[3주차] 사이버 위협
학습목표
1. 공격자 프로필, 동기 및 사이버 공격 수명주기 검토
2. 세간의 이목을 끄는 사이버 보안 공격 이해
3. Wi-Fi 공격과 지능형 지속 위협 조사
[3-1] 공격자의 프로필 및 사이버 공격 전략
현대의 사이버 공격은 훨씬 더 정교하고 위험한 적들에 의해 자행되고 있다. 훨씬 더 사악한 목적에 의해 동기부여가 되는 것이다. 이러한 공격자들의 종류는 다음으로 분류할 수 있다.
① 사이버 범죄자: 독립적으로 또는 범죄 조직의 일원으로서 행동하는 사이버 범죄자들은 금전적 이익을 위해 데이터 도난, 횡령, 사기 및 갈취 행위를 저지른다. 랜드 연구소에 따르면, 특정한 측면에서, 사이버 범죄를 위한 암시장은 불법적인 마약 거래보다 더 큰 돈이 오갈 수 있다고 한다. 그리고 많은 추정에 따르면, 사이버 범죄라는 것은 현재 1조 달러의 산업이라고 볼 수 있다.
② 국가 관련 단체: 보자마자 중국, 북한이 생각났다. 국가의 후원을 받거나, 국가들과 연계된 이 단체들은 매우 정교하고 지속적인 공격을 가할 수 있는 자원을 보유하고 있고, 기술적 깊이와 집중력이 뛰어나며, 자금도 충분하다. 이 단체들은 전력망, 상수도, 교통 시스템을 포함한 중요한 사회 기반 시설을 무력화하거나 파괴할 수 있는 능력과 같은 군사적 또는 전략적 목표를 가지고 있는 경우가 많다.
③ 사이버범죄 공급업체: 클라우드 컴퓨팅의 서비스 모델을 활용하여 많은 위협 행위자들은 이제 비즈니스 이메일 타협(BEC) 및 랜섬웨어를 포함한 멀웨어 및 악용 사례를 다크웹에서 서비스형 사이버범죄(CCaaS) 제품으로 임대하거나 판매한다. 공급업체는 서비스 구매 또는 임대를 통해 이익을 얻고, 잠재적으로 공격 자체로부터 수수료를 받기도 한다.
④ 핵티비스트: 정치적 또는 사회적 이유에 의해 동기 부여된 핵티비스트 그룹(ex. 어나니머스)은 일반적으로 웹 사이트를 손상시키거나 트래픽으로 네트워크를 플러딩하여 대상 조직에 대한 서비스 거부 공격을 실행한다.
⑤ 사이버 테러리스트: 테러조직은 인터넷을 이용하여 조직원을 모집, 훈련, 지시, 의사소통을 하고, 공포와 공황을 확산시켜 이념을 발전시킨다. 사이버 테러는 다른 위협 행위자들과 달리, 공격에 있어서 대부분 무차별적이며, 그 목적은 신체적 해악, 죽음, 파괴를 포함한다.
현대의 사이버 공격 전략은 높은 가치의 서버나 자산에 대한 직접적인 공격에서 악용, 멀웨어, 스텔스 및 회피를 혼합하는 다단계 프로세스로 발전했다.
위 그림의 사이버 공격 라이프사이클은 공격자가 네트워크에 침투하여 귀중한 데이터를 유출하기 위해 겪는 일련의 사건을 보여준다. 단, 한 단계만 차단해도 연쇄가 끊어지고, 공격으로부터 조직의 네트워크와 데이터를 효과적으로 방어할 수 있을 것이다.
