네트워크 / 보안

"끝없는 고양이-쥐 게임" 6가지 보안 위협과 대처법

John Edwards | Network World 2022.05.17
기업 내부망을 벗어난 바깥세상은 전쟁터다. 끝이 없어 보이는 사이버 '고양이와 쥐' 게임 속에서 정확한 정보는 여전히 공격자를 물리치는 최고의 무기다. 오늘날 6가지 주요 네트워크 위협과 이를 확인해 해결하는 방법을 정리했다.
 
ⓒ Getty Images Bank
 

랜섬웨어

랜섬웨어(Ransomware)는 공격자에게 최고의 가성비를 제공하면서 검거될 확률이 상대적으로 낮기 때문에 가장 큰 네트워크 위협이라 할 수 있다. 사이버 보안 및 준법 감시 기업 쉘먼(Schellman)의 수석 평가자 앤디 로저스는 “스킬 카테고리의 진입 장벽도 낮다. 많은 RaaS(Ransomware as a Service) 기업이 랜섬웨어 캠페인에 필요한 툴을 제공한다. 이런 ‘서비스 제공자’는 스스로 그 어떤 공격도 감행하지 않기 때문에 위험이 매우 적으므로, 꽤 달콤한 사업이다. 또한 결제는 암호화폐의 형태로 이루어지기 때문에 추적하기가 어렵다"라고 말했다.

랜섬웨어는 익명성과 높은 몸값 때문에 세계에서 가장 수익성이 높은 범죄 산업이 됐다. 로저스는 “2021년의 콜로니얼 파이프라인(Colonial Pipeline) 등 최근 세간의 이목을 집중시킨 공급망 공격 중 다수가 랜섬웨어 공격이었으며, HDD(Hard Disk Drive)와 SSD(Solid State Drive)가 암호화되고 해커가 이를 사용해 최대 440만 달러의 대가를 암호화폐로 요구했다”라고 말했다.

랜섬웨어 피해를 방지하는 최선의 방법은 보안 인식 교육 등 탄탄한 보안 정책과 절차를 마련하는 것이다. 로저스는 "월간 시스템 및 애플리케이션 패치뿐 아니라 중요한 시스템과 데이터로부터 패치할 수 없는 취약한 시스템을 분리하는 것이 좋다. 데이터를 정기적으로 백업하되 랜섬웨어가 쓸 수 없는 방식으로 해야 한다”고 말했다.
 

좀비 봇넷

좀비 봇넷은 DDoS(Distributed Denial of Service) 공격, 키로깅, 스팸 등의 특정 악성 활동을 위해 개발된다. 데이터센터 서비스 기업 TRG 데이터센터스(TRG Datacenters)의 수석 네트워크 엔지니어 에릭 맥기는 “이런 위협을 활용해 신원을 훔치거나 단일 공격으로 네트워크 전체를 훼손할 수 있기 때문에 매우 위협적이다”라고 말했다.

봇넷의 각 컴퓨터(그리고 그 소유자)는 기기가 '아무 생각 없이' 악의적인 활동을 수행한다는 사실을 모르기 때문에 일종의 좀비라고 할 수 있다. 스마트 IoT(Internet of Things) 기기는 특히 좀비 봇넷 공격의 매력적인 표적이다.

맥기는 “IoT 기기의 보안을 간과하기 쉬운데 이런 기기는 공격자가 시스템에 대한 액세스를 획득하는 가장 쉬운 방법인 경우가 많다. 각 기기가 인바운드 연결을 여는 기능을 제한하고 모든 연결된 계정에서 강력한 비밀번호를 설정하도록 해 IoT 네트워크에서 좀비 봇넷을 차단할 수 있다"라고 말했다.
 

오래된 프로세스와 정책

구식의 고립된 수동 프로세스와 정책은 네트워크 보안에 심각한 위협을 가한다. GDIT(General Dynamics)의 기술 부사장 로버트 스몰우드는 “새로운 취약성과 잠재적인 취약점 공격의 수가 기하급수적으로 늘고 있다. 기업의 프로세스와 정책은 민첩성을 확보하고 기업이 신속하게 자동으로 새로운 위협에 대응할 수 있도록 해야 한다”라고 말했다.

