이 가능한지 여부에 관심이 쏠린다. 특히 개인정보 보호와 데이터 보안 문제를 어떻게 해결하는지 주의 깊게 봐야 한다.
9. 매니지드 서비스: ID 거버넌스 및 관리(IGA)는 모든 규모의 조직이 액세스 가시성을 확보하고 규제준수 의무를 이행할 수 있도록 한다. 그러나 중소규모 조직이 IGA를 위한 운영요구사항을 합리적으로 감당하는데 어려움을 겪을 수 있다. 따라서 관리형 서비스로 IGA를 고민해야 한다.
10. 비즈니스를 모든 사람·모든 사물에게: 하나의 플랫폼으로 기업-기업, 기업-소비자, 기업-직원이라는 인증 사용 사례를 활용할 수 있는 융합 기술이 등장하고 있다. 이를 통해 중단 없는 제로 트러스트를 완성할 수 있다.
(자료: RSA)
FIDO 인증받은 MFA
국내 인증 보안 전문기업 라온시큐어는 FIDO 기반 ‘원패스(OnePass)’로 MFA 우회공격을 원천 차단한다고 설명했다. 원패스는 FIDO1.0·2.0을 준수하는 인증 솔루션으로, ID/PW 방식의 불편하고 위험한 인증을 벗어나 강력하고 안전하며 편리한 인증이 가능하다고 강조한다.
원패스는 SAML, JWT, RestAPI 등 표준 기술을 지원해 기존 시스템의 환경 변화를 최소화할 수 있으며, 모바일 OTP, PC OTP, 보안 PIN 등 다양한 2차 인증 수단을 모듈식으로 제공하고 SDK 및 통합 인증 앱을 제공해 도입 기업들은 편리하게 높은 보안 수준의 MFA 체계를 구현할 수 있다. 또한 등록 및 인증 과정을 간소화해 사용자 측면에서의 편의성도 강화했다.
원패스는 국내 공공기관과 기업, 대학교 등 다양한 산업군에 공급됐으며, 특히 높은 수준의 보안 정책 준수가 요구되는 에너지 공기업에 임직원 인증 시스템으로 공급됐다. 이 기업은 사내외 업무 시스템을 포함해 재택·원격 근무를 위한 VPN과 모바일 메신저 등에 ‘원패스(OnePass)’를 적용해 다양한 업무 시스템과 매끄럽게 연동 가능한 MFA 체계를 구현할 수 있었다.
라온시큐어는 원패스 외에도 ‘터치엔 엠오티피(TouchEn mOTP)’, 인증 통합 관리 플랫폼 ‘원억세스 이엑스(OneAccessEX)’, FIDO와 블록체인 기술을 결합하여 안전하고 편리한 차세대 신원인증 체계 구현을 지원하는 ‘옴니원(OmniOne)’ 등을 공급하고 있다.
김대종 라온시큐어 엔터프라이즈본부 솔루션사업실장은 “랩서스 해킹사고는 기업 보안정책의 허점과 개인의 부주의를 이용했다. 특히 MFA를 우회하는 여러 방법을 동원한 것을 보면 강력한 인증·보안 정책을 적용하는 것과 함께 임직원 보안인식 강화와 보안수준 점검을 주기적으로 수행하는 것이 필요하다는 것을 알 수 있다”며 “라온시큐어는 다양한 인증보안 솔루션과 자회사를 통한 모의해킹, 취약점 점검 등의 서비스를 제공해 고객의 보안위협 대응 능력을 향상시켜준다”고 말했다.
