[제로 트러스트 이행 방안④] 지속 모니터링으로 제로 트러스트 유지
상태바
[제로 트러스트 이행 방안④] 지속 모니터링으로 제로 트러스트 유지
  • 김선애 기자
  • 승인 2023.01.19 10:46
  • 댓글 0
이 기사를 공유합니다

CTI·XDR·SOAR, 제로 트러스트 상태 지속하는 필수 기술
공급망 위협 높아지며 공급망 전반의 제로 트러스트 시급

[데이터넷] 제로 트러스트가 새로운 보안 모델로 주목받으면서, 특정한 기술이나 솔루션이 제로 트러스트라고 호도하는 경우가 있다. 제로 트러스트는 보안전략을 수립할 때 참고할 원칙이라고 보는게 타당하며, 여러 보안 기술을 이 원칙에 따라 배치하고 통합해 보안 전반을 개선하는 것이 중요하다. 제로 트러스트 이행을 위해 필요한 기술을 살펴본다.<편집자>

인텔리전스로 선제차단 효과 높여

CTI가 최근 다크웹 모니터링을 통해 시장의 주목을 받고 있다. 다크웹에서 거래되는 개인정보와 기업 기밀정보를 모니터링해 영향받는 기업에 알려주는 서비스로, 공격이 일어나기 전 대응할 수 있도록 도와준다. 국내 기업들이 이 분야에 특화돼 있는데, NSHC, S2W가 대표적이며 에이아이스페라는 웹·URL 모니터링으로 디지털 리스크 보호 서비스 시장을 개척하고 있다.

NSHC의 위협 인텔리전스 서비스는 측정 가능한 모든 형태의 데이터를 지표화해 사이버 공격그룹을 특정하고, 그들의 활동 상황을 분석·추적할 수 있는 풍부한 데이터를 제공한다. 이벤트에 대한 마이터 어택 매트릭스 정보 제공과 유효성 높은 유출정보 제공, 사건 추적을 위한 연관분석 기능 제공 등의 특징을 갖는다. 국내 이커머스, 게임사, 유럽 정부·금융감독기관 등에 공급됐다.

NSHC는 XDR 플랫폼 개발도 진행하고 있다. 2023년 상반기 공개 예정인 오픈XDR ‘더보임(THE.BOIM)’은 매니지드 서비스로 제공되며, 클라우드의 이상행위와 감사, 위협정보에도 대응할 수 있게 한다.

글로벌 시장에서는 레코디드퓨처, 그룹아이비가 국내에서 적극적인 활동을 벌이고 있다. 이 기업들은 다크웹 모니터링은 물론이고, 사이버 위협 정보 공유, 브랜드 보호, 디지털 리스크 관리, ASM, 취약점 정보, 서드파티 인텔리전스, 지역적인 위협 정보, 금융 사기 정보, ID 유출 모니터링 등 다양한 인텔리전스를 제공하고 있다.

위협헌팅도 선제방어를 위해 필수적인 요건이다. 시스템 내에서 진행되고 있는 위협 정보를 모니터링 하는 위협헌팅은 고도의 전문성을 필요로 하고 있지만, 최근 쉽게 사용할 수 있는 위협헌팅 툴이 제공되고 있다.

쿼드마이너는 NDR 솔루션에서 제공하는 위협헌팅을 매니지드 서비스로 제공한다. 숙련된 위협헌터로 구성된 전문조직이 NDR 솔루션 네트워크 블랙박스를 기반으로 위협헌팅과 위협 분석을 지원한다. 더불 어 자산 위험도 분석과 설명가능한 보안 관점의 증적 정보를 제공해 보안조직이 한층 수월하게 위협 대응을 할 수 있도록 돕는다.

지속적 모니터링도 제로 트러스트 전략

제로 트러스트 전략을 ‘인증’과 ‘안전한 접속’에만 초점을 맞춰 진행하면 실패할 수밖에 없다. 제로 트러스트는 ‘접속 전 인증, 접속 후 지속적인 모니터링’이라는 원칙을 지키도록 하기 때문이다. 모니터링 기술은 SIEM이 대표적이지만, SIEM은 가시성이 제한되고, SIEM 정책을 우회하는 공격을 탐지하기 어려우며, 보안 정책을 강력하게 설정했을 경우 너무 많은 이벤트를 발생시켜 경고 피로를 겪게 한다.

그래서 여러 보안 기술을 통합·자동화해 보안탐지를 효과적으로하는 XDR과 SOAR가 등장했다. VM웨어 조사에서는 원격·하이브리드 근무환경을 위해서는 자동화 기술이 필요하며, 번아웃 감소와 협업의 용이성을 높여주는 효과가 있다고 설명했다. 시스코 조사에서는 유연성 높은 확장형 탐지와 대응 능력을 갖춘 조직은 그렇지 않은 조직에 비해 보안 탄력성이 45% 높다고 분석했다.

