[데이터넷] 최근 공격의 80%는 탈취한 자격증명을 사용하는 ID 기반공격이다. 대표적으로 피싱을 통한 계정정보 유출, 개인정보를 보유한 기업 해킹으로 계정정보 탈취, AD 해킹, 외부 노출된 시스템·애플리케이션과 클라우드에 저장된 관리되지 않은 계정 등이 ID 기반 공격에 사용된다. 이 같은 다양한 방식의 위협으로부터 ID를 보호하는데 포인트 솔루션은 한계가 분명하며, 통합 보안 플랫폼 기반 방어 전략을 수립해야 한다.<편집자>

사이버 공격이 증가하면서 기업·기관은 악의적인 사용자에게 선제 대응하기 위해 사이버 방어를 지속적으로 개선하고 있다. 특히 CISO는 최근 공격의 80%가 훔친 자격 증명을 활용하는 ID 기반 공격이라는 점에 주목, ID 위협 방지(Threat Protection) 영역에 주목하기 시작했다.

ID 위협 탐지 및 대응(ITDR)은 가트너의 ‘2022년 사이버 보안 트렌드’에서도 주목한 기술이다. 가트너는 이 보고서에서 “ID 공격 기술을 모니터링하고 ID 및 액세스 제어를 보호하며 포함 발생 시기를 감지하고 신속한 문제 해결을 지원하는 도구로써 ID 인프라 보안 우선순위를 지정해야 한다”고 권고했다.

CISO는 ID 위협을 해결할 수 있는 도구가 다른 보안 스택과 통합되지 않고 독립적으로 실행돼 경고피로를 겪게 되는 것을 우려했다. 보안운영센터(SOC)에 영향을 주지 않고 ID 위협을 해결하는 효과적이고 적합한 방법을 찾았다.

기존의 ID·액세스 관리(IAM) 공급업체의 엔터프라이즈 번들에 ID 보안 기능 또는 모듈이 있지만, 이는 최근 보안 환경에 맞지 않다. IAM은 보안에 집중하 지 않기 때문에 ID 위협 탐지와 대응에 한계가 있다. 단일 IAM 공급업체에 IAM 과 보안을 모두 의지하면 종속성이 높아지며, 다른 공급업체 솔루션을 사용할 때 벤더들의 경쟁적인 이해관계 때문에 원활한 연동이 어렵다. 본질적으로 ID 공급업체의 ID 보안 솔루션에 안주하면 보안 성과 저하와 침해 위험 증가로 이어진다.

포인트 솔루션의 한계

현재 시장에 공급되고 있는 계정관리, AD 보호 솔루션은 매우 많으며, 이들 대부분이 ID 기반 위협에 대응할 수 있다고 주장한다. 그러나 이러한 포인트 솔루션은 다양한 ID 위협 중 일부만을 해결할 뿐으로, 한계를 정리하면 다음과 같다.

• 배포·통합 부담: 독립 실행형 솔루션을 별도로 운영해 가치를 실현하려면 솔루션을 배포한 후 SOC의 다른 도구와 통합해야 한다. 맞춤형 통합을 적용해도 SOC 담당자가 엔드포인트, ID, 워크로드 간 위협을 상호 연결하기 위해 여러 개별 콘솔을 처리해야 한다.
• 에이전트의 무질서한 확산·유지보수: 모든 독립 실행형 솔루션에는 자체 에이전트가 있으므로, 에이전트가 무질서하게 확산돼 유지보수 부담이 증가한다. 다양한 공급업체의 여러 에이전트가 성능을 저하시키고 최악의 경우 서로 간섭할 수 있다. 또한 조직 전반에서 모든 에이전트를 최신 상태로 유지할 책임이 사용자에게 있다.
• 상관관계 부족: 이 접근 방식의 가장 큰 문제는 엔드포인트와 ID 간 위협 상관관계가 부족하다는 점이다. SOC 담당 자가 공격을 감지하려면 여러 콘솔을 검토하고 엔드포인트와 ID 간 위협의 상관관계를 수동으로 파악해야 한다.
• 자동화된 대응 부족: 빠르고 정확하게 감지하는 것도 중요 하지만, 실질적으로는 악의적인 사용자를 차단하고 다단 계 인증(MFA) 문제를 해결하는 등 자동화된 정책 기반의 대응이 더욱 중요한다. 여러 제품 간에 자동화된 정책 기 반 대응을 구축하는 것은 어려울 수 있다.
• 느린 대응: 자동화된 정책에 따라 위협과 대응 부족 문제를 수동으로 파악하는 방식은 부담이 되며 실제 공격을 처리할 때 대응 속도를 늦춘다. 또한 다양한 시스템의 여러 공고를 처리하는 데 따른 피로로 인해 SOC 담당자가 실제 위협을 놓칠 수 있다.