① 정찰: 일반 범죄자들처럼, 공격자들은 그들의 사이버 공격을 꼼꼼하게 계획한다. 그들은 조사하고, 식별하고, 표적을 선택하며, 종종 표적이 된 대상의 SNS 프로필이나 회사 웹사이트에서 정보를 추출하는데, 이것은 사회 공학 및 피싱 계획에 유용할 수 있다. 공격자들은 또한, 다양한 도구를 사용하여 네트워크 취약점, 서비스 및 응용 프로그램을 검색하기도 한다. 네트워크 분석기, 네트워크 취약점 스캐너, 패스워드 크래커, 포트 스캐너, 웹 애플리케이션 취약점 스캐너, Wi-Fi 취약점 스캐너 등을 이용해서 말이다.
② 무기화: 다음으로, 공격자는 대상 엔드포인트를 손상시키기 위해 사용할 방법을 결정한다. 그들은 PDF 또는 Microsoft Word 문서 또는 이메일 메시지와 같이 겉보기에는 무해해 보이는 파일 내에 침입자 코드를 포함하도록 계획할 수 있다. 또는, 고도로 표적화된 공격의 경우, 공격자는 대상 조직 내 개인의 특정 관심사와 일치하도록 커스터마이징을 할 수도 있을 것이다. APT 공격에 걸맞게 말이다. 무기화는 일반적으로 공격자의 네트워크 내에서 발생하기 때문에 이 공격 단계에서 사이버 공격 라이프사이클을 깨는 것은 어렵다. 그러나 멀웨어 및 무기 툴을 분석하면, 중요한 위협 인텔리전스를 제공하여 다음 단계인 전달을 시도할 때 효과적인 제로 데이 보호를 가능하게 할 수 있다.
③ 전달: 공격자는 다음으로 이메일, 인스턴스 메시징, 드라이브 바이 다운로드, 감염된 파일 공유 등을 통해 무기화된 페이로드를 대상 엔드포인트로 전달하려고 시도한다. 이 공격 단계에서 사이버 공격 라이프사이클을 깨려면, 악의적이거나 위험한 웹 사이트, 애플리케이션 및 IP 주소를 효과적으로 차단하기 위해 모든 네트워크 트래픽을 파악할 수 있어야 하며, 알려진 멀웨어 및 알 수 없는 악용을 방지해야 한다.
④ 익스플로잇: 무기화된 페이로드가 대상 엔드포인트로 전달된 후에는 이를 트리거해야 한다. 최종 사용자가 악의적인 링크를 클릭하거나 전자 메일에서 감염된 첨부 파일을 여는 등 무의식적으로 공격을 트리거하거나, 공격자가 대상 네트워크의 알려진 서버 취약성을 이용하여 원격으로 공격을 트리거할 수 있다. 정찰 단계에서와 같이, 이 공격 단계에서 사이버 공격 라이프사이클을 깨는 것은 멀웨어 방지 및 이메일 보안과 같은 주제에 초점을 맞춘, 사전 예방적이고 효과적인 최종 사용자 보안 인식 교육으로 시작된다. 다른 중요한 보안 대책으로는 취약성 및 패치 관리, 멀웨어 탐지 및 예방, 위협 인텔리전스(알려진 위협 및 알려지지 않은 위협 포함), 위험하거나 승인되지 않았거나 불필요한 애플리케이션 및 서비스 차단, 파일 또는 디렉터리 권한 및 루트 또는 관리자 권한 관리, 네트워크 활동 기록 및 모니터링 등이 있다.
⑤ 설치: 다음으로 공격자는 예를 들면, 원격 쉘 액세스를 설정하고 루트킷 또는 기타 멀웨어를 설치하여 손상된 엔드포인트에 대한 권한을 증가시킬 수 있다. 원격 쉘 액세스를 사용하면, 공격자는 엔드포인트를 제어할 수 있으며, 마치 엔드포인트 앞에 물리적으로 위치해 있는 것처럼 명령줄 인터페이스에서 previleged 모드로 명령을 실행할 수 있다. 그런 다음, 공격자는 대상의 네트워크를 가로질러 공격 코드를 실행하고, 다른 기회를 식별하며 지속성을 확립하기 위해 추가 엔드포인트를 손상시킨다. 이 공격 단계에서 사이버 공격 라이프사이클을 깨는 것의 핵심은 네트워크 내에서 공격자의 이동을 제한하는 것이다. 네트워크 분할과 구역 또는 세그먼트 간의 모든 트래픽을 모니터링하고 검사하는 제로 트러스트 모델을 사용하고, 네트워크에서 허용되는 애플리케이션을 세분화하여 제어해야 한다.