뒤처지거나 심지어 현대화 및 갱신 프로세스를 완전히 간과하는 기업은 오히려 네트워크의 공격 표면을 확대하는 기술 부채를 짊어지게 된다. 스몰우드는 "많은 기업이 경직되고 오래된 정책을 유지하면서 최신 네트워크를 구성하는 자동화된 하이브리드 복합 환경을 활용하지 못하고 있다. 또한 많은 기업이 위협 완화를 충분히 제공하지 않으면서 구형 프로토콜에 대한 정책 예외를 설정해 다중 인증 등의 보안 조치를 피하고 있다”라고 지적했다.

따라서 중요한 프로세스는 근본적인 변화 관리 업무에 포함해 정기적으로 확인해야 한다. 스몰우드는 “네트워크에 영향을 미치는 변화가 생기면서 관련된 프로세스와 정책을 평가해야 한다. 일부 기업은 전체 네트워크 관련 프로세스의 평가가 필요할 수 있다. 이런 경우에 일반적인 IT 서비스 관리 활동뿐 아니라 수동 활동에 크게 의존하는 프로세스부터 시작하는 것이 가장 좋다"라고 말했다.
 

중간자 공격

중간자(MTM, Man-in-the-middle) 공격은 제삼자가 2명의 의심하지 않는 당사자 사이의 의사소통을 가로채 교환하는 데이터를 도청하거나 변경하는 것이다. 이는 IP 주소 위장, 악성 프록시 서버 사용, Wi-Fi 도청 등 다양한 방식으로 이뤄진다.

MTM 공격은 사용자 이름과 비밀번호를 훔치기 위한 자격 증명 스니 핑 등 상대적으로 단순한 방식부터, 특정 범죄 목적을 달성하기 위해 매우 현실적인 가짜 웹 사이트로 피해자를 이동시키는 정교한 속임수까지 다양하다. 형태에 상관없이 MTM 공격은 네트워크에 침투한 공격자가 횡 방향으로 공격하고 네트워크의 한 부분에서 시작한 후 다른 영역으로 이동할 수 있는 취약성을 악용하기 때문에 매우 위험하다.

중요 인프라 네트워크 보호에 특화된 기업 OPSWAT의 CEO 베니 차니는 “공격자는 ‘유효한’ 자격 증명으로 로그인하기 때문에 침입을 감지하기 어려운 경우가 많다. 따라서 네트워크 깊숙이 침투할 수 있는 시간을 번다”라고 말했다. 보안 훈련 기업 인포섹 인스티튜트(Infoxec Institute)의 수석 보안 연구원 키트론 에반스도 "MTM 공격을 간과하는 경우가 많다. 사람들은 전송 중인 데이터를 암호화하여 대응할 수 있다고 생각하지만 이를 통해서는 일부만 해결할 뿐이다”라고 말했다.

또 다른 오해는 기업이 클라우드 서비스로 마이그레이션하는 순간 네트워크 기반 위협이 마법처럼 사라질 것으로 생각하는 것이다. 에반스는 “사실이 아니다. 클라우드 서비스로 마이그레이션한 후에도 부지런해야 한다”라고 말했다.

에반스는 MTM 공격을 피하는 방법으로 DHCP 스누핑 및 DARP(Dynamic Address Resolution Protocol) 검사를 통한 포트 기반 보안 추가 및 가능한 한 신속하게 IPv6로 업그레이드하는 것을 조언했다. 또한 네트워크 기반 중간자 공격의 주요 요소인 ARP를 NDP(Neighbor Discovery Protocol)라는 새로운 프로토콜로 대체하는 것도 추천했다.
 

