2016.08.30

해커들이 말하는 '침투하기 어려운' 네트워크란?

Thor Olavsrud | CIO

화이트 해커, 블랙 해커 그리고 그 중간 어딘가에 있는 해커 대부분은 안전한 암호는 없다고 밝혔다. 이 해커들에 따르면, 이들이 법을 지키느냐 여부와 상관없이 기업 네트워크 침투를 훨씬 어렵게 만드는 5가지 조치가 있다.


Credit : IDG

이번 달 초 라스베이거스에서 열린 블랙햇 USA 2016 컨퍼런스에서 PAM(privileged account management) 솔루션 전문 업체인 티코틱(Thycotic)은 자신을 해커(응답자는 익명)라고 밝힌 250명 이상의 참석자들을 대상으로 조사했다. 응답자의 84%는 자신을 ‘기업들이 취약점을 발견하고 고치는데 도움을 주는 화이트 해커’라고 밝혔다. 그리고 15%는 범죄 의도를 가지고 네트워크에 침투하는 블랙 해커라고 말했다.

CISSP(Certified Information Systems Security Professional)이자 티코틱의 글로벌 얼라이언스 총괄인 조셉 카슨은 “선택지에 ‘그레이 해커’도 넣어 달라는 요청이 올해 아주 많았는데 이번 조사에는 적용되지 않았다”고 전했다.

그레이 해커는 블랙 해커와 화이트 해커의 중간에 위치한다. 이들은 자신들이 발견한 제로데이 취약점을 정부기관, 법 집행기관, 정보기관, 군대 등에 공개하거나 판매한다. 궁극적으로 해커들은 5가지 핵심 조치들을 다음과 같이 순서를 매겼는데 블랙 해커들은 한가지 핵심 분야에서만 차이를 보였다.

1. 시스템에 대한 운영자 접근 계정을 제한하라
우선 무엇보다 네트워크를 안전하게 하려는 본격적인 시도는 특수 계정에서 시작해야 한다. 특수 계정은 네트워크 내 접근 권한을 탈취하고 어디로든 이동하려는 공격자들의 최고 표적으로 만드는 ‘핵심’이다.

티코틱은 자체 블랙햇 2016: 해커 조사 보고서에 다음과 같이 설명했다.

“우선 공격자들은 어떻게 해서든 네트워크에 발을 들이고자 종종 최종사용자 컴퓨터를 침투하는 방식을 통하고 이후 특수 계정에 침투해 자신들의 권한을 격상시킨다. 이는 공격자가 믿을 수 있는 IT운영자처럼 네트워크에서 운영할 수 있게 해준다.”

이러한 공격에 대응하려면 기업은 특수를 최소화하는 전략을 채택해야 한다. 특권을 요청해서 승인받을 때만 주어지도록 하면 공격자가 이 계정의 암호나 해시를 표적화함으로써 전체 네트워크에 침투하는 기회를 제한할 수 있다.

티코틱은 보고서에서 “최종 사용자를 표준 사용자 프로필에 설정하고 승인받고 믿을 수 있는 애플리케이션만 실행하도록 그들의 특권을 자동 승격시킴으로써 최종 사용자 워크스테이션상에 최소 특권을 강제하라”고 적었다. 이어서 “IT 운영자 특수 계정에 대한 접근을 통제하고 윈도우와 유닉스 시스템용 고급사용자 권한 관리를 이행해 공격자가 악성 애플리케이션을 구동하고 원격으로 툴과 명령에 접속하는 것을 막는다”고 덧붙였다.

추가로 IT 운영자들은 필요할 때만 자신들의 특수 계정을 활용해야 한다. 권한이 필요하지 않을 때는 표준 계정을 대신 써야 한다.

2. 특수 계정 암호를 보호하라
특수 계정을 이를 가진 사람 이용자의 관점에서 생각하는 함정에 빠지기 쉽다. 하지만 특수 계정은 기계와 시스템과도 커뮤니케이션 하도록 만든다.