XDR과 SOAR가 등장한 배경 중 하나는 너무 많은 보안 솔루션으로 인해 보안조직이 피로를 느끼고 있기 때문이다. 가트너를 비롯한 여러 전문기관들은 보안 솔루션 공급업체를 최소화 할 것을 권고했다.

많은 보안 솔루션이 서드파티와 원활하게 통합된다고 주장하지만, 네이티브 통합은 요원한 일이다. 그래서 보안기업들이 미리 통합된 패키지를 제공하고 있다. 그러나 서로 다른 솔루션 간 업데이트와 기능지원, 고객사 요청에 따른 커스터마이징에 제한이 있다.

체크포인트는 2023년 보안위협 전망을 통해 “많은 CISO들은 멀티·하이브리드 환경에서 여러 공급업체와 함께 포괄적인 보안 프로그램을 구축하는 데 어려움을 겪고 있다. 2023년에는 복잡성을 줄이기 위해 포괄적이고 단일한 보안 솔루션을 선택할 것”이라고 설명 했다.

단일 벤더 솔루션만으로 구성한다고 해서 공급업체 통합의 이점을 가져갈 수 있는 것도 아니다. 많은 보안 기업들은 전문기업을 인수하면서 포괄적인 보안 기술을 제공하는데, 이 모든 솔루션이 단일 관리 환경으로 통합되지 않아 단일 공급업체를 사용하는 의미가 없다.

다크트레이스의 경우 단일 플랫폼에서 탐지, 대응, 선제방어가 가능한 ‘사이버 AI 루프(Cyber AI Loop)’를 완성하고 보안 단순화를 이룰 수 있다고 소개한다. 다크트레이스는 AI를 이용해 네트워크 상에서 이상행위를 탐지하는 엔터프라이즈 면역 시스템(EIS)을 공급하는 기업으로, 엔드포인트와 이메일 등 전체 영역에서 위협 탐지와 대응 기능을 강화하고 있으며, 자동 대응까지 가능한 ‘안티제나’도 공급한다.

ASM 솔루션 ‘다크트레이스 프리벤트(Darktrace Prevent)’를 사이버 AI루프에 통합한 다크트레이스는 중요도가 높은 표적공격과 공격 경로를 식별하고 우선 순위를 지정해 보안조직의 효과적인 대응을 지원할 수 있다고 강조한다.

뜨겁게 달아오른 XDR

XDR은 보안 시장에서 가장 뜨겁게 달아오른 분야다. 팔로알토 네트웍스, 체크포인트, 트렌드마이크로 등 여러 보안 솔루션을 가진 기업들은 일제히 XDR 솔루션을 공급하면서 경쟁우위를 강조하고 있으며, VM웨어, 센티넬원, 크라우드스트라이크 등 엔드포인트 보안 기업들도 여러 보안 기능을 통합하면서 XDR 역량을 제고하고 있다.

오픈XDR 플랫폼 기업 스텔라사이버는 여러 보안 솔루션과 통합을 시도하는 한편, MDR 서비스 기업과 협력해 XDR 기반 보안 서비스를 제공하고 있다. 스텔라사이버 엔진을 이용한 국내 XDR도 등장했다. 에이섹이 스텔라사이버와 국내 위협 인텔리전스를 결합한 ‘쓰렛트랙커(TreatTracker)’를 공급한다.

암호화·키관리로 제로 트러스트 데이터 보호

제로 트러스트 전략에서 간과하기 쉬운 것이 ‘데이터’다. 데이터는 사이버 보안의 핵심이며, 공격자들이 가장 좋아하는 먹잇감이기 때문에 가장 강력한 제로 트러스트 원칙이 지켜져야 한다.

완전한 제로 트러스트 기반 데이터 보호는 암호화이며, 암호화는 키관리가 가장 중요하다. 키는 암호화된 데이터에 모두 생성되기 때문에 많은 키를 안전하게 관리하고 보호할 수 있는 자동화된 시스템이 필수다.

탈레스는 중앙 집중화된 키관리 시스템 ‘사이퍼트러스트 매니저(CM)’에서 제공되는 키를 중심으로 ‘사이퍼트러스트 키관리(CCKM)’를 통해 CSP, 하이브리드, 멀티클라우드 환경에서 중앙집중적인 키관리를 지원한다.

