기고 | 스피어 피싱 방지 4단계

단 하루라도 랜섬웨어 공격이 매체 헤드라인을 장식하지 않고 넘어가는 날이 없는 듯하다. 이러한 공격이 출현하는 장소는 어디일까? 대개 받은 편지함이다.

이용자가 방어의 최전선이자 가장 취약한 고리임을 안다면 사무실로 들어오는 모든 이메일에 추가적인 스팸 필터링을 추가해야 할 것이다. 또 언제 피싱 공격을 당하고 있는지를 식별할 수 있도록 이용자를 교육시켜야 한다. 아울러 운영체제를 강화해 공격에 탄력적으로 대응해야 한다. 최근 마이크로소프트가 권고한 사항들이기도 하다.
 
스피어 피싱 공격으로부터 이용자를 보호하는 유용한 방법을 몇 가지 소개한다. 
 

모든 이메일이 필터링 시스템을 거치도록 하라. 온프레미스 메일 서버이든, 클라우드 반 이메일 서비스이든, 공격 패턴을 찾는 필터링 시스템이 마련돼 있어야 한다. 온프레미스 이메일 서버를 이용한다고 해도 다른 서버와 정보를 공유하는 서비스에 의해 패턴이 출현하는 것을 파악할 수 있다. 이러한 이메일 보안 서비스는 온프레미스 메일 서버에 이상이 발생할 때 메일 보관 및 포워딩 서비스도 제공하곤 한다. 즉 이메일 서버를 이용한다면 이러한 솔루션의 설치는 필수이다. 

예산이 문제라면 오픈소스, 커뮤니티 또는 무료 솔루션을 조사할 만하다. 시큐리티 어니언(Security Onion) 등의 솔루션은 리눅스 배포판으로서 회사 네트워크에 추가되어 위협 수색, 기업 보안 모니터링, 로그 관리에 쓰일 수 있다. 최근 시큐리티 어니언 플랫폼의 2.3.50 버전이 교육 비디오와 함께 출시되었다. 또 하나의 오픈소스 플랫폼인 스노트(Snort)도 있다. 이 솔루션은 회사 네트워크에 추가되어 가외의 보호 및 모니터링 기능을 제공할 수 있다. 

네트워크에의 잠재적 영향을 기준으로 패칭의 우선 순위를 정하라. 여러 조직에서 패치는 곧바로 설치되기보다는 테스트를 거친 후 배포된다. 그렇다면 업데이트를 전개하기까지 여러 주가 걸릴 수 있다. 

이로 인해 우선 순위 정책이 필요하다. 과거에 표적인 적이 있었거나 잠재적 표적으로 인식될 수 있는 이용자에 대한 패칭이 우선적으로 이루어져야 한다. 시스템에 설치된 전체 소프트웨어를 검토해 모두가 벤더의 지원 및 유지보수를 받는 지 확인해야 한다. 특히 운영체제 패치에 주의를 기울이고, 아울러 PDF 리더 등 브라우저 기반 툴 역시 신경을 써야 한다. 

패칭 팀은 회사를 보호할 수 있도록 현재 공격받는 중인 취약점을 일일이 알고 있어야 한다. 과거의 패칭 상호작용을 검토하여 업데이트에 따른 시스템 부작용이 없었는지 확인해야 한다. 시스템이 과거 패칭과 관련해 문제가 없었다면 빠르게 배포할 만하다. 이를 돕는 도구도 다양하게 등장해 있다.

컨피그 매니저(Config manager), 배치 패치(Batch Patch) 등의 패칭 툴이나 패칭 관리 툴을 검토해야 한다. 2021년의 남은 기간 동안 영향을 받은 시스템에 업데이트를 더 신속히 전개한다는 목표를 추구하라. 업데이트를 전개하기까지 1개월이 걸리는 것이 보통이라면 이를 3주 내에 전개할 수 있는 지 파악하라. 그 후 2주 내에 전개하려고 노력하라. 업데이트의 출시와 업데이트의 전개 사이의 기간을 줄여야 한다.

브라우저 및 파일 공유 시스템의 이용을 제한하라. 이러한 제한 정책은 번거로울 수 있지만, 표적 공격으로부터 이용자를 최대한 보호하는 데 필수적이다. 직원들과 이 제한에 관해 논의하면서 파일 공유 시스템의 위험을 이해시켜야 한다. 