⑥ 명령 및 제어: 공격자는 인터넷 전역의 서버에 암호화된 통신 채널을 다시 설정하여 공격 목표와 방법을 수정하거나, 공격 아티팩트가 발견된 경우 조직이 배포하려고 시도할 수 있는 새로운 보안 대책을 회피할 수 있다. 통신은 공격자가 원격으로 공격을 지시하고 공격 목표를 실행할 수 있도록 하기 때문에 공격에 필수적이다. 따라서 공격이 성공하려면 C2 트래픽이 탄력적이고 은밀해야 한다. 공격 통신 트래픽은 일반적으로 다양한 기술과 도구로 숨겨진다. 암호화, 우회, 포트 회피, Fast Flux, DNS 터널링 등으로 말이다.
⑦ 목적 달성: 공격자는 데이터 도난, 중요한 시스템과 네트워크 및 데이터의 파괴 또는 무단 수정, 서비스 거부 등 다양한 공격 목표를 가지고 있다. 이 사이버 공격 라이프사이클의 마지막 단계는 공격자가 다른 대상에 대해 사이버 공격 라이프사이클의 초기 단계를 진전시키는 데 사용할 수도 있다.
[3-2] 세간의 이목을 끄는 사이버 보안 공격
매일 수천 개의 사이버 공격이 기업 네트워크에 대해 자행되고 있다. 불행하게도, 이러한 공격들 중 많은 것들이 일반적으로 언론에 보도되는 것보다 더 피해가 막심하다. 이러한 공격의 희생자인 조직의 경우, 재정적, 평판적 피해가 엄청날 수 있다. 보안이 털린 기업을 누가 믿고 서비스를 이용하겠느냐 이말이다. 수 년이 지난 지금도 여전히 주의를 끄는 사례가 되고 있는 세간의 이목을 끄는 과거의 침해 사례에는 다음과 같은 것들이 있다.
2013년, Target. 최초 4천만 명의 신용카드 정보가 유출된 이후, 19일 사이에 7천만 명의 개인정보가 추가로 유출된 사건이다. 총 침해비용은 2억 9,200만 US 달러였다.
2014년, Home Depot. 5,600만의 신용카드 정보와 관련하여 5,300만의 이메일 주소와 같은 데이터가 도난당했다. 총 침해비용은 2억 9,800만 US 달러였다.
2015년, Anthem. 성명, 생일, 주소, 소득 등이 포함된 8천만 명의 개인정보가 유출됐다. 침해비용은 최대 310억 US 달러에 이를 수준이다.
2018년, Marriott. 신용카드, 여권 번호를 비롯하여 최대 5억 명의 개인정보가 유출된 사건이다.
이런 공격들을 살펴 보았을 때, 우리는 여러 교훈을 얻을 수 있다.
① "낮고 느린" 사이버 공격은 몇 주, 몇 달, 심지어는 몇 년 동안 탐지되지 않을 수 있다.
② 공격자는 대상 조직에 침투하기 위해 강화된 시스템에 대해 정교한 공격을 실행할 필요가 없다. 공격자는 보조 시스템이나 다른 취약한 엔드포인트를 대상으로 한 다음, 그제서야 공격을 주 대상으로 조정한다.
③ 패치되지 않은 취약성은 일반적으로 악용되는 공격 벡터다.
④ 침해로 인한 직간접적인 재정적 비용은 개인 및 재무 정보가 도난당하거나 손상된 대상 조직과 개인 모두에게 치명적일 수 있다.