암호화 방식과 권한을 통제할 수 있는 ‘사이퍼트러스트 암호화(CTE)’는 암호화 대상에 대한 강력한 접 근통제를 통해, 권한이 없는 사용자라면 클라우드 관 리자라 해도 데이터의 내용에 접근하지 못하도록 한다. 쿠버네티스 환경 지원을 통해 가상화 환경에 대한 요구도 충족하고 있다.

탈레스는 가장 강력한 키관리 어플라이언스 ‘루나 HSM’도 제공한다. FIPS 140-2 레벨 3 보안요구사항 을 충족시키는 HSM인 루나 제품군은 강력한 엔트로피로 키를 안전하게 생성하며, 보안 영역 안에서 키를 생성 및 관리함으로써 디지털 보안에서 신뢰의 근간이 된다.

SW 공급망도 제로 트러스트 필수

제로 트러스트 전략에서 매우 중요하게 생각하는 것이 공급망 보호다. 기업 내에서 제로 트러스트 원칙을 완벽하게 지키는 전략을 수립했다 해도 외부 파트너사, 공급망 기업을 통해 유입되는 공격을 막지 못하면 무용지물이기 때문이다.

공급망 공격 중 가장 위험한 것이 소프트웨어 코드 취약성을 이용한 것이다. 대부분의 소프트웨어는 오픈소스 라이브러리나 개발자 커뮤니티에서 가져온다. 외부 전문 개발사로부터 소프트웨어를 공급받는다 해도 그들 역시 다른 공개된 라이브러리에서 가져온다. 이렇게 가져온 라이브러리와 파일에 취약점이 있으며, 이 취약점을 이용한 공격이 가능하다.

공격자들은 개발자 커뮤니티에서 가장 인기 있는 라이브러리를 감염시키거나 이 라이브러리와 유사한 이 름의 감염된 파일을 업로드한다. 신뢰할 수 있는 개발 자를 감염시켜 오염된 라이브러리가 업로드되도록 하 고, 개발자와 비슷한 이름의 계정을 만들어 사용자를 속인다.

▲소프트웨어 공급망 공격 방법(자료: 이글루코퍼레이션)
▲소프트웨어 공급망 공격 방법(자료: 이글루코퍼레이션)

이러한 방식의 공급망 공격은 방어가 매우 까다롭다. 기업은 너무 많은 오픈소스 코드를 사용하고 있으며, 이들은 시스템이나 애플리케이션에 스니펫 되어 있거나 패킹 되어 스캐너로 검사되지 않는다. 공격자들은 목표 조직을 집요하게 탐색해 알려진 취약점 코드를 사용하는 애플리케이션과 시스템을 찾아 공격 한다.

정상적인 코드사인이 있는 상용 애플리케이션도 공급망 공격에 이용된다. 공격자는 소프트웨어 개발사의 코드서명을 탈취해 파일에 악성코드를 주입한 후 배포한다. 업데이트 파일이나 패치파일을 감염시키는 공급망 공격은 솔라윈즈 사태를 통해 잘 알게 됐다. 최근에는 마이크로소프트 윈도우 드라이버가 감염된 상태로 마이크로소프트의 코드서명이 되어 유포된 정황이 발견돼 전 세계 조직이 위험에 노출되기도 했다.

소프트웨어 공급망 공격을 막기 위해서는 반드시 소프트웨어 라이프사이클 전반의 보안을 점검해야 하며, 개발단계부터 배포, 운영까지 전 과정에서 보안약점을 제거해야 한다. 체크막스, 스패로우 등 애플리케이션 보안 테스트 기업들이 이러한 과제를 수행하는 플랫폼 기반 서비스를 제공한다.

오픈소스 커뮤니티에서 취약점 정보를 찾아 알려주는 솔루션도 꾸준히 사용되고 있다. 시높시스, 스니크 등이 대표적이며, 클라우드 네이티브 애플리케이션을 보호하는 아쿠아시큐리티, 트렌드마이크로 등도 공급망 공격 방어를 위한 솔루션을 공급한다. 최근에는 소프트웨어 재료 명세(SBoM)가 등장하면서 소프트웨어 구성요소를 파악하고 취약점 관리를 개선하는데 도움을 주고 있다.

소프트캠프 자회사인 레드펜소프트는 소프트웨어를 공급받은 기업이 직접 소프트웨어 취약성을 검사할 수 있는 서비스를 제공한다. 외부 개발사에서 받은 소프트웨어나 패치·펌웨어 업데이트 파일 등을 분석해 이전 버전과 크게 달라진 점이 있거나 공격에 악용될 수 있는 코드가 있을 때 개 발사에 소명하도록 한다. 필요한 경우 화이트해커가 분석해 어떤 공격에 노출될 수 있는지 알아볼 수 있게 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.