2021.03.24

성공적인 침투 테스트를 위한 5가지 팁

Ax Sharma | CSO
기업 데이터 유출 및 랜섬웨어 사이버 공격 사례가 대폭 증가함에 따라 철저한 보안 평가 실시는 고객 데이터를 다루는 기업 운영에 불가피한 부분으로 자리잡았다. 전 세계 각지의 규정 준수 법안에 명시된 데이터 보호 요건에 따르면, 보안 통제 장치를 개선하고 기밀 정보 처리 시스템을 강화해야 하는 기업의 책임이 한층 더 커졌다.
 
ⓒ Getty Images Bank
 
이런 상황은 비록 단기적으로는 힘들겠지만 바람직한 방향이다. 초기에 사이버보안 전략을 계획해 두면 데이터 유출 시 기업이 겪게 되는 고액의 벌금과 평판 훼손 등 전반적인 고통을 미연에 방지할 수 있기 때문이다. 

심사숙고를 거친 보안 평가에 당연히 수반되는 것은 필수 자산에 대한 종합적인 침투 테스트(penetration test)이다. 본지에서 윤리적 해킹 전문가와 네트워크 보안 전문가와의 인터뷰를 통해 들어 본 성공적인 침투 테스트 프로그램을 위한 요령은 다음과 같다.


1. 고위험 자산 및 업무 워크플로우를 파악한다

일반적인 보안 평가 체크리스트를 사용하는 것보다는 해당 기업에 어떤 고위험 자산이 존재하고 비즈니스 로직과 어떻게 조화를 이루는지 파악하는 것이 관건이다. 침투 테스트를 할 고위험 자산 및 네트워크 세그먼트를 파악할 때 도움이 되는 것은 해당 기업의 약점에 대해 보다 전체적인 그림을 그리는 것이다. 이를 위해서는 발상의 전환이 필요할 수도 있다.

윤리적 해킹 그룹 사쿠라 사무라이(Sakura Samurai)의 창립자 존 잭슨은 “테스트 수행자가 효과적인 침투 테스트 방법론을 만들 때는 소속 기업이나 테스트 수행 대상 기업을 위한 구체적인 모델을 만드는 것을 목표로 삼아야 한다”라고 말했다. 

예를 들어, 침투 테스트 수행자는 웹 애플리케이션의 로그인 및 로그아웃 기능을 평가해야 한다거나, 원격 코드 실행으로 이어질 수 있는 서버 상의 유효 기간이 지난 버전을 찾는다. 이는 당연한 것이며, 대부분 알고 있는 수행 내용이다. 

업무 연속성을 해치고 금전/자산에 의도치 않은 피해를 입힐 수 있는 방법론이나 비즈니스 로직 결함도 있고, 조직의 평판을 훼손해 이해관계자 신뢰는 물론 제공 서비스에 대한 전반적인 신뢰성에 피해를 줄 수 있는 개인정보보호 취약점도 있다. 위협 행위자들은 술수가 뛰어나며 범위에 대해 신경쓰지 않는다. 의도된 기능인지 의도되지 않은 기능인지 상관하지 않는다. 


2. 침투 테스트 제공자에게 변화를 주거나 그 범위를 확장한다

블루캣 네트웍스(BlueCat Networks) 소프트웨어 보안 책임자 데이빗 맥스웰에 따르면, 설령 세계 최고의 침투 테스트 제공자를 찾아냈다 하더라도, 그들의 접근 방식과 기술, 도구 등이 다른 모든 침투 테스트 서비스의 상위 집합은 아니다. 

다양한 관점을 적용하면 다양한 문제를 알아낼 수 있다. 따라서 새로운 제공자의 침투 테스트를 받거나 예전에 만족했던 제공자들을 돌아가면서 고용하는 것을 주저해서는 안 된다. 

그러려면 때로는 안전지대를 벗어나야 할 수도 있지만 최신 사이버보안 동향을 따라잡는 데 도움이 될 수도 있고 협업을 촉진할 수도 있다.