[3-3] Wi-Fi 구성 및 공격
지난 10년 동안, 모바일 장치의 수가 폭발적으로 증가함에 따라 무선(Wi-Fi) 네트워크는 이제 어디에나 있다. 개인적으로 잘 작동하는지는 의문이지만 말이다. 여하튼 사무실, 카페, 지하철 등 어디에 있건 Wi-Fi 네트워크의 범위에 있을 가능성이 높다. 그리고 보안 전문가로서 연결을 시도할 때 가장 먼저 걱정해야 하는 것은 이 Wi-Fi 네트워크가 얼마나 안전한지 여부다. 그리고 이것을 생각하는 사람은 과연 몇이나 될까? 일반 사용자들은 Wi-Fi 연결을 따질 때 당장 연결이 매끄러운지를 따지지, 보안을 잘 따지지는 않는다는 것이 공격자에게는 너무 좋은 현실이다. 따라서 Wi-Fi 네트워크를 보호하는 것뿐만 아니라 조직의 직원이 업무를 수행하고 잠재적으로 중요한 데이터에 액세스하는 데 사용하는 모바일 장치를 보호하는 것도 과제라 할 수 있다. Wi-Fi 보안은 인증으로 시작되고 종료된다. 무선 네트워크에 액세스할 수 있는 사용자를 제어할 수 없는 경우, 네트워크를 보호하는 것은 포기해야 할 것이다.
WEP(Wired Equivalent Privacy)
WEP 프로토콜은 보안을 위한 무선 산업의 첫 번째 시도였다. WEP의 이름에서 알 수 있듯, WEP는 유선 네트워크의 보안과 동등한 데이터 기밀성을 제공하기 위한 것이었다. 그러나 WEP는 약한 무작위 값 또는 초기화 벡터 (IV), 키 생성 알고리즘과 같은 많은 약점들을 가지고 있었고 안전한 무선 네트워크를 구축하는 데 효과적이지 않았다.
Wi-Fi Protected Access (WPA/WPA2/WPA3)
WPA는 2003년에 표준으로 발표되었고, 2004년에 WPA2가 그 뒤를 이었다. WPA/WPA2는 WEP에 내재된 결함들로부터 보호하기 위한 개선사항들을 포함하고 있다. 이러한 개선사항들은 WEP를 괴롭혔던 많은 문제들을 피하기 위한 암호화의 변경사항들을 포함하고 있다.
WPA2는 다양한 방식으로 구현될 수 있다. WPA2-802.1x 모드라고도 알려진 WPA2-Enterprise는 인증을 위해 EAP(Extensible Authentication Protocol)와 RADIUS(Remote Authentication Dial-In User Service)를 사용한다. WPA2-Enterprise에서도 수많은 EAP 유형을 사용할 수 있다. 그러나 특히 집이나 중소기업 및 게스트 Wi-Fi 네트워크에서 PSK(사전 공유키)를 사용하는 것이 단연코 가장 일반적이다. WPA2-PSK는 AP와 클라이언트만으로 구현될 수 있으며, 타사 802.1x 인증 서버나 개별 사용자 계정도 필요하지 않다. WPA2-PSK는 64개의 16진수 문자가 필요한 256비트 키를 지원한다. 사용자가 64개의 16진수 문자 키를 입력하는 것은 정말이지 비현실적이기 때문에 WPA2는 Wi-Fi 네트워크 관리자가 만든 훨씬 짧은 암호문과 단방향 해시 함수의 솔트 값으로 사용되는 AP의 SSID(Service Set Identifier)를 기반으로 256비트 키를 생성하는 기능을 포함한다.
WPA2에서는 SSID의 이름이 솔트에 사용된다. Wi-Fi 보안을 강화하고, 레인보우 테이블 공격을 수포로 돌리는 쉬운 방법은 SSID를 쉽게 추측할 수 없는 것으로 변경하는 것이다. 기껏 솔트 값을 추가하여 보안 강도를 높이는 것인데, 그게 쉽게 추측 가능하면 의미가 없으니 말이다.
