2021.06.28

‘기업 공격면 관리는 이렇게’··· 베스트 프랙티스 7가지

Shannon Flynn | CSO
클라우드 컴퓨팅 솔루션, 재택 근무 시스템, 인터넷 연결 장치가 증가하면서 공격면이 증가하고 있다. 취약점의 수를 줄이는 가장 좋은 방법은 적절한 기업 공격면 관리 프로그램을 수립하는 것이다.

적절한 공격면 관리를 위해서는 먼저 운영 활동을 분석하여 잠재적인 취약점을 찾아내고 상황을 파악해야 한다. 이 정보에 기반해 계획을 세우고 조직의 네트워크, 시스템, 채널, 접점 전반에 걸쳐 해당 계획을 실행해야 한다. 기업 공격면 관리 프로그램을 구축할 때 고려할 베스트 프랙티스를 알아본다.
 
Image Credit : Getty Images Bank

공격면을 파악하라
적절한 방어책을 세우려면 어떤 디지털 자산이 노출되어 있고 공격자들이 네트워크를 표적으로 삼을 가능성이 높은 곳, 필요한 보호책을 파악해야 한다. 따라서 공격면 가시성을 높이고 공격 취약점을 잘 표현하는 것이 중요하다. 주의해야 할 취약점으로는 구식 컴퓨터나 서버, 패치 되지 않은 시스템, 구식 애플리케이션, 노출된 IoT 장치 등이 있다.  

예측 모델링은 발생 가능한 이벤트와 그 위험을 현실적으로 표현하는 데 도움이 되며 방어 및 선제 조치를 더욱 강화한다. 위험을 파악하고 나면 이벤트 또는 유출 발생 전, 중, 후에 어떤 일이 발생할지 모델링할 수 있다. 어떤 종류의 재무적 손실을 예상할 수 있는가? 이벤트의 명예 실추는 무엇일까? 비즈니스 인텔리전스, 영업 비밀 등을 잃게 될까?

SANS의 신규 보안 위협 책임자 존 페스카토는 “성공적인 (공격면 맵핑) 전략은 꽤 간단하다. 자신이 무엇을 보호하고 있는지 알고(정확한 자산 재고), 이런 자산의 취약점을 모니터링하며 위협 정보를 활용하여 공격자들이 이런 취약점에서 자산을 어떻게 추적하는지 파악하라. 3개 단계 중 각 단계는 숙련된 직원과 보안 기술이 있어야 3개 영역의 변화 속도를 따라잡을 수 있다”라고 말했다.

취약점을 최소화하라
조직은 공격면을 맵핑한 후 조치를 취해 특히 중요한 취약점에 대한 위험을 완화한 후에 우선순위가 낮은 작업으로 이동할 수 있다. 가능한 경우 자산을 오프라인으로 전환하고 내부 및 외부 네트워크를 강화하는 데 집중해야 한다.

대부분의 네트워크 플랫폼 제공업체는 현재 공격면을 최소화하는 데 도움이 되는 도구를 제공하고 있다. 예를 들어, 마이크로소프트의 ASR(Attack Surface Reduction) 규칙을 이용하면 공격자들이 보편적으로 사용하는 프로세스와 실행 파일을 차단할 수 있다.

대부분의 유출은 인간 오류로 인해 발생한다. 따라서, 인식을 구축하고 직원을 교육하는 것이 취약점 최소화의 또 다른 중요한 측면이다. 그들이 개인 및 직장 내 보안을 관리하는 데 도움이 되는 어떤 정책을 보유하고 있는가? 그들은 무엇이 필요한지 파악하고 있는가? 그들은 어떤 보안 활동을 활용해야 하며 실패 시 그들과 기업에 어떤 영향을 미칠까?

모든 취약점을 해결할 필요는 없으며 일부는 해결되지 않을 것이다. 신뢰할 수 있는 사이버 보안 전략으로는 적절한 소스를 확인하여 익스플로잇 공격을 받을 가능성이 높을 것을 찾아내는 방법이 있다. 이런 취약점을 완화하고 모니터링해야 한다.

대부분의 기업들은 직원 및 계약자에게 필요한 것보다 더 많은 액세스 권한을 제공한다. 적절한 범위의 권한을 통해 계정이 해킹되더라도 혼란이 발생하지 않거나 피해가 크지 않도록 할 수 있다. 주요 시스템에 대한 액세스 권한 분석부터 시작한 후 각 사람과 장치의 액세스를 절대적으로 필요한 자산으로만 제한한다.

강력한 보안 활동과 정책을 수립하라
시험을 통해 입증된 보안 베스트 프랙티스는 공격면을 최소화하는 데 큰 도움이 된다. 여기에는 침입 감지 솔루션 구현, 정기 위험 평가 수행, 명확하고 효과적인 정책 수립 등이 포함된다.