사내 팀이든 외부 침투 테스트 팀이든 침투 테스트 범위 확장에 있어 공격적인 보안은 팀의 노력에 달려있다. 맥스웰은 “팀원들이 실제로 수행한 조치와 지시에 따라 한 기업이 적절한 방어 방법론을 익힐 수 있는 지 여부가 좌우된다"라고 말했다. 

테스트 수행자에 따라 웹 애플리케이션 해킹에 능한 경우가 있는가 하면, 소프트웨어 엔지니어로서 경력이 풍부하거나 IoT 해킹 능력을 갖춘 경우도 있을 수 있다. 

맥스웰은 "침투 테스트 모델에서는 취약점을 확대해 피해를 극대화하는 다른 기술과의 결합이 중요하다는 점이 강조돼야 한다. 예를 들어, 한 침투 테스트 수행자가 웹 애플리케이션 상에서의 원격 코드 실행에는 성공해도 네트워크 필터링 규칙 등으로 인해 서버 상의 리버스 셸 획득에는 실패할 수도 있다"라고 지적했다.

원격 코드 실행도 이미 중요한 결과지만, 다음 단계로의 확장은 우회 및 취약점 체이닝(chaining)에 배경이 있고 경험이 보다 풍부한 팀원이 필요할 수도 있다. 따라서, 침투 테스트 제공자에 변화를 주거나 사내 침투 테스트 팀이 내부적으로는 물론 외부 침투 테스트 팀과 협업하도록 장려하는 것이 좋다. 


3. IT 및 사이버보안 인프라를 이해한다 

자사의 사이버 인프라가 무엇이며 프로덕션 네트워크 상에 어떤 장치가 어디에 있는지에 대한 심도있는 지식은 침투 테스트 제공자를 고용하기 전에도 매우 중요하다. 

맥스웰은 "인프라 요소에 대한 심도있는 점검을 잊지 말고 주기적으로 시행해야 한다. 예를 들어, DNS의 경우, 터널링/유출, 타이포스쿼팅 도메인 등으로부터 보호되고 있는지, 아니면 정책 적용에 위협 정보를 사용 중인지 확인해야 한다. 방화벽, ID 관리, 인증, 저장도 마찬가지이다"라고 조언했다.
 
방화벽 업체 액셀리온(Accellion)의 취약한 파일 전송 장치(File Transfer Appliance, FTA)를 사용 중인 기업들을 대상으로 계속되고 있는 클롭(Clop) 랜섬웨어 그룹의 사이버 공격이 이 조언을 더욱 뒷받침한다. 액셀리온 침입 공격 결과, 액셀리온 FTA를 사용한 여러 기업을 대상으로 한 데이터 탈취 시도가 일어났다. 

일련의 액셀리온 공격으로 최근 피해를 입은 업체 중에는 사이버보안 업체 퀄시스(Qualsys)가 있다. 한 뉴스 보도에 따르면, 액셀리온 FTA가 fts-na.qualys.com에 위치해 있었고, 서버에서 사용된 IP 주소가 퀄시스에 할당되어 있다. 퀄시스는 그 후 FTA를 해체했고 마지막으로 활성화된 것은 2021년 2월 18일인 것으로 쇼단(Shodan)을 통해 확인됐다. 

클롭 랜섬웨어 그룹은 인터넷에 접한 FTA를 악용하는 방식으로 퀄시스의 네트워크에 침투해 퀄시스 고객 가운데 일부에게 영향을 미칠 수 있었다. 그러나 퀄시스의 사전 인프라 계획 덕분에 큰 피해는 막았다. 이 장치가 프로덕션 시스템과는 별도의 네트워크인 DMZ에 배치됐기 때문이다. 퀄시스 CISO 벤 카는 “액셀리온 FTA 서버와 자사의 프로덕션 고객 데이터 환경(퀄시스 클라우드 플랫폼) 사이에는 연결성이 전혀 없었다”라고 설명했다.

