보안은 IT 담당자와 보안 담당자들에게 있어 좀처럼 해결되지 않는 고민거리다. 그렇기에 때마다 공격자들의 트렌드를 파악하여 요령 있게 방어 전략을 구축하는 게 중요하다. 그런 의미에서 이 시기에 가장 주의해야 할 부분들을 짚었다.
[보안뉴스 문정후 기자] 새로운 위협들에 대처하고, 창의적인 공격에도 끄떡없으려면 강력한 ‘보안 문화’와 건강한 ‘사이버 위생’ 습관이 든든히 뒷받침 되어 주는 것이 가장 중요하다고 다들 말한다. 하지만 이게 어디 말처럼 쉬운가. 이미 CISO들의 업무표와 캘린더는 할 일들로 꽉 차 있으며, 조직을 안전하게 지킨다는 일은 점점 더 어려워지고 있다. 게다가 경제 지표가 좋지 않아 보안 예산을 줄이는 곳도 적지 않다.
[이미지 = utoimage]
그렇기 때문에 공격의 최근 트렌드를 파악하는 건 대단히 중요한 일이다. 요즘 공격자들이 어느 지점을 주로 노리는 지를 파악하면 효율적인 방어를 설계할 수 있게 된다. 그런 의미에서 필자는 최근 수많은 사이버 보안 사건에 대응했을 때 겹치는 영역들이 무엇인지 조사했고, 그 결과 다음 네 가지가 이 시점에 가장 중요한 방어 전략 가운데 포함되어 있어야 한다는 것을 알게 됐다. 그 네 가지는 다음과 같다.
공급망 공격
데브옵스와 애자일 소프트웨어 개발 원리가 빠르게, 광범위하게 도입되기 시작하면서 조직들은 보다 빠른 주기로 개발 프로젝트를 완수할 수 있게 됐다. 그러면서 더 많은 서비스와 상품을 출시하는 것도 가능해졌다. 게다가 서드파티 코드(오픈소스 코드 등)를 개발에 적극 활용하기 시작하면서 속도는 더욱더 빨라졌다. 한 번 빨라진 출시 속도를 늦출 수 있는 기업은 그리 많지 않다. 이제 서드파티 코드 없이 개발한다는 건 불가능하게 여겨질 정도다.
요즘 공격자들은 이 지점을 파고들고 있다. 서드파티 코드를 침해해 두면, 전 세계 수많은 개발자들이 알아서 감염된 코드를 가져다가 사용하고, 그러면 알아서 멀웨어가 대량으로 만들어진다는 것을 알게 된 것이다. 그렇게 함으로써 전 세계 수백~수천 개 조직들에 보다 쉽게 침투할 가능성을 높이는 게 요즘 공격자들의 주요 전략이다.
기업들의 74%는 보안 때문에 데브옵스 프로세스가 늦어진다고 여긴다. 이들은 보안을 개발의 모든 단계에 적절히 배치함으로써 후에 터질 수 있는 사고로 인한 비용을 크게 아낄 수 있다는 사실을 아직 체감하지 못하고 있다. 코드 개발 전략에 있어 보안이 매우 이른 단계에부터 도입되어야 한다는 것을 아직은 더 알리고 강조해야 할 때다. 그것이 IT 결정권자들이 꾸준하게 할 일임을 기억하자.
클라우드 보안과 아이덴티티 보안
부적절하게 설정된 클라우드 환경은 모든 기업과 기관들의 공통적인 문제다. 매일처럼 어디선가 클라우드 설정을 못해 뜻하지 않은 데이터 유출 피해를 입는다. 클라우드 설정을 제대로 하지 않는다는 건 데이터를 찾아 헤매는 공격자들에게 문을 열어주는 것과 같다. 설정은 곧 문단속이라는 뜻이다. 혹자는 클라우드 설정을 부실하게 하는 것이 단순히 문을 열어주는 것을 넘어 열쇠를 쥐어주는 것과 같다고까지 설명한다. 실제로 요즘 해커들은 노출된 클라우드 인스턴스를 매일 조깅하듯이 검색한다.
