자산 식별·취약성 분석으로 공격표면 평가…자동화 프로세스로 사이버 위생 유지
[데이터넷] 국내 주요 기업과 기관을 공격했던 매스스캔 랜섬웨어는 취약점이 있는 노출된 DB 서버를 파괴하면서 피해조직의 서비스를 중단시켰다. 이들은 열려있는 RDP·VPN, 훔친 계정이나 무작위 대입 공격 등을 통해 DB 서버에 침투해 취약점을 이용했다.
노출된 취약점으로 인한 피해는 매스스캔 랜섬웨어 만의 문제는 아니다. 지난해 하반기에만 오픈SSL 관련 취약점이 14개 공개됐는데 이 중 초고위험 취약점 2개, 고위험 취약점 10개였다. MS 익스체인지 서버에서는 2021년 이후 유사한 취약점이 반복적으로 공개되면서 피해를 일으키고 있다.
이 같은 취약점의 문제는 인터넷을 통해 쉽게 검색될 수 있다는 점이다. 공격자들은 지능화된 봇을 이용해 취약점이 있는 공개된 서버, OS, DB, 웹사이트, PaaS, IaaS, SaaS 등을 스캔하고 침투한다. 공격자의 관점에서 목표 조직으로 침투 할 수 있는 지점을 공격표면(Attack Surface)라 하며, 침해 가능성을 낮추기 위해서는 공격표면을 제거하는 ASM 솔루션이 필요하다.
물리·사이버 공격표면 줄여야
사이버 자산 공격표면(CAASM) 기업 엑소니어스는 ASM이 필요한 이유로 “보안 프레임워크가 강력하게 구축돼 있더라도, 무단 변조 또는 액세스로부터 보호하기 위해 모니터링하고 최소화해야 하는 노출된 공격 표면을 갖고 있다”고 설명했다.
엑소니어스는 미국 상무부 국립표준기술연구소(NIST)의 공격 표면 정의를 인용하며 “공격자가 시스템, 시스템 요소 또는 환경에 진입하거나, 영향을 미치거나, 데이터를 추출할 수 있는 시스템, 시스템 요소 또는 환경의 경계에 있는 점들의 집합”이라고 밝히며, 공격 표면은 물리적이든 디지털 기반이든 조직이 공격에 취약할 수 있는 모든 영역에 해당된다고 강조했다.
물리적 공격 표면에는 온프레미스(내부구축형) 데이터 센터, 데스크톱 컴퓨터 또는 개방형 사무실 시설이 포함될 수 있다. 또한 휴대폰, 랩톱, USB 드라이브 또는 스마트 홈 장치와 같이 공격자가 물리적으로 액세스할 수 있는 엔드포인트 장치일 수도 있다.
디지털 공격 표면 또는 사이버 공격 표면은 인터넷에서 액세스할 수 있는 모든 것이다. 여기에는 서버, 운영 체제, 데이터베이스, 웹사이트, 포트, PaaS 또는 IaaS 클라우드 서비스, SaaS 애플리케이션 및 애플리케이션 코드와 같은 디지털 자산이 포함된다.
디지털 공격표면은 물리적 공격표면보다 동적이며 네트워크 또는 시스템의 구성에 따라 유동적으로 변경될 수 있다. 디지털 방식으로 연결되는 장치의 종류와 수, 사용되는 클라우드 서비스와 범위, 배포되는 SaaS 애플리케이션 모두가 디지털 공격 표면에 해당된다. 직원들이 원격으로 업무를 진행하면서 통신 소프트웨어, CRM과 같은 미션 크리티컬한 비즈니스 애플리케이션이 SaaS 애플리케이션으로 상당 부분 클라우드로 이동, 디지털 공격표면이 증가하게 됐다.
조직마다 공격 표면이 다르기 때문에 공격 표면 분석을 수행하여 취약할 수 있는 부분과 인프라의 어떤 측면에 더 나은 보호가 필요한지 정확히 이해하는 것이 중요하다.