이런 실제 사례를 통해 해당 네트워크 인프라에 대한 지식과 장치들을 적절히 분리해 두는 조치가 얼마나 도움이 되는지 알 수 있다. 설령 특정 하위 네트워크 상의 취약한 장치에 침입이 일어나도 보안 통제 장치가 제대로 준비되어 있으면 침투 테스트 수행자 또는 위협 행위자가 중요한 표적에 도달하는 일이 어려워진다.


4. 침투 테스트 범위에 속한 내용을 규정한다 

자사의 네트워크와 시스템을 심도있게 점검해 해당 네트워크 상의 어디에 무엇이 상주하는지 파악한 다음에 할 일은 침투 테스트 범위에 있어야 할 내용을 규정하는 일과 교전 규칙을 작성하는 일이다. 

침투 테스트의 종류는 화이트박스인지 아니면 블랙박스인지, 직원 워크스테이션의 표적만 범위로 삼을지, 아니면 근무 시간 외에 프로덕션 서버도 포함시킬지, 도메인 접수 위험을 범위의 일부로 포함시켜야 할 지 등의 문제를 해결해야 한다.

이런 방식은 기업들이 버그 포상금 프로그램으로 보안을 크라우드 소싱하는 방식과 크게 다르지 않다. 버그 포상금 프로그램에서는 기업의 어떤 시스템은 테스트해도 좋고 어떤 것은 건드려서는 안 되는지 구체적으로 명시된다. 이를 통해 자산도 보호되고 침투 테스트 제공자에 대한 법적 책임 최소화에 도움이 될 수도 있다. 


5. 진화하는 위협 및 규정 변화에 주의한다

지난 10년간 위협 행위자의 전술과 표적, 공격 벡터들은 계속 진화되어 왔다. 심지어는 목적도 크게 바뀌었다. 예를 들면, 랜섬웨어 공격자들은 대부분 금전적인 이득이 목적인 반면, 솔라윈즈(SolarWinds) 공급망 공격 배후에 있는 위협 행위자들의 관심사는 국가적 첩보 활동이었다.

이처럼 광범위한 공급망 공격이 자행되자 규제 당국은 소프트웨어 업체에 대한 전 세계적인 추가 규칙 실행 강화에 나섰다. 일례로 싱가폴 통화청(MAS)은 이제 모든 금융기관에게 이용 중인 소프트웨어 업체의 평가를 요구하고 있다. 즉, 소프트웨어 소스 코드가 철저한 테스트를 거쳤고 안전한 프로그래밍 관행을 준수한다는 것을 입증해야 한다. 

예전에는 위협 행위자들이 일반적으로 알려진 취약점을 악용한 반면, 최근에는 사전에 탐지하기 어려워진 위협들, 즉 제로데이(zero-day) 악용과 ‘의존성 혼동(dependency confusion)’과 같은 공급망 공격이 대세로 자리잡고 있어 새로운 침투 테스트 전략이 요구되고 있다. 알렉스 버산의 개념 증명 공격이 마이크로소프트(Microsoft), 애플(Apple), 테슬라(Tesla), 우버(Uber) 등 35곳이 넘는 기술 업체를 강타한 직후에 악성 모방 공격이 나타났다.

