2018.08.29

사이버 보안 사고 피해를 경감하는 방법, "도상 훈련과 침입 테스트"

Andrew Douthwaite | CSO
직원들과 함께, 화재가 발생했을 때 해야 할 일에 대해 확인, 검토해보자. 예를 들어, '비상구 위치는 어디인가', '엘리베이터는 사용하지 않는다', '모여야 할 지점은 어디인가', '자동으로 소방서에 전화가 하는가', '건물을 안전하게 탈출한 후 화재 신고를 해야하나', '인원과 모든 사람의 소재를 확인하는 책임은 누가 질까' 등의 질문을 물을 것이다. 사이버 보안에도 같은 일을 해야 한다. 도상 훈련(Tabletop exercise)을 해야 한다는 것이다.



도상 훈련의 가치
도상 훈련은 아주 중요한 보안 전략에 반드시 포함되어야 한다. 전체적으로 보안에 접근해야 한다. 별개의 개별적인 요소나 기능이 아닌, 일련의 요소나 기능들을 통합해 하나로 접근해야 한다는 의미다. 도상 훈련과 같은 보안 훈련은 기업의 보안 전략이 얼마나 효과적인지 평가하고, 단기부터 중기, 장기까지 보안 목표를 달성하는 방법을 결정하는 데 도움을 주는 유용한 방법이다.

도상 훈련은 가상의 사이버 보안 침해 사고를 다루는 훈련이다. 하나의 팀으로 침해를 저지하고, 피해를 최소화하거나 방지하는 해결책을 찾는다. 미래에 필요하게 될 사이버 보안 도구를 모두 예측하는 것은 불가능하다. 그러나 취약점이 명백한 부분, 그리고 우선 순위를 바탕으로 이런 취약점을 없앨 방법을 찾을 수 있다. 우선 순위가 높은 취약점은 단기에, 우선 순위가 이보다 낮은 취약점은 중기 또는 장기 일정으로 해결할 수 있다.

도상 훈련 실시
무엇보다 핵심 이해관계자 전원이 도상 훈련에 참여하는 것이 중요하다. 이렇게 하면, 훈련에서 각자의 역할을 설명할 수 있다. 보안 전략이 없거나 충분히 종합적이지 못한 경우, 해커를 비롯한 범죄자가 악용할 수 있는 취약점과 허점을 노출시키도록 훈련을 기획해 실시해야 한다. 이렇게 취약점과 허점을 파악하고 나면, 추후 발생할 수도 있는 해킹이나 침입, 기타 사이버 보안 위기 해소에 필요한 보안 프로토콜을 만들거나 강화할 수 있다.

도상 훈련 동안 팀은 발생할 수 있는 다양한 상황과 시나리오에 대처하고, 그 발생 방식과 장소를 분석해야 한다. 다음은 사이버 보안 공격을 다룰 때 적용하는 4가지 단계다.

1. 공격을 확인한다.
2. 공격을 관련시킨다.
3. 공격을 저지한다.
4. 공격을 해결한다.

도상 훈련을 계획할 때, 팀이 발생 확률이 가장 높거나, 가장 큰 피해를 초래할 것으로 판단한 3~5가지 공격에 대한 시나리오에 초점을 맞춰야 한다.
공격 시나리오에 있어, 광범위하면서 특정적으로 도상 훈련을 실시하는 것이 아주 중요하다. 이메일 서버를 표적으로 한 무차별 암호 대입 공격이나 기업 방화벽 침입 시도 등을 시뮬레이션한 훈련이 광범위한 도상 훈련이다(많은 취약점을 규명할 수 있는 훈련).

반면 직원 한 명이 주차장에서 USB 메모리 카드를 주워, 회사 네트워크에 연결된 장치에 연결하면서 인가 받지 않은 외부인이 네트워크에 대한 액세스 권한을 획득했을 때 해야 할 일 등은 특정적인 도상 훈련으로 분류할 수 있다. 기타 의심스러운 이메일 링크를 열어 악성 페이로드가 다운로드 된 상황에 대한 전략을 결정하는 훈련도 특정적인 훈련이다.