기업에는 보통 직원 수보다 2~3배 많은 특수 계정이 있다. 카슨은 구축해 놓은 모든 시스템에는 기본설정 계정이 딸려 나오고 그 시스템들은 유지관리를 위해 서비스 계정으로 연결된다고 이야기했다. 구축된 각각의 가상 머신도 이들과 연결된 기기가 다운될 때 기간이 정해지지 않는 권한을 받는다. 그리고 만약 가상 머신이 복제되면 그 권한도 기계와 함께 복제된다. 그 결과 기업은 자사 네트워크 환경에 대한 접근 권한을 가진 수많은 불량 특수 계정을 남기게 된다.

“그래서 특수 계정을 탈취하는 것은 공격자들에게 조직의 가장 민감한 데이터에 접속해 다운로드하고, 데이터를 오염시키며, 악성코드를 널리 퍼뜨리고, 기존 보안 통제를 우회하며, 자신들의 활동을 감추기 위해 감정 경로를 지우는 능력을 준다”고 타이코는 보고서에 적었다. 이 보고서에 따르면, 능동적으로 특수 계정 접속을 관리, 모니터링, 통제하는 것이 핵심이며, 이 계정들에 대한 안전한 관리는 오늘날 IT 인프라에 필요하며 매우 중요하다.

게다가 기업들은 여전히 특수 계정 암호를 관리하기 위해 스프레드시트 같은 수동 시스템을 자주 이용하고 있다. 카슨에 따르면, 이 방식은 비효율적일 뿐 아니라 그런 시스템 자체는 쉽게 해킹돼 전체 기업에 엄청난 보안 위험을 안긴다.

“특수 계정 암호 보호는 자동으로 특수 계정을 발견해 저장하고 암호 순환 일정을 잡아 개별 특권 세션 활동을 감사하고, 분석하며, 관리하고 악성 활동을 빠르게 감지하고 대응하기 위한 암호 계정을 모니터링 하는 포괄적 솔루션을 제공한다”고 티코틱은 주장했다. “이는 네트워크 내부로부터 특수 계정을 보호하기 위해 새로운 보안 레이어를 추가한다”고 보고서는 전했다.
 




2016.08.30

해커들이 말하는 '침투하기 어려운' 네트워크란?

Thor Olavsrud | CIO

화이트 해커, 블랙 해커 그리고 그 중간 어딘가에 있는 해커 대부분은 안전한 암호는 없다고 밝혔다. 이 해커들에 따르면, 이들이 법을 지키느냐 여부와 상관없이 기업 네트워크 침투를 훨씬 어렵게 만드는 5가지 조치가 있다.


Credit : IDG

이번 달 초 라스베이거스에서 열린 블랙햇 USA 2016 컨퍼런스에서 PAM(privileged account management) 솔루션 전문 업체인 티코틱(Thycotic)은 자신을 해커(응답자는 익명)라고 밝힌 250명 이상의 참석자들을 대상으로 조사했다. 응답자의 84%는 자신을 ‘기업들이 취약점을 발견하고 고치는데 도움을 주는 화이트 해커’라고 밝혔다. 그리고 15%는 범죄 의도를 가지고 네트워크에 침투하는 블랙 해커라고 말했다.

CISSP(Certified Information Systems Security Professional)이자 티코틱의 글로벌 얼라이언스 총괄인 조셉 카슨은 “선택지에 ‘그레이 해커’도 넣어 달라는 요청이 올해 아주 많았는데 이번 조사에는 적용되지 않았다”고 전했다.

그레이 해커는 블랙 해커와 화이트 해커의 중간에 위치한다. 이들은 자신들이 발견한 제로데이 취약점을 정부기관, 법 집행기관, 정보기관, 군대 등에 공개하거나 판매한다. 궁극적으로 해커들은 5가지 핵심 조치들을 다음과 같이 순서를 매겼는데 블랙 해커들은 한가지 핵심 분야에서만 차이를 보였다.

1. 시스템에 대한 운영자 접근 계정을 제한하라
우선 무엇보다 네트워크를 안전하게 하려는 본격적인 시도는 특수 계정에서 시작해야 한다. 특수 계정은 네트워크 내 접근 권한을 탈취하고 어디로든 이동하려는 공격자들의 최고 표적으로 만드는 ‘핵심’이다.