WPA2 패스프레이즈에 대한 공격을 실행하려면, 공격자가 많은 수의 패스프레이즈 후보를 테스트할 수 있어야 한다. 따라서 WPA2는 암호학적으로 안전한 상태를 유지하고 있지만, AP와 합법적인 사용자 간의 핸드셰이크 패킷을 수집하여 오프라인으로 패스프레이즈를 테스트하는 방법도 있다.
WPA2 암호를 해독하는 데 필요한 패킷을 수집하기 위해 합법적인 사용자가 네트워크에 가입할 때, 공격자는 수동적으로 트래픽을 수집할 수도 있기야 하다. 그러나 이 방법은 공격자가 언제 네트워크에 들어올지 모른다는 점을 고려해야 한다.
다음으로 공격자는 암호 자체를 복구해야 하며, 이를 위해서는 다음이 필요하다.
① 올바른 암호문을 찾을 때까지 수백만 개의 잠재적 암호문을 검사하는 테스트: 공격자는 탐지를 피하기 위해 실제 타깃을 사용할 수 없는데, 이유는 희생자가 이 공격 활동을 볼 수 있기 때문이다. 대안은 핸드셰이크 패킷을 사용하는 오프라인 테스트 방법을 사용하는 것이다.
② 패스프레이즈를 추측하는 방법론: 최악의 경우는 패스프레이즈를 brute force로 처리하여 정확한 값이 나올 때까지 숫자와 문자의 가능한 모든 조합을 시도하는 것이다. 이러한 노력은 충분한 시간과 컴퓨팅 능력이 주어지면 정확한 결과를 얻을 수 있다. 특히 요즘처럼 성능이 발달한 시대에서는 더욱 그러하다. 하지만, brute force에 의지할 필요 없이 근거에 의한 추측을 하는 것이 훨씬 빠르다. 가능한 패스프레이즈 후보에 대한 근거 있는 추측을 사용함으로써 공격자는 훨씬 더 빠르게 공격을 성공할 수 있다.
Wi-Fi 암호를 복구하는 이 기본 프로세스는 사용자의 암호를 해독하는 것과 비슷하다. 암호를 해독하는 초기에 공격자는 대상 시스템의 일방향 해시 함수와 시스템의 사용자 암호 해시 값 목록을 알고 있었을 수 있다. 그러나 공격자는 해시에서 원본 평문을 복구할 수 없기 때문에 암호를 해독할 방법이 없었다. 그러나 동일한 일방향 해시 함수를 가진 단어 목록을 암호화함으로써 공격자는 결과 해시 값을 시스템의 다양한 사용자 계정에 저장된 해시 값과 비교할 수 있다. 따라서 암호 자체가 해독되지는 않았지만, 주어진 결과를 생성하는 주어진 입력인 암호 일치를 찾을 수 있던 것이다. 더 많은 컴퓨팅 성능이 추가됨에 따라 공격자는 더 긴 단어 목록과 각 단어의 더 많은 변형을 시도할 수 있다. WPA2 암호를 공격하는 프로세스도 이와 유사하다.
WPA3는 2018년에 발표되었으며, 보다 강력한 무차별 공격 보호, 향상된 핫스팟 및 게스트 액세스 보안, 제한되거나 사용자 인터페이스가 없는 장치와의 단순한 통합, 192비트 보안 제품군 등과 같은 보안 향상을 소개했다. 새로운 Wi-Fi 라우터와 클라이언트 장치는 혼합 환경에서 하위 호환성을 보장하기 위해 WPA2와 WPA3를 모두 지원한다.
Wi-Fi Alliance에 따르면, WPA3 기능은 스마트 전등, 무선 가전제품, 스마트 스피커 및 일상 업무를 더 쉽게 만드는 다른 스크린이 없는 장치와 같은 IoT 장치에 대한 향상된 보안을 포함한다. Wi-Fi Alliance는 아직 구체적인 세부 사항을 설명하지 않았지만, WPA3는 스크린이 없는 장치(ex. 구글 홈 및 아마존 에코와 같은 IoT 장치 및 스마트 스피커)를 연결하기 쉽게 만드는 원터치 설정 시스템을 지원할 것으로 예상된다. 그것은 장치를 연결하기 위해 라우터의 버튼을 누르는 것을 포함하는 기존의 Wi-Fi Protected Setup 프로토콜과 유사할 것이다.