CAASM으로 공격표면 관리
모든 기업은 물리·디지털 공격 표면을 고려해 잠재적으로 악용 가능한 취약성과 보안 격차를 평가하고, 공격 대상을 축소해 공격 가능성을 제한해야 한다. 잠재적인 취약성을 식별하지 않으면 취약성 평가와 우선순위 지정·해결이 어렵고, 취약성으로 인한 공격표면을 줄일 수 없다.
공격 노출 범위(영역)에 대한 목록 작성은 신뢰할 수 있고 포괄적인 자산 인벤토리에서 시작해야 한다. 인벤토리는 최신 상태이고 정확해야 하며 모든 장치, 사용자, 클라우드 인스턴스 및 SaaS 애플리케이션을 포함해야 한다. 이를 통해 기본적으로 평가, 분석 및 비교를 위한 정확한 정보 기준을 제공할 수 있다.
그러나 포괄적인 IT 자산 인벤토리는 만들고 유지 관리하기 어렵다. 인벤토리 구축을 위한 기존의 많은 방법은 시간이 많이 걸리고 단편적이며 최신 상태를 유지하기 어렵다.
따라서 공격 표면 영역을 정의할 때 데이터 수집 및 상관 관계를 자동화하고, 부담스러운 인력 리소스 투입을 최소화하며, 실시간 결과를 위해 지속적으로 실행할 수 있는 사이버 보안 자산 관리 플랫폼을 사용하고 있는지 확인할 수 있는 방안을 강구해야 한다. 자산을 완전히 식별하는 신뢰할 수 있는 수단이 없으면 잠재적인 취약성의 중요성과 영향 및 이를 악용하는 데 사용될 수 있는 공격 벡터를 평가하는 것이 불가능하기 때문이다.
공격표면 식별과 분석으로 취약성 제거
공격표면을 줄이기 위해서는 가능한 빨리 공격 표면을 감지해야 한다. 다음 단계로 이를 통해 분석을 완료하고 자산 인벤토리를 생성했으며 공격 표면을 정의했다고 가정해 보자. 그 다음 순서로는 조직의 보안 태세에 대한 정확한 이해가 필요하다. 엑소니어스는 다음과 같은 3단계 확인 과정이 필요하다고 설명했다.
- 공격 표면 영역 식별: 포괄적인 공격 표면 가시성은 현재 공격 표면의 상태를 이해하기 위한 우선 순위이자 기준이다. 포괄성(Comprehensiveness)은 여러 장치 검색 도구의 여러 데이터 집합 간의 상관 관계 결과를 확인할 수 있는 중요한 기준이다.
- 보안 범위의 격차 분석, 알려진 취약점 추적: 보안 범위 격차는 모든 조직을 괴롭히고 있는 문제다. 누락되거나 오작동하는 엔드포인트 보호 에이전트, 잘못 구성된 SaaS 애플리케이션 또는 누락된 취약성 스캐너는 공격 표면을 위험에 빠뜨린다.
CVE와 같은 알려진 취약성은 약점이 있는 위치를 명시적으로 식별한다. 보안 격차와 알려진 취약성을 환경의 자산에 매핑하고 이들 간의 관계를 이해하면 우선순위를 알려주는 심층적인 컨텍스트(상관관계 분석 정보)를 확인할 수 있다. 보안 허점과 취약점을 상황에 맞게 완전히 이해해야만 IT, 보안 및 위험 팀이 잠재적인 공격 벡터를 식별하고 우선 순위를 지정하고 해결할 수 있는 강력한 통찰력을 얻을 수 있다.
- 공격 표면 축소: 지속적으로 보안 격차를 줄이고 제어 범위를 최적화해 공격표면을 축소해야 한다. IT 인프라 환경은 점점 더 복잡해지고 있다. 장치, 사용자, 원격 작업 환경, 하이브리드 인프라 및 CVE의 양이 증가함에 따라 공격 표면 관리를 수동으로 수행하는 것이 불가능해졌다. 프로세스를 자동화하면 IT 및 보안 리더가 리소스에 더 집중하고 규정 준수 또는 조사 시간을 단축하며 취약성 관리를 최적화하여 수동 설정에서는 달성할 수 없는 더 높은 수준의 IT 위생을 유지할 수 있다.