BEC(Business Email Compromise)

BEC는 모든 산업의 모든 기업이 직면한 심각한 네트워크 위협이다. 관리형 감지 및 대응 사이버 보안 기업 엑스펠(Expel)의 위협 감지 및 대응 책임자 조나단 헨신스키는 “기업이 점차 SSO(Single Sign-On) 등 조건부 액세스 정책을 도입하면서 BEC 사기의 범위와 피해가 커지고 있다”라고 말했다.

BEC 공격은 자격 증명 해킹으로 직접 이어진다. 가장 감지하기 가장 어려운 BEC 유형은 공격자가 유효한 자격 증명을 통해 정문을 통해 들어오는 것이다. BEC 공격은 VPN과 호스팅 제공자를 이용해 조건부 액세스 정책을 우회한다. 헨신스키는 “이런 유형의 대표적인 공격 방법은 구형 프로토콜을 사용해 오피스 365의 다중 인증(MFA)을 피하는 것이다. 공격자가 자격 증명을 해킹해 네트워크에 침투하면 기업 전반의 중요 컨트롤과 민감한 정보에 대한 액세스 권한을 탈취할 수 있다”라고 말했다.

BEC 공격은 어느 네트워크에나 언제든지 수행할 수 있다. 헨신스키는 “2019년 이후로 해킹된 계정에 액세스하기 위해 VPN 서비스와 호스팅 제공자를 이용하는 비율이 50% 증가했다. 이런 서비스를 통해 공격자는 지역 IP 기록에 따라 특정 국가의 로그인을 거부하는 조건부 액세스 정책을 우회한다”라고 말했다.

헨신스키에 따르면, BEC 시도를 감지하는 것은 3단계 프로세스로 구성된다. 1단계는 직원 자격 증명을 훔치려 시도하는 피싱 이메일을 방지하고 감지하며 위협 활동자가 직원의 계정을 사용해 피싱 이메일을 전송할 때 찾아내는 이메일 검사다. 2단계는 훔친 자격 증명 사용을 감지하는 인증 모니터링이고, 3단계는 BEC 계정 탈취 특징 조짐을 감지하는 계정 모니터링이다.
 

툴 난립

IT 및 네트워크 리더가 다양한 네트워크 보호 기술을 활용하는 가운데, 이런 툴의 분산으로 인해 기업의 보안위 위협받기도 한다. 툴 분산으로 인한 사이버 복잡성과 손쉬운 사이버 보안 관리의 부재로 인해 IT와 보안팀이 사이버 공격에 노출될 수 있는 것이다.

네트워크 보안 서비스 기업 페리미터81(Perimeter81)의 CEO 겸 공동 설립자 아밋 바레켓은 "최근 설문조사 결과를 보면, CIO와 관련된 임원 중 71%가 너무 많은 사이버 툴 때문에 능동적인 공격을 감지하거나 데이터 유출을 방어하기가 더 어렵다고 생각하는 것으로 나타났다"라고 말했다.

EY 컨설팅(EY Consulting)의 사이버 보안 상무이사 케이스 물라스키에 따르면, 기본적인 보안 활동을 준수하는 것이 모든 유형의 네트워크 위협에 대응하는 최선의 방법이다. 그는 “업무에 필수적인 시스템과 네트워크를 인터넷으로부터 분리하고 액세스 권한 소유자를 엄격히 통제해야 한다"라고 말했다.

아무것도 믿지 말고 운영 시스템의 모든 것을 분리하는 것도 좋다. 물라스키는 “‘절대적인 신뢰’에 주의해야 한다. 네트워크에 액세스하는 모든 것과 모든 사람은 위치, 액세스 시기, 신원에 상관없이 인증받아야 한다”라고 말했다. 이어 "더욱 잘 대비하기 위해 예정된 시뮬레이션을 실시해야 한다. 운동선수처럼 팀이 머슬 메모리(muscle memory)를 강화해 유출 또는 사고 발생 시 신속하게 더 직관적으로 대응 절차를 실행하도록 해야 한다”라고 말했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.