[블록체인] 2장, 보안의 진화

이번 장은 내부망에서 서버 팜에 이르기까지 널리 사용되는 보안 모범 사례를 소개한다. 또한 이번 장은 제로 트러스트 보안 접근과 누설 수용 보안 접근에 대해 살펴본다.

보안 생태계

사이버 공격 방어 전략에는 네 가지 큰 틀이 있다.

 

1. 공격 표면 감소

: 대부분의 조직에서는 외부와 내부의 원치 않는 애플리케이션 포트, 파일 확장자 정보, 플랫폼 정보 등에 대한 취약점 스캐닝을 일상적으로 수행하는 절차를 갖추고 있다. 이처럼 보안 위협 평가의 연속적인 절차는 다음의 질문을 결정하는 데 도움이 된다.

 

• 우리는 무엇을 다르게 하고 있는가? (기술, 절차, 애플리케이션, 인력 등)
• 가장 리스크가 큰 애플리케이션은 무엇인가?
• 네트워크 보안의 허점은 무엇인가?
• 가장 리스크가 큰 사용자와 프로세스는 무엇인가?

애플리케이션에 대한 공격 표면을 측정하고 공격 표면의 모든 변화를 추적하는 방법을 고안했다. 그들은 이것에 상대적 표면 지수라는 이름을 붙였다.

 

2. 완전한 가시성

: 위너크라이와 낫페트야 같은 랜섬웨어는 SMB 기반 취약점을 이용해 종단을 위험에 빠뜨린다. SMB가 널리 사용되는 마이크로소프트 프로토콜이지만 완전한 가시성을 가진 조직은 좋은 SMB 조직과 나쁜 SMB 조직을 분리할 수 있다. 그와 마찬가지로, 기존 보안 시스템으로 보호하기 힘든 다양한 변종들이 존재하지만 탐지는 그러한 악의적 행동 노출의 핵심이며 감염 후 분석에도 도움이 된다. 또한 이 전략은 조직의 보안 태세를 개선한다.

 

3. 알려진 위협을 방지

: 버라이즌의 2017년 데이터 유출 조사 보고서에 따르면 맬웨어의 99퍼센트는 위협 행위자가 그것을 수정하기 전에 단 한 번만 나타났다. 이것은 공격자와 수비자 간의 끝없는 사이버 전쟁이다. 높은 프로파일의 사이버 공격이 항상 기삿거리가 되고 조직에서도 그러한 공격을 막으려고 주의를 기울이게 되지만 네트워크 및 종단 방어의 최전선에서는 방화벽과 안티 바이러스 소프트웨어가 필수적이다.

 

4. 알려지지 않은 위협을 방지

: 오늘날의 고도화된 위협과 하이재킹 기법 앞에서 공격을 100퍼센트 막는다는 것은 헛된 희망이 됐다. 이전에 한 번도 나타나지 않은, 고도화되고 알려지지 않은 위햡들이 있다. 심지어 그들은 적법한 사용자와 똑같이 행동한다. 그러한 위협을 탐지하고 그에 대응하기 위해 조직에서는 동적 · 행동 분석, 머신러닝 · 딥러닝, 공격 기법 ·전술 ·절차(TTP) 분석 능력을 바탕으로 새로운 기법을 받아들이고 있다.

 

제로 트러스트 접근법

널리 받아들여지는 접근법은 포레스터(fORRESTER)가 창안한 데이터 중심적 접근법으로서, 모든 데이터와 자산을 '항상 검증'하는 구현에서 사용된다. 이것은 위협 행위자가 플랫 네트워크(flat network)에서 횡적 이동(lateral movement)을 통해 탐지되지 않은 채로 이동하고 민감한 기밀 정보를 탈취하는 문제를 극복하도록 설계됐다. 또한 이 접근법은 보안 전문가에게 힘을 실어주어, 그들이 네트워크와 애플리케이션에 대한 통제권을 되찾을 수 있게 한다. 제로 트러스트(zero-trust) 접근법을 시작하는 방법은 다음과 같다.