WPA3는 또한 가정이나 사무실보다는 산업, 국방 및 정부 애플리케이션을 위한 WPA2보다 훨씬 더 강력한 암호화 알고리즘을 지원한다. 특히, WPA3는 미국 국가안보국의 일부인 국가보안시스템위원회가 요청한 기능인 상용 국가보안 알고리즘(CNSA) 제품군과 일치하는 192비트 보안 제품군을 포함하고 있다.
WPA3는 KRACK과 같은 무선 악용에 취약하지 않은 강력한 핸드셰이크(Dragonfly 프로토콜)를 구현하여 무차별적인 사전 공격에 대한 보호를 제공하며, 네트워크 키가 장치와 액세스 포인트 사이에서 교환되는 시점에서 보안을 강화한다. 사용자별로 네트워크 암호 시도 횟수를 제한함으로써 WPA3는 일반적인 사전 공격의 효율성도 줄인다.
WPA3는 기기와 라우터 사이의 모든 연결을 고유한 키로 암호화하는 OWE(Opportunistic Wireless Encryption), 즉 개별화된 데이터 암호화를 도입한다. 액세스 포인트가 암호를 필요로 하지 않더라도, 기기의 데이터는 더 넓은 네트워크에 노출되지 않을 것이다.
무선 네트워크에 침입하는 대신, 공격자는 피해자를 속여서 공격자가 통제하는 무선 네트워크에 연결할 수 있다. 이러한 기술은 중간자 공격이라고 알려진 더 큰 공격 집합의 일부다. Wi-Fi 네트워크에서 MITM을 사용하면 공격자는 거의 모든 콘텐츠를 처리할 수 있게 된다. 사용자가 합법적인 파일을 다운로드하려고 하면, 공격자는 대신 모바일 멀웨어를 보낼 수 있다. 사용자가 합법적인 웹 페이지를 방문하려고 할 때, 공격자는 장치의 브라우저에 존재하는 취약성을 이용하도록 콘텐츠를 변경하여 공격을 더욱 확대할 수도 있다. 또한, 연결된 엔드포인트에서 이메일 주소와 금융 계정 정보를 수집할 수 있으므로 공격자는 매우 맞춤화된, 설득력 있는 피싱 공격을 만들어 네트워크에서 훨씬 더 많은 사용자가 민감한 정보를 공개하도록 속일 수 있다. 그러한 공격으로 이블 트윈, Jasager 공격, SSLstrip, Emotet 등이 존재한다.
[3-4] APT 공격
APT(Advanced Persistent Threats)는 다른 유형의 사이버 공격보다 훨씬 더 의도적이고 잠재적으로 파괴적인 위협의 종류다. 이름에서도 알 수 있듯, APT는 세 가지 정의적인 특징을 갖고 있다.
① Advanced: 공격자는 고급 멀웨어 및 악용을 이용하며, 일반적으로 추가 사이버 공격 도구 및 기술을 개발하는 데 필요한 기술과 리소스를 보유하고 있고, 정교한 전자 감시 장비, 위성 이미지 및 인간 지능 자산에 액세스할 수 있다.
② Persistent: APT는 몇 년의 기간에 걸쳐 발생할 수 있다. 공격자들은 특정 목표를 정하고 탐지를 피하기 위해 "낮고 느린" 접근 방식을 사용한다. 공격자들은 일반적으로 활동 자금을 대기 위해 국가 또는 조직된 범죄 조직과 같은 상당한 재정 지원에 접근할 수 있다.