따라서, 종전에는 침투 테스트 수행자들이 시스템 상에 알려진 취약점을 악용하는 것에만 집중한 반면, 공급망 공격의 효과가 드러나고 의존성 혼동 공격이 새롭게 등장하면서 침투 테스트 수행자에게 더 많은 가능성이 열리고 있고 있다. 침투 테스트 제공자 입장에서는 이렇게 증가한 표면 벡터를 추가해야 하고 이런 점이 테스트 범위에 포함되는지 확인해야 한다는 의미이기도 하다. editor@itworld.co.kr 


2021.03.24

성공적인 침투 테스트를 위한 5가지 팁

Ax Sharma | CSO
기업 데이터 유출 및 랜섬웨어 사이버 공격 사례가 대폭 증가함에 따라 철저한 보안 평가 실시는 고객 데이터를 다루는 기업 운영에 불가피한 부분으로 자리잡았다. 전 세계 각지의 규정 준수 법안에 명시된 데이터 보호 요건에 따르면, 보안 통제 장치를 개선하고 기밀 정보 처리 시스템을 강화해야 하는 기업의 책임이 한층 더 커졌다.
 
ⓒ Getty Images Bank
 
이런 상황은 비록 단기적으로는 힘들겠지만 바람직한 방향이다. 초기에 사이버보안 전략을 계획해 두면 데이터 유출 시 기업이 겪게 되는 고액의 벌금과 평판 훼손 등 전반적인 고통을 미연에 방지할 수 있기 때문이다. 

심사숙고를 거친 보안 평가에 당연히 수반되는 것은 필수 자산에 대한 종합적인 침투 테스트(penetration test)이다. 본지에서 윤리적 해킹 전문가와 네트워크 보안 전문가와의 인터뷰를 통해 들어 본 성공적인 침투 테스트 프로그램을 위한 요령은 다음과 같다.


1. 고위험 자산 및 업무 워크플로우를 파악한다

일반적인 보안 평가 체크리스트를 사용하는 것보다는 해당 기업에 어떤 고위험 자산이 존재하고 비즈니스 로직과 어떻게 조화를 이루는지 파악하는 것이 관건이다. 침투 테스트를 할 고위험 자산 및 네트워크 세그먼트를 파악할 때 도움이 되는 것은 해당 기업의 약점에 대해 보다 전체적인 그림을 그리는 것이다. 이를 위해서는 발상의 전환이 필요할 수도 있다.

윤리적 해킹 그룹 사쿠라 사무라이(Sakura Samurai)의 창립자 존 잭슨은 “테스트 수행자가 효과적인 침투 테스트 방법론을 만들 때는 소속 기업이나 테스트 수행 대상 기업을 위한 구체적인 모델을 만드는 것을 목표로 삼아야 한다”라고 말했다. 

예를 들어, 침투 테스트 수행자는 웹 애플리케이션의 로그인 및 로그아웃 기능을 평가해야 한다거나, 원격 코드 실행으로 이어질 수 있는 서버 상의 유효 기간이 지난 버전을 찾는다. 이는 당연한 것이며, 대부분 알고 있는 수행 내용이다. 

업무 연속성을 해치고 금전/자산에 의도치 않은 피해를 입힐 수 있는 방법론이나 비즈니스 로직 결함도 있고, 조직의 평판을 훼손해 이해관계자 신뢰는 물론 제공 서비스에 대한 전반적인 신뢰성에 피해를 줄 수 있는 개인정보보호 취약점도 있다. 위협 행위자들은 술수가 뛰어나며 범위에 대해 신경쓰지 않는다. 의도된 기능인지 의도되지 않은 기능인지 상관하지 않는다. 


2. 침투 테스트 제공자에게 변화를 주거나 그 범위를 확장한다

블루캣 네트웍스(BlueCat Networks) 소프트웨어 보안 책임자 데이빗 맥스웰에 따르면, 설령 세계 최고의 침투 테스트 제공자를 찾아냈다 하더라도, 그들의 접근 방식과 기술, 도구 등이 다른 모든 침투 테스트 서비스의 상위 집합은 아니다. 

다양한 관점을 적용하면 다양한 문제를 알아낼 수 있다. 따라서 새로운 제공자의 침투 테스트를 받거나 예전에 만족했던 제공자들을 돌아가면서 고용하는 것을 주저해서는 안 된다. 

그러려면 때로는 안전지대를 벗어나야 할 수도 있지만 최신 사이버보안 동향을 따라잡는 데 도움이 될 수도 있고 협업을 촉진할 수도 있다.