티코틱은 자체 블랙햇 2016: 해커 조사 보고서에 다음과 같이 설명했다.

“우선 공격자들은 어떻게 해서든 네트워크에 발을 들이고자 종종 최종사용자 컴퓨터를 침투하는 방식을 통하고 이후 특수 계정에 침투해 자신들의 권한을 격상시킨다. 이는 공격자가 믿을 수 있는 IT운영자처럼 네트워크에서 운영할 수 있게 해준다.”

이러한 공격에 대응하려면 기업은 특수를 최소화하는 전략을 채택해야 한다. 특권을 요청해서 승인받을 때만 주어지도록 하면 공격자가 이 계정의 암호나 해시를 표적화함으로써 전체 네트워크에 침투하는 기회를 제한할 수 있다.

티코틱은 보고서에서 “최종 사용자를 표준 사용자 프로필에 설정하고 승인받고 믿을 수 있는 애플리케이션만 실행하도록 그들의 특권을 자동 승격시킴으로써 최종 사용자 워크스테이션상에 최소 특권을 강제하라”고 적었다. 이어서 “IT 운영자 특수 계정에 대한 접근을 통제하고 윈도우와 유닉스 시스템용 고급사용자 권한 관리를 이행해 공격자가 악성 애플리케이션을 구동하고 원격으로 툴과 명령에 접속하는 것을 막는다”고 덧붙였다.

추가로 IT 운영자들은 필요할 때만 자신들의 특수 계정을 활용해야 한다. 권한이 필요하지 않을 때는 표준 계정을 대신 써야 한다.

2. 특수 계정 암호를 보호하라
특수 계정을 이를 가진 사람 이용자의 관점에서 생각하는 함정에 빠지기 쉽다. 하지만 특수 계정은 기계와 시스템과도 커뮤니케이션 하도록 만든다.

기업에는 보통 직원 수보다 2~3배 많은 특수 계정이 있다. 카슨은 구축해 놓은 모든 시스템에는 기본설정 계정이 딸려 나오고 그 시스템들은 유지관리를 위해 서비스 계정으로 연결된다고 이야기했다. 구축된 각각의 가상 머신도 이들과 연결된 기기가 다운될 때 기간이 정해지지 않는 권한을 받는다. 그리고 만약 가상 머신이 복제되면 그 권한도 기계와 함께 복제된다. 그 결과 기업은 자사 네트워크 환경에 대한 접근 권한을 가진 수많은 불량 특수 계정을 남기게 된다.

“그래서 특수 계정을 탈취하는 것은 공격자들에게 조직의 가장 민감한 데이터에 접속해 다운로드하고, 데이터를 오염시키며, 악성코드를 널리 퍼뜨리고, 기존 보안 통제를 우회하며, 자신들의 활동을 감추기 위해 감정 경로를 지우는 능력을 준다”고 타이코는 보고서에 적었다. 이 보고서에 따르면, 능동적으로 특수 계정 접속을 관리, 모니터링, 통제하는 것이 핵심이며, 이 계정들에 대한 안전한 관리는 오늘날 IT 인프라에 필요하며 매우 중요하다.

게다가 기업들은 여전히 특수 계정 암호를 관리하기 위해 스프레드시트 같은 수동 시스템을 자주 이용하고 있다. 카슨에 따르면, 이 방식은 비효율적일 뿐 아니라 그런 시스템 자체는 쉽게 해킹돼 전체 기업에 엄청난 보안 위험을 안긴다.

“특수 계정 암호 보호는 자동으로 특수 계정을 발견해 저장하고 암호 순환 일정을 잡아 개별 특권 세션 활동을 감사하고, 분석하며, 관리하고 악성 활동을 빠르게 감지하고 대응하기 위한 암호 계정을 모니터링 하는 포괄적 솔루션을 제공한다”고 티코틱은 주장했다. “이는 네트워크 내부로부터 특수 계정을 보호하기 위해 새로운 보안 레이어를 추가한다”고 보고서는 전했다.
 


X