클라우드 환경을 보다 안전하게 보호하려면 제일 먼저 IAM(아이덴티티 및 접근 관리)을 단단히 해야 한다. 다른 게 없다. 누가 어떤 상황에서 어떤 이유로 어떤 데이터와 계정에 접근할 수 있는지를 정하고, 그것이 잘 정해지는지 모니터링하는 것이다. 또한 설정과 관련된 사안들을 주기적으로 확인하고 지나치게 허용된 권한이 있다면 계속해서 줄여주는 것이 좋다. IAM과 관련된 접근 키가 노출된 적이 있는지 계속 확인하는 것도 필요하다.
기업과 기관들이 공격 경로를 알아서 늘려주고 있다
현대 네트워크들은 매우 복잡하고 역동적으로 변한다. 그렇기 때문에 공격자들이 침투해 들어올 수 있는 경로도 매번 변하고 다양해진다. 그러면서 양적으로도 팽창한다. 진행되는 사업의 수가 늘어나고, 그러면서 기업의 구조가 복잡해짐에 따라 나타나는 자연스러운 현상이다. 그러면서 우리 모두가 자연스럽게 위험한 환경으로 돌입하고 있다. 공격 통로가 빠르고 역동적으로 늘어나지만 방어 능력 역시 빠르게 늘어나지는 않기 때문이다.
공격자들은 이 사실을 아주 잘 이해하고 있다. 그래서 아무리 방어가 탄탄히 잘 된 조직이라 하더라도 꾸준하게 찔러 보면서 어딘가에 취약한 부분이 반드시 있다는 걸 안다. 공격을 성공시킬 수 있다는 확신에 차서 탐색하고 공격의 가능성을 모색한다. 그리고 실제로 적잖은 비율로 자신들이 원하는 바를 달성한다. 그래서 요즘 공격자들은 사용자는 물론 심지어 제조사들보다 취약점 정보를 더 빨리 알아낼 때도 많다.
결국 ‘우리 조직에 침투해 들어올 수 있는 경로가 얼마나 되는가’를 지속적으로 탐구하고 알아내는 게 중요하다. 그러려면 기업 네트워크의 가시성을 확보해야 하고, 보안 팀들은 보유하고 있는 자원과 데이터를 가지고 네트워크의 상황을 항상 살펴야 한다. 그리고 취약점 패치의 발견과 적용의 속도를 꾸준히 높이는 방향으로 IT 환경을 운영해야 한다. 패치만 잘 되더라도 공격자들의 공격 통로를 크게 줄일 수 있다.
보안 팀들은 이미 어마어마한 업무량에 눌려 있다
IT 업계 전반적인 문제이기도 하지만 특히 정보 보안 분야에서 큰 문제가 되고 있는 것이 바로 인재 부족이다. 현재 전 세계적으로 부족한 보안 인력은 340만 명이라고 하는데, 불과 몇 년 전만 해도 이 숫자는 200만~300만이었다. 부족함이 꾸준히 증가하는 중이라는 것이다. 방어할 사람은 없는데 위에 썼다시피 공격의 종류와 경로는 늘어만가니 현재 보안 인력이 어떤 상황이겠는가? 이미 두세 사람의 몫을 혼자서 감당하고 있는 게 대부분이다.
그렇다고 이 보안 담당자들에게만 특별한 휴가를 계속해서 줄 수도 없다. 자리가 비는 시기가 많아질수록 공격은 거세질 것이고, 어차피 쉬고 오더라도 쌓인 일처리에 더 바빠질 테니까 말이다. 이 문제를 해결하려면 지금으로서는 자동화 도입보다 나은 것이 없다. 시간을 많이 잡아먹는 반복적이고 단순한 일들을 최대한 회사가 해결해주어야 한다. 인재란 때문에 생기는 어려움들도 이 자동화로 꽤 완화시킬 수 있다. 보안 담당자도 행복해지고, 그러므로 조직의 보안도 강화된다.
우리를 둘러싼 위협들은 그 질과 종류와 양의 측면에서 항상 변한다. IT 결정권자들은 이런 흐름을 계속해서 인지하고, 그에 맞는 대응을 꾀해야 한다. 위에서 언급한 네 가지 트렌드는 영원불변한 것이 아니다. 조만간 더 최신 트렌드에 의해 대체될 수도 있다. 이런 트렌드를 때마다 익히고 방어 전략을 수정, 수립하는 것이 중요하다.