사내 팀이든 외부 침투 테스트 팀이든 침투 테스트 범위 확장에 있어 공격적인 보안은 팀의 노력에 달려있다. 맥스웰은 “팀원들이 실제로 수행한 조치와 지시에 따라 한 기업이 적절한 방어 방법론을 익힐 수 있는 지 여부가 좌우된다"라고 말했다. 

테스트 수행자에 따라 웹 애플리케이션 해킹에 능한 경우가 있는가 하면, 소프트웨어 엔지니어로서 경력이 풍부하거나 IoT 해킹 능력을 갖춘 경우도 있을 수 있다. 

맥스웰은 "침투 테스트 모델에서는 취약점을 확대해 피해를 극대화하는 다른 기술과의 결합이 중요하다는 점이 강조돼야 한다. 예를 들어, 한 침투 테스트 수행자가 웹 애플리케이션 상에서의 원격 코드 실행에는 성공해도 네트워크 필터링 규칙 등으로 인해 서버 상의 리버스 셸 획득에는 실패할 수도 있다"라고 지적했다.

원격 코드 실행도 이미 중요한 결과지만, 다음 단계로의 확장은 우회 및 취약점 체이닝(chaining)에 배경이 있고 경험이 보다 풍부한 팀원이 필요할 수도 있다. 따라서, 침투 테스트 제공자에 변화를 주거나 사내 침투 테스트 팀이 내부적으로는 물론 외부 침투 테스트 팀과 협업하도록 장려하는 것이 좋다. 


3. IT 및 사이버보안 인프라를 이해한다 

자사의 사이버 인프라가 무엇이며 프로덕션 네트워크 상에 어떤 장치가 어디에 있는지에 대한 심도있는 지식은 침투 테스트 제공자를 고용하기 전에도 매우 중요하다. 

맥스웰은 "인프라 요소에 대한 심도있는 점검을 잊지 말고 주기적으로 시행해야 한다. 예를 들어, DNS의 경우, 터널링/유출, 타이포스쿼팅 도메인 등으로부터 보호되고 있는지, 아니면 정책 적용에 위협 정보를 사용 중인지 확인해야 한다. 방화벽, ID 관리, 인증, 저장도 마찬가지이다"라고 조언했다.
 
방화벽 업체 액셀리온(Accellion)의 취약한 파일 전송 장치(File Transfer Appliance, FTA)를 사용 중인 기업들을 대상으로 계속되고 있는 클롭(Clop) 랜섬웨어 그룹의 사이버 공격이 이 조언을 더욱 뒷받침한다. 액셀리온 침입 공격 결과, 액셀리온 FTA를 사용한 여러 기업을 대상으로 한 데이터 탈취 시도가 일어났다. 

일련의 액셀리온 공격으로 최근 피해를 입은 업체 중에는 사이버보안 업체 퀄시스(Qualsys)가 있다. 한 뉴스 보도에 따르면, 액셀리온 FTA가 fts-na.qualys.com에 위치해 있었고, 서버에서 사용된 IP 주소가 퀄시스에 할당되어 있다. 퀄시스는 그 후 FTA를 해체했고 마지막으로 활성화된 것은 2021년 2월 18일인 것으로 쇼단(Shodan)을 통해 확인됐다. 

클롭 랜섬웨어 그룹은 인터넷에 접한 FTA를 악용하는 방식으로 퀄시스의 네트워크에 침투해 퀄시스 고객 가운데 일부에게 영향을 미칠 수 있었다. 그러나 퀄시스의 사전 인프라 계획 덕분에 큰 피해는 막았다. 이 장치가 프로덕션 시스템과는 별도의 네트워크인 DMZ에 배치됐기 때문이다. 퀄시스 CISO 벤 카는 “액셀리온 FTA 서버와 자사의 프로덕션 고객 데이터 환경(퀄시스 클라우드 플랫폼) 사이에는 연결성이 전혀 없었다”라고 설명했다.