 

1. 민감한 데이터 식별 및 분류: 데이터를 보호하기 위해서는 그것을 살펴봐야 한다. 민간한 데이터를 인지하지 못하면 감염 이후의 상황이 악화될 것이다. 민감한 데이터를 식별한 뒤에는 그것을 분류해야 한다.
2. 데이터 흐름 분석: 네트워크에서의 애플리케이션 흐름을 높은 수준으로 이해하는 것이 중요하다. 또한 기존 모형을 이용해 최종 데이터 흐름을 준비하기 위해 네트워크 팀, 애플리케이션 팀, 보안 아키텍트 등의 모든 이해당사자와 협력하는 것이 좋다.
3. 네트워크 설계: 제로 트러스트 설계는 여러 네트워크 간의 소통 흐름을 나타내며, 사용자가 어떻게 외부 데이터에 접근할 수 있는지 표현한다. 이 단계에서 조직은 물리적 및 가살 스위치 구성의 바깥 경계선을 식별한다.
4. 정책 기반을 생성: 이 접근법의 한 가지 주요 측면은 보안 전문가가 불필요한 정보 접근을 제한하고 효과적인 보안 통제를 구축해야 한다는 점이다. 보안 팀은 IP 헤더 필드, 사용자 식별, 애플리케이션의 동작 등에 대해 알아야 한다.
5. 지속적 검사: 전체 네트워크와 애플리케이션 로그를 실시간으로 수집하고 검사해야 한다. 외부 네트워크로부터 들어오는 트래픽뿐 아니라 사설 네트워크로부터 외부로 가는 트래픽도 해당된다. 내부 트래픽 흐름을 외부 트래픽 흐름과 마찬가지로 취급해야 한다.

누설 가정 접근법

지난 몇 년 동안 조직에서는 누설 가정(assume breach)이라 불리는 새로운 접근법을 적용해왔는데, 이것은 보안사고 대응 조직을 테스트하는 방법이다.

 

누성 가정 접근법은 조직이 다양한 보안 솔루션과 서비스에 관심을 갖게 해준다.

 

• 레드 팀 연습: 레드 팀 연습은 침투 테스트의 개선된 버전으로, 고도의 전문성을 갖춘 보안 전문가로 이루어진 팀에 의해 수행되며, 취약점을 찾는 것뿐 아니라 조직의 탐지 및 사고 대응 능력을 평가하는 연습이다. 이것은 즉각적 개선을 위한 전술적 조언과 장기적 보안 태세 개선을 위한 전략적 조언을 통해 조직 관리를 돕는다.
• 지속적 검사: 중단 없이 상시적으로 작동하는 보안 감시 시스템은 대기업 네트워크에서 사용자와 그들의 종단에 대한 실시간 가시성을 제공한다. 이것은 감염 전 단계에서 위협을 식별하는 데 도움이 되며, 더욱 스마트한 사이버 위생 및 규제 준수를 달성하기 위해 더 나은 보안사고 대응 프로세스를 구축하는 데 도움이 된다. 대다수의 조직은 이 서비스를 보안 관리 서비스 제공자에게 아웃소싱하려는 경향이 있다. 이들은 일반적으로 보안 정보 및 이벤트 관리와 종단 탐지 및 대응 등의 도구를 사용해 네트워크와 애플리케이션, 사용자 활동을 감시한다.

기초 계층의 진화

TCP/IP 기반에서 클라이언트-서버 데이터베이스 아키텍처를 사용하는 컴퓨터 네트워크를 보호하는 것이 사이버 보안의 전부다. 데이터를 수정할 권한은 여전히 중앙화된 서버에 있고, 각 클라이언트가 데이터베이스에 접근하려면 중앙 서버가 허락해야 한다. 통제 및 관리 권한을 가진 서버가 한 대밖에 없으므로 만약 그 서버가 해킹되면 전체 데이터가 변경 또는 탈취되거나 심지어 삭제될 수 있다. 대부분의 데이터 유출 사고는 기본적으로 클라우드에 중앙화된 서버 데이터베이스에서 발생했다.

 

---

출처: 블록체인으로 구현하는 사이버보안, 라즈나쉬 굽타 지음