④ Threats: APT는 기회주의적이라기보다는 의도적이고 집중적이다. APT는 심각한 재정적 손실, 시스템 및 인프라 파괴, 물리적 손상 및 인명 손실을 포함하여 실제 피해를 입히도록 설계되었다.
Lazarus, Fancy Bear, MONSOON 등이 대표적으로 알려진 APT 공격이라 할 수 있겠다.
[3-5] 사이버보안 위협
사이버 공격은 잠시 주춤하더라도, 결국은 계속 증가하고 있다. 사이버 범죄, 스파이 활동, 그리고 해킹 범죄는 여전히 이러한 공격의 주요 동기다. 우리가 이러한 위협에 어떻게 대처할 수 있을까? 대채 이런 유형의 위협은 왜 몇 년 동안 존재하는 것일까? 이유는 사이버 위협의 양과 질이 계속해서 늘어나기 때문이다. 보안 팀이 이를 따라가기란 현실적으로 매우 힘든 일이고 말이다. 기업에서 승인되고 지원되는 비교적 알려진 위험을 관리하는 것을 넘어야 하는데, 그렇게 까지 '과투자'를 할 기업이 어디 있겠느냐 이말이다. 보안 팀은 조직에서 사용하는 사실상의 무한정이라고 할 수 있는 위험을 실제로 관리해야 한다.
여기서 등장해야 하는 것은 포트 호핑이다. 이제 포트 호핑과 터널링 및 암호화는 우리 삶의 일부이며, 이것을 우리는 받아들여야만 한다. 클라우드를 우리 삶에서 제거할 수 없을 미래가 다가오는 것처럼 말이다. 한편, 기업은 기술별, 심지어 애플리케이션별로 무엇이 자신에게 위험한지 스스로 판단해야 한다. 시리아에서 스카이프 사용자를 대상으로 한 것처럼, 공격자가 조작하고 무기화할 수 있는 Flame 멀웨어가 있다. 2012년에 발견된 이 멀웨어에는 문자 그대로 스카이프 애플리케이션의 일부를 재프로그래밍하는 구성 요소가 포함되어 있어, 제 3자가 합법적인 스카이프 설치로 보일 수 있는 개인에게 스파이 활동을 하도록 허용한다. 애플리케이션이 점점 웹화됨에 따라 브라우저 기반의 http 및 https는 현재 전체 엔터프라이즈 네트워크 트래픽의 약 2/3를 차지한다. 기존의 포트 기반 방화벽 및 기타 보안 인프라는 http 및 https에 탑재된 애플리케이션이 합법적인 비즈니스 목적으로 사용되고 있는지 여부를 구분할 수 없다. 따라서 멀웨어를 포함한 애플리케이션은 네트워크 및 시스템에 침투하기 위한 주요 공격 벡터가 되었으며, 이는 실제로 매우 효과적이다. 그렇기에 이 문제가 매우 크다. 이는 대규모 업계가 공격을 방지하기 위해 노력하고 있음에도 불구하고 공격이 계속되는 이유를 확실히 설명해 준다. 네트워크 트래픽은 더 이상 보이는 것이 아니며, 심지어 애플리케이션이 터널링되거나 우리에게 불리하게 전환될 수 있다는 것이다. 그래서 기업이 운영의 일부를 클라우드로 옮기려 하는 것이다.
