[데이터넷] 랩서스와 같은 지능적이고 집요한 사이버 공격 대응을 위해 제로 트러스트 원칙의 보안 설계가 필요하지만, 제로 트러스트를 ‘인증’에만 초점을 맞춰 접근하는 것은 바람직하지 않다. 제로 트러스트는 인증, 접근통제를 거쳤다 해도 지속적으로 모니터링 해 정상 권한 내에서의 이상행위를 찾는 것까지 포함해야 한다.

나병준 IBM 실장은 “랩서스 상황에 대입해보면, 합법적인 계정을 통한 접근이라도 내부에서 수행하는 행위의 정상 여부를 확인하고, 접근가능한 시스템과 제한된 권한을 제대로 지키는지, 평소 접근하지 않는 데이터에 지나치게 많이 접근하는지, 접속 장소, 활동시간 등이 일상적으로 반복되는 패턴과 같은지 등을 분석하고 이상 여부를 파악했어야 했다”며 “또한 AI를 이용해 전문가가 생성한 복잡한 룰 없이도 이상징후를 파악할 수 있는 기술을 적극적으로 이용해야 한다”고 조언했다.

제로 트러스트 원칙에 기반한 지속적인 탐지와 모니터링을 위해서는 공격 가능한 모든 지점에서 위협을 탐지하고 대응(Detection and Response)하는 EDR, NDR, XDR 솔루션이 필요하다.

NDR은 최근까지 EDR, XDR에 비해 상대적으로 덜 주목받아온 경향이 있지만, 클라우드·하이브리드 업무환경 확산으로 재조명되고 있다. 어떤 환경이든 공격자는 중요한 데이터와 시스템을 장악하고 유출·파괴하기 위해 네트워크에 침입한다. 기업 내 네트워크일 수도 있고, 클라우드 네트워크일 수도 있지만, 중요한 것은 모든 네트워크 트래픽을 분석해 이상징후를 탐지해야 한다는 점이다. AI를 이용해 방대한 네트워크 패킷 데이터를 빠르게 분석해 실시간에 가깝게 해킹 정황을 찾아내 공격이 확산되기 전에 차단해야 한다.

가트너는 NDR의 2021년 1분기부터 3분기까지 성장률이 2020년 전체보다 25% 증가했으며, 2025년까지 연평균 18.5% 성장할 것이라고 예측했다. 또한 대기업에서 주로 도입한 NDR이 중견기업에서도 수요가 높아지고 있어 사용과 관리 편의성, 위협 탐지율이 높은 솔루션을 찾는 빈도가 높아지고 있다고 설명했다.

NDR로 내부 네트워크 제로 트러스트 구현

가트너는 이러한 조건에 맞는 NDR 공급업체를 나열했는데, 이 중 우리나라 쿼드마이너가 3년 연속 해당 보고서에 등재됐다. 쿼드마이너의 ‘네트워크 블랙박스’는 고속의 풀 패킷 검사를 통해 지능적인 위협을 실시간에 가깝게 찾아낼 수 있다. 또한 클라우드 환경을 위한 ‘클라우드 블랙박스’, 차세대 SIEM 솔루션 ‘쿼드엑스(QUADX)’ 등도 제공해 지능화되는 위협을 효과적으로 탐지할 수 있다.

김용호 쿼드마이너 CTO는 “제로 트러스트를 외부 접속자 인증에만 국한시켜서는 안된다. 내부 네트워크 내에서의 행위에 대해서도 지속적인 인증과 검증으로 내부 네트워크 무결성을 지켜야 한다. 예를 들어 계정을 훔친 사용자는 해당 계정의 권한이나 평소 수행하는 업무 형태를 정확하게 알지 못하기 때문에 평소와 다른 행위를 하게 된다. 이를 감지하기 위해서는 내부 네트워크 트래픽을 모두 분석해 권한 외 시스템·데이터 접근을 여러 차례 시도하거나 데이터 유출을 시도하는 등의 이상행위를 찾아내는 것이 필요하다”고 말했다.