글 : 리앤 펠저(LeeAnne Pelzer), 컨설턴트, Palo Alto Networks
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 새로운 위협들에 대처하고, 창의적인 공격에도 끄떡없으려면 강력한 ‘보안 문화’와 건강한 ‘사이버 위생’ 습관이 든든히 뒷받침 되어 주는 것이 가장 중요하다고 다들 말한다. 하지만 이게 어디 말처럼 쉬운가. 이미 CISO들의 업무표와 캘린더는 할 일들로 꽉 차 있으며, 조직을 안전하게 지킨다는 일은 점점 더 어려워지고 있다. 게다가 경제 지표가 좋지 않아 보안 예산을 줄이는 곳도 적지 않다.
[이미지 = utoimage]
그렇기 때문에 공격의 최근 트렌드를 파악하는 건 대단히 중요한 일이다. 요즘 공격자들이 어느 지점을 주로 노리는 지를 파악하면 효율적인 방어를 설계할 수 있게 된다. 그런 의미에서 필자는 최근 수많은 사이버 보안 사건에 대응했을 때 겹치는 영역들이 무엇인지 조사했고, 그 결과 다음 네 가지가 이 시점에 가장 중요한 방어 전략 가운데 포함되어 있어야 한다는 것을 알게 됐다. 그 네 가지는 다음과 같다.
공급망 공격
데브옵스와 애자일 소프트웨어 개발 원리가 빠르게, 광범위하게 도입되기 시작하면서 조직들은 보다 빠른 주기로 개발 프로젝트를 완수할 수 있게 됐다. 그러면서 더 많은 서비스와 상품을 출시하는 것도 가능해졌다. 게다가 서드파티 코드(오픈소스 코드 등)를 개발에 적극 활용하기 시작하면서 속도는 더욱더 빨라졌다. 한 번 빨라진 출시 속도를 늦출 수 있는 기업은 그리 많지 않다. 이제 서드파티 코드 없이 개발한다는 건 불가능하게 여겨질 정도다.
요즘 공격자들은 이 지점을 파고들고 있다. 서드파티 코드를 침해해 두면, 전 세계 수많은 개발자들이 알아서 감염된 코드를 가져다가 사용하고, 그러면 알아서 멀웨어가 대량으로 만들어진다는 것을 알게 된 것이다. 그렇게 함으로써 전 세계 수백~수천 개 조직들에 보다 쉽게 침투할 가능성을 높이는 게 요즘 공격자들의 주요 전략이다.
기업들의 74%는 보안 때문에 데브옵스 프로세스가 늦어진다고 여긴다. 이들은 보안을 개발의 모든 단계에 적절히 배치함으로써 후에 터질 수 있는 사고로 인한 비용을 크게 아낄 수 있다는 사실을 아직 체감하지 못하고 있다. 코드 개발 전략에 있어 보안이 매우 이른 단계에부터 도입되어야 한다는 것을 아직은 더 알리고 강조해야 할 때다. 그것이 IT 결정권자들이 꾸준하게 할 일임을 기억하자.
클라우드 보안과 아이덴티티 보안
부적절하게 설정된 클라우드 환경은 모든 기업과 기관들의 공통적인 문제다. 매일처럼 어디선가 클라우드 설정을 못해 뜻하지 않은 데이터 유출 피해를 입는다. 클라우드 설정을 제대로 하지 않는다는 건 데이터를 찾아 헤매는 공격자들에게 문을 열어주는 것과 같다. 설정은 곧 문단속이라는 뜻이다. 혹자는 클라우드 설정을 부실하게 하는 것이 단순히 문을 열어주는 것을 넘어 열쇠를 쥐어주는 것과 같다고까지 설명한다. 실제로 요즘 해커들은 노출된 클라우드 인스턴스를 매일 조깅하듯이 검색한다.
클라우드 환경을 보다 안전하게 보호하려면 제일 먼저 IAM(아이덴티티 및 접근 관리)을 단단히 해야 한다. 다른 게 없다. 누가 어떤 상황에서 어떤 이유로 어떤 데이터와 계정에 접근할 수 있는지를 정하고, 그것이 잘 정해지는지 모니터링하는 것이다. 또한 설정과 관련된 사안들을 주기적으로 확인하고 지나치게 허용된 권한이 있다면 계속해서 줄여주는 것이 좋다. IAM과 관련된 접근 키가 노출된 적이 있는지 계속 확인하는 것도 필요하다.