이러한 문제는 포인트 솔루션뿐 아니라 엔드포인트 보안 공급업체에서 ID 보안 기능을 단일 브랜드 플랫폼의 분리된 일 부로 제공하는 경우에도 적용된다.

통합 보안 플랫폼이 최상의 솔루션

문제를 해결하는데 적합한 방법은 고객 엔드포인트, 워크로드, ID, 데이터 전반에서 원격 측정을 원활하게 통합해 SOC 담당자에게 부담을 주지 않고 정확한 감지와 실시간 감지를 제공하는 통합 플랫폼 방식이다.

크라우드스트라이크의 ‘팔콘 아이덴티티 위협 보호(Falcon Identity Threat Protection)’ 솔루션이 통합 플랫폼으로 ID 위협을 효과적으로 방어한다.

• 단일 통합 센서: 안정적이고 신뢰할만한 팔콘 센서는 수백 만 대의 엔드포인트 장치를 보호하며 AD 도메인 컨트롤러 도 마찬가지로 보호할 수 있다. 통합 팔콘 플랫폼으로 관련 ID 데이터를 가져오는 인텔리전스를 제공해 배포 아키텍처를 간소화한다. 이 단일 센서 접근 방식은 배포 부담과 무질서한 에이전트 확산을 제거하는 동시에 손쉬운 유 지보수를 보장한다.
• 단일 통합 플랫폼: 팔콘 플랫폼은 세계 최대 통합 위협 중심 데이터 패브릭 중 하나인 ‘크라우드스트라이크 시큐리티 클라우드(CrowdStrike Security Cloud)’를 기반으로 하며, 하루에 수조 개의 보안 이벤트를 공격 지표(IOA), 고객 엔드포인트, 워크로드, ID 및 데이터 전반의 업계 최고 위협 인텔리전스 및 엔터프라이즈 원격 측정과 상호 연 결한다. 이러한 전체 플랫폼 방식은 개별 포인트 솔루션을 상호 결합해 대응하기 매우 어려운 위협에 신속하고 응집력 있게 대응하도록 보장한다.
• 표준 감지 인터페이스: 단일 플랫폼 방식에서 SOC 담당자는 여러 콘솔을 검토하지 않고도 팔콘 콘솔에서 ID 위협을 통합해 감지할 수 있다. 이 친숙한 인터페이스는 교육 부담을 줄일 뿐만 아니라 일분일초가 빠듯한 실제 공격 상황 에서도 유용하다.
• 엔드포인트와 ID의 긴밀한 상관관계: 통합 플랫폼 방식의 다른 주요 이점은 인텔리전스를 적용해 엔드포인트 및 ID 간의 대응 및 위협 데이터를 자동으로 상호 연결할 수 있다는 점이다. 예를 들어 팔콘 센서는 훼손된 엔드포인트의 인증 작업을 차단하거나 위험한 것으로 확인된 사용자 가 사용하는 엔드포인트를 차단할 수 있다.
• 실시간 자동 응답: 이 플랫폼 접근 방식과 긴밀한 상관관 계를 활용하면 자동 응답을 신속하게 조율해 유연한 정책 엔진을 통해 실시간으로 위협을 차단할 수 있다. 예를 들면 임시 계약업체의 랩톱 등 관리되지 않는 엔드포인트에서 요청을 수신하면 사용자에게 MFA 챌린지를 자동으로 적용하는 정책 운영이 가능하다. 이러한 유형의 자동화를 구현하려면 엔드포인트·ID 보호 솔루션이 완벽하게 통합돼야 한다.
• 완전 관리형 옵션: 통합 접근 방식이 SOC의 배포와 운영을 획기적으로 간소화하지만, 악의적인 공격자를 담당하는 사내 리소스가 부족할 경우 완전 관리형 서비스를 더 선호할 수 있다.

크라우드스트라이크는 전문가 관리, 모니터 링 및 문제 해결을 통해 업계 최고의 침해 방지 보증에 따 라 마찰 없는 실시간 ID 위협 방지 기능을 지원하는 완전 관리형 ID 위협 방지 솔루션을 제공하는 보안 중심 공급업체다.

데이터넷 다른기사 보기