최근 필자의 회사는 제한 수위를 높였다. 스푸핑 될 수 있는 파일 공유 플랫폼이 너무 많고, 따라서 악성 링크를 열도록 속이기가 더 수월했기 때문이다. 특정 플랫폼 상에서 표준화를 이행하고 이를 고객, 파트너, 이용자에게 통지하라. 포털은 브랜드 포털(branded portal)이어야 하고 프로세스는 설명되고 문서화되어야 한다. 직원은 프로세스를 우회하면 안 된다는 점을 알고 있어야 한다.

윈도우 10 배포와 관련해 공격 표면 축소 규칙을 시행하라. 마이크로소프트 365 E5 및 엔터프라이즈 라이선스라면 ASR(Attack Surface Reduction) 규칙을 모니터하고 시행할 수 있다. 그러나 프로페셔널 전용 네트워크에서도 네트워크 보호를 강화할 수 있다. 구체적으로 이 위협과 관련된 활동을 차단하거나 검사하는 다음의 공격 표면 축소 규칙을 활성화할 수 있다. ‘자바스크립트 또는 VB스크립트 차단’을 활성화해 다운로드 된 실행 콘텐츠의 시작을 막는 것이다. 

마이크로소프트가 관리 콘솔에서 밝힌 것처럼 이는 일반적인 비즈니스 용도가 아니다. 그러나 비즈니스 애플리케이션은 때에 따라 이 스크립트를 이용해 설치 프로그램을 다운로드하고 시작한다. 이 보안 제어 수단은 윈도우 10 1709 버전 또는 그 이후 버전과 윈도우 서버 2019가 탑재된 기기에서만 이용할 수 있다. 마이크로소프트 365 ATP(Advanced Threat Protection)의 경우 관리 콘솔을 검토하여 네트워크가 어떤 영향을 받을 수 있는 지 파악할 수 있다. 



마이크로소프트 365 ATP가 제공하는 이 이용자 영향 보고서는 기업 환경에 거의 또는 전혀 영향을 주지 않으면서 권고된 보호를 전개할 수 있는 지를 즉시 통지할 수 있다. 이 보고서로 액세스할 수 없다면, ASR 규칙을 ‘경고(warn)’로 설정해 영향을 받을 것인지 여부를 판단해야 한다. 

단 경고 모드의 경우 마이크로소프트 엔드포인트 매니저에서 아래의 3가지 공격 표면 축소 규칙을 지원하지 않음을 유의해야 한다. (공격 표면 축소 규칙을 구성할 때 그룹 정책을 이용한다면 경고 모드가 지원된다): 

• 자바스크립트 또는 VB스크립트가 다운로드 된 실행 콘텐츠를 시작하지 않도록 차단(GUID d3e037e1-3eb8-44c8-a917-57927947596d)
• WMI 이벤트 구독을 통한 지속성을 차단(GUID e6db77e5-3df2-4cf1-b95a-636979351e5b)
• 랜섬웨어에 대해 고급 보호를 이용(GUID c1db55ab-c21a-4637-bb3f-a12568109d35)

그룹 정책 이용을 활성화하려면 ‘그룹 정책 관리 콘솔’을 열고, 설정하고자 하는 ‘그룹 정책 오브젝트’를 우클릭하여 ‘편집’을 선택한다. 그룹 정책 관리 편집기에서 ‘컴퓨터 구성’으로 가서 ‘관리자 권한 템플릿’을 선택한다. 트리를 윈도우 컴포넌트로 확장하고, ‘마이크로소프트 디펜더 안티바이러스’로 간 후 ‘마이크로소프트 디펜더 익스플로잇 가드’로 가고, 다시 ‘공격 표면 축소’로 간다. ‘공격 표면 축소 규칙 구성하기’를 선택하고, ‘활성화’를 선택한다. 

그 후 옵션 부분에서 각 규칙의 개별 현황을 설정할 수 있다. 밸류 네임 d3e037e1-3eb8-44c8-a917-57927947596d과 6의 값을 입력한 다음 1을 입력한다. 

이용자들은 외부의 유능한 공격자의 표적이다. E5 라이선스가 없다고 해도 ASR 규칙을 이용해 시스템을 보호할 수 있다. ciokr@idg.co.kr