침입 테스트(Penetration tests)
더 철저히 사이버 보안을 테스트 및 훈련하고 싶다면 침입 테스트 실시를 고려한다. 침입 테스트는 화이트 햇 해커를 채용, 회사 시스템에 침입하는 시도를 하도록 만드는 것이다. 화이트 햇 해커는 침입에 악용할 수 있는 취약점을 발견한 경우, 이를 회사에 알려준다. 그러면 이에 대한 솔루션을 만들고 보안을 강화할 수 있다.

침입 테스트는 수준이 다양하다. 버츄얼아머(VirtualArmour)에서 실시된 것 같이 잘 수행된 침입 테스트는 보안 시스템의 여러 영역을 테스트한다. 외부 침입 테스트는 누군가 외부에서 취약점이나 허점을 이용해 시스템에 침입한 후 액세스 권한을 획득하는 시도다. 내부 침입 테스트 또한 이와 유사하지만, 공격이 네트워크 내부에서 시작된다는 점에 차이가 있다(직원이 USB 메모리 카드를 습득한 시나리오, 악성 이메일 첨부 파일을 연 시나리오 등).

사이버 보안 침해에 대한 대비와 피해 최소화 노력의 일환으로 도상 훈련과 침입 테스트를 실시한다. 위험이 초래되지 않았을 때 가능한 침해 상황과 시스템에 대해 철저히 훈련을 한다. 그러면 실제 침해가 발생했을 때의 대비가 더 철저할 수 있다.

사이버 보안의 '토대'는 안전한 네트워크다. 그리고 네트워크를 계속 안전하게 유지하는 데 중요한 역할을 하는 것이 취약점 관리다. 취약점 지형과 환경은 아주 빠른 속도로 변한다. 따라서 가능한 빨리 보안 허점과 취약점을 파악, 패칭을 하고 위험을 경감해야 한다. 또한 해커들이 무차별 대입 공격, 보안 취약점 파악, 와이파이 네트워크 크랙에 사용하는 도구들도 계속 진화한다. 기업이 계속 안전을 유지하도록 도움을 주는 유용한 방법 가운데 하나가 도상 훈련과 침입 테스트 실시다. editor@itworld.co.kr  


2018.08.29

사이버 보안 사고 피해를 경감하는 방법, "도상 훈련과 침입 테스트"

Andrew Douthwaite | CSO
직원들과 함께, 화재가 발생했을 때 해야 할 일에 대해 확인, 검토해보자. 예를 들어, '비상구 위치는 어디인가', '엘리베이터는 사용하지 않는다', '모여야 할 지점은 어디인가', '자동으로 소방서에 전화가 하는가', '건물을 안전하게 탈출한 후 화재 신고를 해야하나', '인원과 모든 사람의 소재를 확인하는 책임은 누가 질까' 등의 질문을 물을 것이다. 사이버 보안에도 같은 일을 해야 한다. 도상 훈련(Tabletop exercise)을 해야 한다는 것이다.



도상 훈련의 가치
도상 훈련은 아주 중요한 보안 전략에 반드시 포함되어야 한다. 전체적으로 보안에 접근해야 한다. 별개의 개별적인 요소나 기능이 아닌, 일련의 요소나 기능들을 통합해 하나로 접근해야 한다는 의미다. 도상 훈련과 같은 보안 훈련은 기업의 보안 전략이 얼마나 효과적인지 평가하고, 단기부터 중기, 장기까지 보안 목표를 달성하는 방법을 결정하는 데 도움을 주는 유용한 방법이다.

도상 훈련은 가상의 사이버 보안 침해 사고를 다루는 훈련이다. 하나의 팀으로 침해를 저지하고, 피해를 최소화하거나 방지하는 해결책을 찾는다. 미래에 필요하게 될 사이버 보안 도구를 모두 예측하는 것은 불가능하다. 그러나 취약점이 명백한 부분, 그리고 우선 순위를 바탕으로 이런 취약점을 없앨 방법을 찾을 수 있다. 우선 순위가 높은 취약점은 단기에, 우선 순위가 이보다 낮은 취약점은 중기 또는 장기 일정으로 해결할 수 있다.