NDR을 네트워크 포렌식 개념으로 접근하는 생각도 있는데, 포렌식은 NDR의 기능 중 하나이며, 이외에도 NDR은 위협 탐지, 위협 헌팅 등 여러 기능을 포함한다. 네트워크 플로우보다 패킷을 분석해 실제 업무에 어떤 영향을 미쳤는지 확인하고 리스크 수준을 매길 수 있어야 한다. 마이터 어택 매핑 가능한 위협 헌팅을 제공해 오탐·노이즈 없는 실효적인 탐지와 대응이 가능해야 한다.

쿼드마이너는 이러한 요건을 모두 만족시켜주는 NDR 솔루션으로, 직관적인 대시보드와 편리한 관리환경으로 SOC 업무를 효율화하면서 위협 대응 효과를 높일 수 있다.

김용호 CTO는 “공격자들의 행위는 정교하며, 여러 기술과 전술을 갖고 행동하기 때문에 이미 확인된 공격정보만을 분석해서는 대응하기 어렵다. 쿼드마이너는 능동적인 위협 대응을 위해 고속 풀패킷 분석으로 정확한 위협 탐지를 제공하며, 다른 보안 파트너와 협력해 통합 관점에서 위협에 대응할 수 있게 한다.

통합 탐지·대응 플랫폼으로 지속적인 위협 완화

위협 탐지와 대응 솔루션 분야에서는 XDR이 관심을 받고 있는데, 엔드포인트, 네트워크, 클라우드 전체에서 통합된 위협 탐지·대응과 가시성을 제공하기 때문에 보안조직의 업무를 줄이면서 위협 대응 효과를 높일 수 있다.

XDR 솔루션 중 파이어아이와 맥아피 엔터프라이즈 EDR 기능이 통합된 ‘트렐릭스’가 주목된다. 트렐릭스는 ‘살아있는 탐지와 대응’을 제공, 학습하고 적응하는 XDR 에코시스템을 통해 보안이벤트를 통합·연계하며 실제 진행되는 침해 행위를 추적해 대응할 수 있다. 개방형 API를 사용해 써드파티와 유연하고 확장 가능한 통합 능력을 제공한다.

IBM은 이상행위 탐지 솔루션 ‘트러스티어(Trusteer)’, 머신러닝·UBA가 접목된 ‘큐레이더XDR(QRadar XDR)’, 전문 보안 운영 서비스인 XFTM·MDR 서비스를 통해 제로 트러스트 원칙의 인증과 모니터링을 수행한다. 또한 제로 트러스트 적용 방법론을 발표하고 다양한 워크숍과 컨설팅 서비스를 제공한다.

나병준 한국IBM 보안사업부 실장은 “IBM은 한 보안 사업부 하에 전문가 서비스와 전문 보안 솔루션을 모두 공급하하기 때문에 특정 서비스나 솔루션에 치중되지 않고 균형잡힌 솔루션·서비스를 제공한다. 또한 고객이 전문성을 충분히 갖지 못해도 쉽게 운영할 수 있는 솔루션을 제공하며 다양한 교육 기회도 제공한다”며 “제로 트러스트 전문 서비스를 다각도로 지원해 고객이 전문가와 함께 스스로 필요한 방법을 찾을 수 있게 돕고 있다”고 말했다.

공격자는 단편적으로 생각하지 않는다

현재 제로 트러스트가 모든 보안 문제를 해결해 줄 유일한 원칙으로 인식되고 있지만, 제로 트러스트가 만고불변의 진리는 아니다. 제로 트러스트는 지속적인 검증과 모니터링을 강조하는데, 간단하게 생각하면 현재 보안 솔루션을 모두 나열하면 제로 트러스트를 완성할 수 있다. 복잡하게 생각하면 현재 보안 솔루션을 거의 대부분 교체해야 해 현실적인 전략으로 채택될 수 없다.

가트너가 새롭게 강조하는 사이버 보안 메시 아키텍처(CSMA)는 멀티·하이브리드 클라우드 전체에서 일관된 보안 태세를 보장하고 민첩성을 향상시킬 수 있게 한다. ID와 컨텍스트를 모든 자산과 액세스의 기본 접근으로 삼고, 통합된 보안도구와 탐지, 예측, 분석 기술을 긴밀하게 연계시킨다.