물론 클라우드는 결코 만능이 아니다. 만능인 것이란 존재하지 않으니까 당연하다. 클라우드 컴퓨팅 기술을 통해 조직은 전용 서버에서 애플리케이션을 실행하는 하드웨어 중심 아키텍처에서 데이터 센터를 진화시킬 수 있다. 온디맨드 방식으로 컴퓨팅 리소스 풀을 사용할 수 있는 동적이고 자동화된 환경에서 모든 장치에 언제 어디서나 액세스할 수 있는 애플리케이션 워크로드를 지원한다. 하지만 많은 조직이 퍼블릭 및 프라이빗 클라우드 환경과 관련하여 상당한 타협을 해야 하고, 결국에는 기능과 가시성을 두고 저울질을 하다 거래하게 되는 수순을 밟는다. 여기에 단순성 또는 효율성을 위한 보안도 중요하다. 클라우드가 보안보다는 가동 시간에 중점을 두게 되는 것은 필연적이다. 물론, 클라우드에는 보안이 포함될 수 있지만, 클라우드 보안에는 단순성, 기능, 효율성, 가시성과 같은 절충해야 할 요소가 많다. 따라서 본질적으로 클라우드 컴퓨팅을 조직에 매력적으로 만드는 기능 중 많은 부분이 네트워크 보안 모범 사례와 반대로 실행되는 것이다. 우리가 클라우드를 사용할 때 확실히 인정해야 하는 것이 하나 있는데, 클라우드 컴퓨팅은 기존 네트워크 보안 위험을 완화하지 않는다는 점이다. SEECaaS고 뭐고 자시고, 그것은 결코 위험이 완화되는 개념이 아니다. 클라우드로 이동하더라도 오늘날 네트워크를 위협하는 보안 위험은 사라지지 않는다. 클라우드를 노리는 맞춤 공격이 있을 뿐이다. 어떤 면에서는 클라우드로 이동할 때 직면하는 보안 위험이 아주 중요한 것이다. 그리고 광범위한 포트를 사용하여 기존 보안을 비효율적으로 만들기 때문에, 공격자는 여러 벡터를 사용하여 목표를 달성한 다음 일반 애플리케이션을 사용하여 내부에 숨는 정교한 공격을 생성하고 있다.
그리고 명심해야 할 것이 하나 또 있는데, 분리와 세분화는 보안의 기본이라는 것이다. Trust Zero 원칙에 따라, 미션 크리티컬 애플리케이션과 데이터를 네트워크에서 보안 세그먼트로 분리해야 한다. 물리적 네트워크에서 Trust Zero는 애플리케이션 및 사용자 ID를 기반으로 하는 방화벽 및 정책과 클라우드 환경을 사용하는 것이 비교적 간단하다. 서버 호스트 내의 VM이라고도 하는 가상 시스템 간의 직접 통신은 신뢰도에 따라 다양한 수준에서 지속적으로 발생하므로 세분화가 현실적으로 어려운 경우도 있을 것이다. 가상화된 포트 기반 보안 운영자의 호스트 내 가시성 부족과 혼합된 신뢰도는 보안 태세를 약화시키고 마지막으로 보안 구축은 프로세스 지향적이며 클라우드 컴퓨팅 환경은 동적이다. 가상 워크로드를 생성하거나 수정하는 작업은 적게는 몇 시간, 많게는 며칠 또는 몇 주가 소요될 수 있으므로 ,보안 지연이 부담스럽지 않게 설계해야 한다. 그러나 문제는 정책 변경을 승인하고, 적절한 방화벽을 식별하고, 관련 정책을 업데이트해야 한다는 것이다. 이에 반해 가상화 팀은 워크로드를 제거하고 매우 동적인 환경을 운영하며, 워크로드를 계속해서 변경한다. 그 결과, 보안 정책과 가상화된 워크로드 구축 간의 연결이 끊어지면서 보안 정책이 약화된다. 클라우드의 문제점만 말하는 것이 아니라, 클라우드는 상대적으로 최신 기술이 적용되는 개념이고, 그렇기에 전문가의 이해는 떨어질 수밖에 없다.
'보안 > 교육' 카테고리의 다른 글
[팔로 알토 네트웍스] 사이버보안 기초 #5 (0) | 2024.05.04 |
---|---|
[팔로 알토 네트웍스] 사이버보안 기초 #4 (1) | 2024.05.02 |
[팔로 알토 네트웍스] 사이버보안 기초 #1, 2 (0) | 2024.04.30 |
Google Professional Cloud Architect Exam Actual Questions#5 (1) | 2024.03.12 |
Google Professional Cloud Architect Exam Actual Questions#4 (0) | 2024.03.11 |