[진화하는 보안 프레임워크] 제로 트러스트①
상태바
[진화하는 보안 프레임워크] 제로 트러스트①
  • 김선애 기자
  • 승인 2020.03.03 08:30
  • 댓글 0
이 기사를 공유합니다

‘그레이 영역’ 줄여나가는 기존 보안 정책 효율적이지 않아
확실히 안전한 행위만 허용하고 지속 모니터링해 보안 위협 근본 차단

[데이터넷] 지능형 지속 위협(APT)은 공격 목표를 달성할 때 까지 끈질기게 시도하는 공격 수법이다. 은밀하게, 장기간에 걸쳐 활동하며, 기존 방어 시스템을 우회하면서 공격을 이어가고, 알려지지 않은 공격도구와 취약점을 이용해 탐지를 회피하다.

이러한 APT 공격은 이제 ‘전통적인’ 공격수법이 됐다. 공격자들은 시간과 비용이 많이 드는 전통적인 APT가 아니라 사람을 속여 목표를 달성하는 방법을 택하고 있다. 스플렁크 ‘IT 보안 전망 2020’ 보고서에서는 공격자들이 목표를 달성하기 위해 해킹 기술을 발전시키기보다 사람을 속이는데 더 집중하고 있다고 지적하며, 특히 사회공학 기법과 딥페이크를 결합한 공격이 등장할 가능성에 대해 경고했다.

그 예로 이메일을 통해 무역대금을 갈취하는 비즈니스 이메일 침해(BEC)에 영상·음성 조작 기술을 이용해 더 정교한 공격을 펼칠 수 있다는 것이다. 자금 담당자에게 직접 전화를 걸어 CFO를 사칭해 거래 대금을 급히 송금할 것을 요청하면 이를 인지하고 차단하기 쉽지 않다.

물론 공격자들은 여전히 긴 시간 동안 은밀히 침투해 잠입해 있으면서 중요정보를 유출하는 사이버 스파이 활동을 한다. 그러나 많은 공격이 빠르게 침투해 돈을 갈취하거나 시스템을 파괴하고 정보를 유출하는 단기전을 펼친다. 파이어아이 ‘2020 맨디언트 M-트렌드 보고서’에 따르면 지난해 아태지역 공격 지속 시간 중앙값이 평균 54일로, 2018년 204일보다 획기적으로 단축됐는데, 랜섬웨어, 암호화폐 채굴 등 체류시간이 짧지만 파괴력이 큰 유형의 공격이 지속적으로 증가했기 때문이라고 소개했다.

사이버 보안 개선하면 5조2000억달러 가치 창출

사이버 공격은 금전 피해로 직접 연결된다. 액센츄어시큐리티의 ‘사이버 범죄 연구 연간 비용 2019’ 보고서에 따르면 2018년 사이버 범죄로 인해 기업이 지출한 비용이 1300만달러(약 158억원)에 이른다. 이 보고서에서는 사이버 보안을 개선해 범죄 대응 비용을 줄이고 새로운 수익 기회를 창출하면 전 세계적으로 향후 5년간 5조2000억달러(약 6349조원)의 가치를 얻을 수 있다고 주장한다.

사이버 범죄를 막아 기업의 가치를 획기적으로 개선할 수 있다는데 아무도 이의를 제기하지 않을 것이다. 문제는 사이버 범죄를 완전히 막을 수 없다는데 있다. 공격자들은 ‘허를 찌르는’ 기묘한 방법으로 공격을 이어간다.

넷스카우트 ‘2019년 상반기 위협 인텔리전스 리포트’에서는 공격자들이 보안에 취약한 IoT 기기를 이용해 신속하게 공격태세로 전환할 수 있다고 설명했다. IoT 기기의 전원이 켜지면 5분 이내에 공격을 받고 24시간 내에 특정 목표를 공격할 수 있는 도구가 된다고 설명했다.

기업 내부의 보안 강화만으로 위협을 차단할 수도 없다. 하드웨어 및 소프트웨어 공급망을 이용하는 공격은 외부 파트너, 아웃소싱업체, 외주 개발자 및 프리랜서 등 다양한 공급망의 취약점을 이용하기 때문에 기업 내부의 보안 활동을 쉽게 무력화한다.

▲포레스터 ‘제로 트러스트 아키텍처’
▲포레스터 ‘제로 트러스트 아키텍처’

강력한 통제·지속적 모니터링

사이버 위협이 진화하면서 대응 전략도 시시각각 변하고 있다. 최근 가장 집중적으로 조명받는 보안 프레임워크는 ‘제로 트러스트(Zero Trust)’다.

기존 보안 정책은 확실하게 악성행위인지 여부를 판단하지 못한 ‘그레이 영역’을 지속적으로 탐지·분석하는 방법으로 공격면을 줄여나간다. 클라우드·IoT로 비즈니스 경계가 확장되면서 그레이 영역이 무한 확장됐으며, 많은 시간과 비용, 인력을 투입해 그레이 영역을 줄이는 것이 의미가 있는지에 대한 회의가 생겼다.

‘제로 트러스트’는 ‘블랙-그레이-화이트’라는 개념을 무시하고, 모든 것을 신뢰할 수 없다고 전제한 후 확실히 믿을 수 있는 것만 허락하는 방법을 택한다. 알 수 없는 영역을 분석하고 모니터링하는 것은 비효율적이라고 판단하며, 확실하게 안전성이 확인된 것만 허용하는 방법으로 강력한 보안 환경을 구축하는 방법을 택한다.

제로 트러스트는 포레스트의 존 킨더바그(John Kindervag) 수석 분석가 설계해 2010년 제안한 모델로, 구글 비욘드코프, 가트너 CARTA에도 제로 트러스트 보안 모델이 포함된다. 제로 트러스트는 보호해야 할 비즈니스를 세분화(Micro-segmentation)해 한 영역에 침투한 공격자가 측면이동하지 못하도록 하며, 세분화된 애플리케이션은 외부에서 접근하지 못하도록 보호한다.

세분화된 영역마다 강력한 통제 정책을 적용하며, 허가된 사용자만이 액세스 할 수 있도록 검증하며, 내부에서 일어나는 활동을 지속적으로 모니터링해 이상행위가 발생하는지 감시하는 방법을 사용한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.