이런 실제 사례를 통해 해당 네트워크 인프라에 대한 지식과 장치들을 적절히 분리해 두는 조치가 얼마나 도움이 되는지 알 수 있다. 설령 특정 하위 네트워크 상의 취약한 장치에 침입이 일어나도 보안 통제 장치가 제대로 준비되어 있으면 침투 테스트 수행자 또는 위협 행위자가 중요한 표적에 도달하는 일이 어려워진다.


4. 침투 테스트 범위에 속한 내용을 규정한다 

자사의 네트워크와 시스템을 심도있게 점검해 해당 네트워크 상의 어디에 무엇이 상주하는지 파악한 다음에 할 일은 침투 테스트 범위에 있어야 할 내용을 규정하는 일과 교전 규칙을 작성하는 일이다. 

침투 테스트의 종류는 화이트박스인지 아니면 블랙박스인지, 직원 워크스테이션의 표적만 범위로 삼을지, 아니면 근무 시간 외에 프로덕션 서버도 포함시킬지, 도메인 접수 위험을 범위의 일부로 포함시켜야 할 지 등의 문제를 해결해야 한다.

이런 방식은 기업들이 버그 포상금 프로그램으로 보안을 크라우드 소싱하는 방식과 크게 다르지 않다. 버그 포상금 프로그램에서는 기업의 어떤 시스템은 테스트해도 좋고 어떤 것은 건드려서는 안 되는지 구체적으로 명시된다. 이를 통해 자산도 보호되고 침투 테스트 제공자에 대한 법적 책임 최소화에 도움이 될 수도 있다. 


5. 진화하는 위협 및 규정 변화에 주의한다

지난 10년간 위협 행위자의 전술과 표적, 공격 벡터들은 계속 진화되어 왔다. 심지어는 목적도 크게 바뀌었다. 예를 들면, 랜섬웨어 공격자들은 대부분 금전적인 이득이 목적인 반면, 솔라윈즈(SolarWinds) 공급망 공격 배후에 있는 위협 행위자들의 관심사는 국가적 첩보 활동이었다.

이처럼 광범위한 공급망 공격이 자행되자 규제 당국은 소프트웨어 업체에 대한 전 세계적인 추가 규칙 실행 강화에 나섰다. 일례로 싱가폴 통화청(MAS)은 이제 모든 금융기관에게 이용 중인 소프트웨어 업체의 평가를 요구하고 있다. 즉, 소프트웨어 소스 코드가 철저한 테스트를 거쳤고 안전한 프로그래밍 관행을 준수한다는 것을 입증해야 한다. 

예전에는 위협 행위자들이 일반적으로 알려진 취약점을 악용한 반면, 최근에는 사전에 탐지하기 어려워진 위협들, 즉 제로데이(zero-day) 악용과 ‘의존성 혼동(dependency confusion)’과 같은 공급망 공격이 대세로 자리잡고 있어 새로운 침투 테스트 전략이 요구되고 있다. 알렉스 버산의 개념 증명 공격이 마이크로소프트(Microsoft), 애플(Apple), 테슬라(Tesla), 우버(Uber) 등 35곳이 넘는 기술 업체를 강타한 직후에 악성 모방 공격이 나타났다.

따라서, 종전에는 침투 테스트 수행자들이 시스템 상에 알려진 취약점을 악용하는 것에만 집중한 반면, 공급망 공격의 효과가 드러나고 의존성 혼동 공격이 새롭게 등장하면서 침투 테스트 수행자에게 더 많은 가능성이 열리고 있고 있다. 침투 테스트 제공자 입장에서는 이렇게 증가한 표면 벡터를 추가해야 하고 이런 점이 테스트 범위에 포함되는지 확인해야 한다는 의미이기도 하다. editor@itworld.co.kr 


X