CSMA는 복잡한 현재 보안 상황을 개선할 수 있는 보안 아키텍처로 주목받는다. 마이크로소프트에 따르면 직원수 1000명 기업의 평균 보안 솔루션이 70종, 보안벤더는 35개에 이른다. 다수의 보안 프로그램이 생성하는 경보 대응에 낭비하는 시간이 1년 137만달러에 이르며, 섀도우 IT 리소스에 대한 공격이 전체 공격의 1/3에 이른다.

가트너는 “공격자는 사일로하게 생각하지 않는데, 조직은 사일로화 된 보안 제어를 구현한다”고 CSMA의 필요성을 역설한다. CSMA는 ID 패브릭 기반으로 촘촘하게 짜여진 보안 구성, 일관되고 체계화된 보안 정책 적용으로 복잡한 보안을 쉽지만 안전하게 관리할 수 있게 한다.

랩서스 공격의 예로 들어보면, 탈취한 계정, 취약한 시스템을 이용해 공격자가 들어온다 해도 ID 패브릭을 기반으로 설계된 보안 아키텍처에서 공격자의 정상권한 내에서의 비정상적인 행위를 연계 분석하고 위험 수준을 평가해 적절하게 대응할 수 있었다면 큰 피해를 막을 수 있었을 것이다. 이는 온프레미스와 클라우드에 공통으로 적용돼 분산환경, 클라우드 환경에서도 동일하게 보안제어 할 수 있었을 것이다.

포티넷은 자사의 보안 패브릭이 진정한 CSMA라고 주장하면서 보안 트렌드를 주도하는 기업이라는 점을 강조하고 있다. 포티넷 보안 패브릭은 450여곳의 기술 파트너가 지원하며, 통합 에코시스템 내에서 전반적인 인텔리전스 공유, 대응 자동화, 운영 간소화를 지원한다.

모든 네트워크 엣지에서 심층적인 가시성을 확보할 수 있으며, 중앙에서 일관된 정책과 구성을 적용해 솔루션을 관리하고 배포한다. 자체 시큐리티 패브릭에서 수집한 인텔리전스와 전 세계 포티넷 시큐리티 패브릭 고객으로부터 수집해 익명 처리한 위협 데이터, 타사 통합을 활용한 알려진 공격, 완전히 새로운 공격으로부터 실시간 보호할 수 있다.

공격당한 후 사후 조치 매우 중요

모든 보안 수단을 다 동원한다 해도 공격을 완벽하게 막을 수 없다. 해킹을 당한 글로벌 기업들이 보안 투자를 소홀히 했거나 인증, 탐지·모니터링이 부족해 공격을 당한 것이 아니다. 모든 IT는 언제든 공격당할 수 있으며, 이미 침해가 발생하고 있다는 것을 전제로 보안 정책을 수립하는 것이 필요하다.

또한 침해사고를 당했을 때 기업·기관은 반드시 이 사실을 영향 받을 가능성이 있는 고객과 파트너에게 투명하게 알려야 한다. 때로 관계기관 신고도 필요하다. 침해사실을 인지한 즉시 침해사고 대응 프로세스를 가동해 침해 확산과 추가공격을 막고, 어떤 경로로 공격이 일어났는지 조사해야 한다. 이 과정을 투명하게 진행하면 침해당했다는 사실로 인해 시장과 고객으로부터 신뢰를 잃는 것을 최소화할 수 있다.

침해사고 대응(IR)은 자체 조직을 통해 진행할 수도 있지만, 제3의 객관적인 기업으로부터 서비스를 받을 수 있다.

SK쉴더스의 탑서트(Top-CERT)가 국내 대표적인 IR 조직인데, 2012년부터 450여건의 대규모 침해사고 분석 업무를 수행했다. 탑서트는 사고 원인을 규명하고 해킹 경로를 추적해 대책을 제시하며, 필요에 따라 국가기관과 공조수사를 진행한다. SK쉴더스는 이외에도 화이트해커 그룹 ‘이큐스트(EQST)’, 보안관제 센터 ‘시큐디움 센터’(Secudium Center)’를 운영, 고객의 안전한 비즈니스 운영과 새로운 위협 정보·취약점 대응을 지원한다.