기업과 기관들이 공격 경로를 알아서 늘려주고 있다
현대 네트워크들은 매우 복잡하고 역동적으로 변한다. 그렇기 때문에 공격자들이 침투해 들어올 수 있는 경로도 매번 변하고 다양해진다. 그러면서 양적으로도 팽창한다. 진행되는 사업의 수가 늘어나고, 그러면서 기업의 구조가 복잡해짐에 따라 나타나는 자연스러운 현상이다. 그러면서 우리 모두가 자연스럽게 위험한 환경으로 돌입하고 있다. 공격 통로가 빠르고 역동적으로 늘어나지만 방어 능력 역시 빠르게 늘어나지는 않기 때문이다.
공격자들은 이 사실을 아주 잘 이해하고 있다. 그래서 아무리 방어가 탄탄히 잘 된 조직이라 하더라도 꾸준하게 찔러 보면서 어딘가에 취약한 부분이 반드시 있다는 걸 안다. 공격을 성공시킬 수 있다는 확신에 차서 탐색하고 공격의 가능성을 모색한다. 그리고 실제로 적잖은 비율로 자신들이 원하는 바를 달성한다. 그래서 요즘 공격자들은 사용자는 물론 심지어 제조사들보다 취약점 정보를 더 빨리 알아낼 때도 많다.
결국 ‘우리 조직에 침투해 들어올 수 있는 경로가 얼마나 되는가’를 지속적으로 탐구하고 알아내는 게 중요하다. 그러려면 기업 네트워크의 가시성을 확보해야 하고, 보안 팀들은 보유하고 있는 자원과 데이터를 가지고 네트워크의 상황을 항상 살펴야 한다. 그리고 취약점 패치의 발견과 적용의 속도를 꾸준히 높이는 방향으로 IT 환경을 운영해야 한다. 패치만 잘 되더라도 공격자들의 공격 통로를 크게 줄일 수 있다.
보안 팀들은 이미 어마어마한 업무량에 눌려 있다
IT 업계 전반적인 문제이기도 하지만 특히 정보 보안 분야에서 큰 문제가 되고 있는 것이 바로 인재 부족이다. 현재 전 세계적으로 부족한 보안 인력은 340만 명이라고 하는데, 불과 몇 년 전만 해도 이 숫자는 200만~300만이었다. 부족함이 꾸준히 증가하는 중이라는 것이다. 방어할 사람은 없는데 위에 썼다시피 공격의 종류와 경로는 늘어만가니 현재 보안 인력이 어떤 상황이겠는가? 이미 두세 사람의 몫을 혼자서 감당하고 있는 게 대부분이다.
그렇다고 이 보안 담당자들에게만 특별한 휴가를 계속해서 줄 수도 없다. 자리가 비는 시기가 많아질수록 공격은 거세질 것이고, 어차피 쉬고 오더라도 쌓인 일처리에 더 바빠질 테니까 말이다. 이 문제를 해결하려면 지금으로서는 자동화 도입보다 나은 것이 없다. 시간을 많이 잡아먹는 반복적이고 단순한 일들을 최대한 회사가 해결해주어야 한다. 인재란 때문에 생기는 어려움들도 이 자동화로 꽤 완화시킬 수 있다. 보안 담당자도 행복해지고, 그러므로 조직의 보안도 강화된다.
우리를 둘러싼 위협들은 그 질과 종류와 양의 측면에서 항상 변한다. IT 결정권자들은 이런 흐름을 계속해서 인지하고, 그에 맞는 대응을 꾀해야 한다. 위에서 언급한 네 가지 트렌드는 영원불변한 것이 아니다. 조만간 더 최신 트렌드에 의해 대체될 수도 있다. 이런 트렌드를 때마다 익히고 방어 전략을 수정, 수립하는 것이 중요하다.
글 : 리앤 펠저(LeeAnne Pelzer), 컨설턴트, Palo Alto Networks
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