도상 훈련 실시
무엇보다 핵심 이해관계자 전원이 도상 훈련에 참여하는 것이 중요하다. 이렇게 하면, 훈련에서 각자의 역할을 설명할 수 있다. 보안 전략이 없거나 충분히 종합적이지 못한 경우, 해커를 비롯한 범죄자가 악용할 수 있는 취약점과 허점을 노출시키도록 훈련을 기획해 실시해야 한다. 이렇게 취약점과 허점을 파악하고 나면, 추후 발생할 수도 있는 해킹이나 침입, 기타 사이버 보안 위기 해소에 필요한 보안 프로토콜을 만들거나 강화할 수 있다.

도상 훈련 동안 팀은 발생할 수 있는 다양한 상황과 시나리오에 대처하고, 그 발생 방식과 장소를 분석해야 한다. 다음은 사이버 보안 공격을 다룰 때 적용하는 4가지 단계다.

1. 공격을 확인한다.
2. 공격을 관련시킨다.
3. 공격을 저지한다.
4. 공격을 해결한다.

도상 훈련을 계획할 때, 팀이 발생 확률이 가장 높거나, 가장 큰 피해를 초래할 것으로 판단한 3~5가지 공격에 대한 시나리오에 초점을 맞춰야 한다.
공격 시나리오에 있어, 광범위하면서 특정적으로 도상 훈련을 실시하는 것이 아주 중요하다. 이메일 서버를 표적으로 한 무차별 암호 대입 공격이나 기업 방화벽 침입 시도 등을 시뮬레이션한 훈련이 광범위한 도상 훈련이다(많은 취약점을 규명할 수 있는 훈련).

반면 직원 한 명이 주차장에서 USB 메모리 카드를 주워, 회사 네트워크에 연결된 장치에 연결하면서 인가 받지 않은 외부인이 네트워크에 대한 액세스 권한을 획득했을 때 해야 할 일 등은 특정적인 도상 훈련으로 분류할 수 있다. 기타 의심스러운 이메일 링크를 열어 악성 페이로드가 다운로드 된 상황에 대한 전략을 결정하는 훈련도 특정적인 훈련이다.

침입 테스트(Penetration tests)
더 철저히 사이버 보안을 테스트 및 훈련하고 싶다면 침입 테스트 실시를 고려한다. 침입 테스트는 화이트 햇 해커를 채용, 회사 시스템에 침입하는 시도를 하도록 만드는 것이다. 화이트 햇 해커는 침입에 악용할 수 있는 취약점을 발견한 경우, 이를 회사에 알려준다. 그러면 이에 대한 솔루션을 만들고 보안을 강화할 수 있다.

침입 테스트는 수준이 다양하다. 버츄얼아머(VirtualArmour)에서 실시된 것 같이 잘 수행된 침입 테스트는 보안 시스템의 여러 영역을 테스트한다. 외부 침입 테스트는 누군가 외부에서 취약점이나 허점을 이용해 시스템에 침입한 후 액세스 권한을 획득하는 시도다. 내부 침입 테스트 또한 이와 유사하지만, 공격이 네트워크 내부에서 시작된다는 점에 차이가 있다(직원이 USB 메모리 카드를 습득한 시나리오, 악성 이메일 첨부 파일을 연 시나리오 등).

사이버 보안 침해에 대한 대비와 피해 최소화 노력의 일환으로 도상 훈련과 침입 테스트를 실시한다. 위험이 초래되지 않았을 때 가능한 침해 상황과 시스템에 대해 철저히 훈련을 한다. 그러면 실제 침해가 발생했을 때의 대비가 더 철저할 수 있다.

사이버 보안의 '토대'는 안전한 네트워크다. 그리고 네트워크를 계속 안전하게 유지하는 데 중요한 역할을 하는 것이 취약점 관리다. 취약점 지형과 환경은 아주 빠른 속도로 변한다. 따라서 가능한 빨리 보안 허점과 취약점을 파악, 패칭을 하고 위험을 경감해야 한다. 또한 해커들이 무차별 대입 공격, 보안 취약점 파악, 와이파이 네트워크 크랙에 사용하는 도구들도 계속 진화한다. 기업이 계속 안전을 유지하도록 도움을 주는 유용한 방법 가운데 하나가 도상 훈련과 침입 테스트 실시다. editor@itworld.co.kr  


X