세계적인 인텔리전스 전문성으로 공격표면 탐지·대응 지원
[데이터넷] 북한 배후 해커가 국내 반도체 장비 기업을 잇달아 공격했는데, 모두 취약점이 노출된 상태로 인터넷에 연결된 서버를 이용해 침투했다. 북한 해커뿐만 아니라 대부분의 사이버 공격자들이 초기 침투를 위해 취약점이 해결되지 않았거나 잘못 구성돼 외부에서 접근 가능한 자산을 악용한다. 이를 외부 공격표면(External Attack Surface), 혹은 공격표면이라고 한다.
제로 트러스트 원칙에 따른 보안 전략 수립을 위해서는 이러한 공격표면을 선제적으로 제거해 검증되지 않은 공격자가 무단으로 침입하는 것을 막아야 한다. 이를 위한 솔루션이 공격표면관리(ASM)이며, 공격자의 관점에서 초기 침투에 사용하는 잘못된 구성, 노출된 취약점, 방치된 계정 등을 찾아 실제 공격 가능성과 위험도를 평가하고 대응할 수 있게 한다.
윤광택 레코디드퓨처 상무는 “공격자는 공격을 시작하기 전에 타깃 조직에 대해 많은 것을 조사한다. 피해 조직의 비즈니스 특징이나 가장 효과적으로 목표 시스템에 도달할 수 있는 경로를 찾는다. 이 경로를 개척하는데 이용할 수 있는 계정과 취약점, 구성오류를 찾아낸다. ASM도 이 과정을 통해 공격 가능성을 파악하고 조치 방안을 안내한다”고 말했다.
패치 후에도 지속적인 관리 필요
윤광택 상무는 ‘제23회 차세대 보안 비전’에서 ‘해커의 공격 침투 접점, 어디를 어떻게 무엇을 식별해야 할까?’에서 ASM을 활용하는 방법에 대해 상세히 설명했다.
윤 상무는 ▲자산 식별 ▲호스트명과 IP, 포트 파악 ▲애플리케이션 식별 ▲취약점과 설정오류 탐지 등을 통해 공격표면을 확인하고 조치하는 것이 필요하다고 설명했다.
가장 먼저 자산식별의 예로 들어 보면, 공식 도메인과 유사한 도메인을 확인하고 도메인 소유자를 확인해 실제 존재하는 회사인지 파악하고, 공격을 위해 제작된 피싱 사이트라면 테이크다운 조치를 취할 수 있게 한다.
자산에 매핑된 호스트를 찾아 정상 호스트인지, 다크웹과 연결된 것이지 찾는다. 특히 리모트 액세스는 원격지에서 불법 사용자의 접근이 가능하기 때문에 정상적인 조치가 적용된 원격 연결 포트 여부를 확인한다.
애플리케이션이나 시스템 등의 취약점을 확인하고 조치하는 것도 필요하다. 지난해 말부터 심각한 문제가 되고 있는 이반티 VPN 취약점의 경우, 패치가 배포됐는데, 이를 우회하는 또 다른 시도가 나타나고 있어 패치 후에도 지속적으로 취약점에 대한 조치가 필요하다.
10년 전 취약점, 현재도 악용···실제 위협 여부 파악해야
윤 상무는 “취약점이 공개되면 즉시 조치해야 하지만, 현실적으로 불가능한 일이다. 올해 공개된 긴급한 취약점이 4200개가 넘는다. 자사 운영 시스템에서 이 취약점이 있는지 일일이 확인하는 것도 어렵지만, 영향받는 취약점이 있다 해도, 패치·조치 시 영향 미칠 것을 우려해 즉시 조치하지 못하는 것도 있기 때문에 실시간 대응이 어려운 것이 사실”이라고 설명했다.
그 예로 최근 레코디드퓨처가 수행한 한 고객의 ASM 결과를 설명했는데, 10년 전 공개된 셸쇼크(ShellShock)가 제거되지 않은 상태로 방치된 것을 발견했다. 최근 세계 여러 조직에서 이를 악용한 암호화폐 채굴 공격이 발견되기도 했다. 셸쇼크는 2014년 발견됐으며, 당시 심각도 10, 현재 레코디드퓨처가 평가한 점수는 79점이다. 인터넷 연결 서비스에 무단으로 액세스 할 수 있는 것이다.
윤 상무는 “10년 전 취약점이 발견됐다면, 식별된 취약점이 여전히 유효한지 파악하고자 할 것이다. 그런데 취약점 스캐너만으로는 식별된 취약점의 유효성 여부를 판단할 수 없다는 문제에 봉착하게 된다. 또 그동안 패치하지 않았던 이유나, 현재 패치했을 때 시스템에 어떤 영향이 있는지도 확인해야 한다. ASM은 취약점 영향도를 평가하고 판단한다”고 말했다.
레코디드퓨처 ASM은 발견된 공격표면의 실제 위험도, 패치 여부와 예외처리 여부 등을 확인한후, 비즈니스에 영향 없이 조치할 수 있게 한다. 10년 이상 축적한 인텔리전스 전문 역량을 기반으로공격표면을 평가하고, 대안을 제안해 기업·기관이 효과적으로 공격 가능성을 낮출 수 있게 한다.
윤 상무는 “레코디드퓨처는 전 세계에서 가장 먼저 설립된 사이버 위협 인텔리전스(CTI) 기업으로, 높은 전문성을 가진 인텔리전스 정보를 이용해 효과적인 선제대응이 가능하도록 지원한다”고 밝혔다.