고려해야 할 수칙은 다음과 같다.

• 강력한 인증 프로토콜과 액세스 관리를 통해 건전한 계정 관리를 수행한다.
• 일관된 패치 활동을 수립하고 정책을 업데이트한다.
• 중요 데이터의 백업을 유지하고 테스트한다.
• 네트워크를 분류하여 유출 발생 시 피해를 최소화한다.
• 구식 장비, 장치, 서비스를 모니터링하고 퇴역시킨다.
• 적용 가능한 경우 암호화를 활용한다.
• BYOD 정책과 프로그램을 수리하거나 제한한다.

보안 모니터링 및 테스트 프로토콜을 수립하라
강력한 사이버 보안 프로그램은 지속적으로 조정되어야 한다. IT 인프라가 변화하고 위협 활동자들이 진화하기 때문이다. 정기 모니터링과 주기적인 테스트가 필요하며, 후자에는 제3자 침투 테스트 서비스를 검토할 만하다.

모니터링은 일반적으로 SIEM(Security Information and Event Management) 소프트웨어 등의 자동화된 시스템을 통해 이뤄진다. 호스트 시스템과 애플리케이션뿐만이 아니라 방화벽과 안티바이러스 필터 등의 네트워크 및 보안 장치에서 생성된 로그 데이터를 수집한다. 그리고 SIEM 소프트웨어는 사고와 이벤트를 식별, 범주화, 분석한다.

침투 테스트는 취약점을 이해하는 데 도움이 되는 편파적이지 않은 제3자 피드백을 제공한다. 펜(Pen) 테스터는 중대한 취약점을 드러내기 위해 고안된 시뮬레이션 된 공격을 수행한다. 기업 네트워크의 핵심 요소와 제공업체가 사용하고는 BYOD 및 제3자 장치에 대해 테스트해야 한다. 모바일 장치는 기업 데이터 상호작용의 약 60%를 차지한다. 

이메일 시스템을 강화하라
피싱(Phishing)은 공격자가 네트워크에 침투하는 보편적인 수단이다. 하지만 일부 조직들은 직원들이 수신하는 악성 이메일의 수를 제한하기 위해 고안된 이메일 프로토콜을 아직도 제대로 배치하지 않았다. 프로토콜은 다음과 같다.

• SPF(Sender Policy Framework)는 정상적인 이메일 답신 주소의 스푸핑(Spoofing)을 방지한다.
• DKIM(Domain Keys Identified Mail)은 수신인이 메시지를 미리 보거나 열 때 보게 되는 ‘표시’ 이메일 주소의 스푸핑을 방지한다.
• DMARC(Domain-Based Message Authentication, Reporting and Conformance)를 통해 SPF 또는 DKIM이 식별한 실패하거나 스푸핑 된 이메일을 처리하는 방법에 관한 규칙을 설정할 수 있다.

페스카토는 애트나(Aetna)의 CISO 시절 짐 루스와 함께 일했던 경험을 다음과 같이 회상했다. “그는 경영진이 그가 추진하는 필수적인 변화를 지원하는 경우 비즈니스적 이점이 보안 비용보다 클 것이라고 보장함으로써 조직이 소프트웨어를 더욱 안전하게 개발하고 강력한 이메일 인증을 구현하게 할 수 있었다.”

모든 이니셔티브가 성공하는 것은 아니지만 루스를 성공했다. 그의 변화로 인해 소프트웨어 취약점이 감소하고 TTM(Time To Market)이 단축됐다. “DMARC와 강력한 이메일 인증을 도입하면서 이메일 마케팅 캠페인 클릭율이 증가했고 비용보다 효과가 더 높았다”라고 페스카토는 전했다.

컴플라이언스를 이해하라
모든 조직에는 내부 및 정부 표준을 조사, 식별, 이해하기 위한 정책과 절차가 있어야 한다. 모든 보안 정책을 준수하고 다양한 공격 및 유출 유형에 대한 적절한 대응 계획을 마련하는 것이 목표이다.

이를 위해서는 새로운 정책과 규정이 마련되었을 때 검토하는 태스크 포스와 전략을 수립해야 한다. 컴플라이언스만큼 중요한 것이 최신 사이버 보안 전략이다. 단 이것이 반드시 우선순위가 될 필요는 없다. 페스카토는 “컴플라이언스가 우선시하는 경우가 많지만 신용카드 정보가 노출된 기업 중 약 100%가 PCI를 준수하고 있었다. 하지만 안전하지 않았다”라고 말했다.

그는 사이버 보안 전략이 우선 위험을 평가하고 프로세스 또는 컨트롤을 배치해 회사와 고객을 보호해야 한다고 강조했다. 이어 그는 “전략이 준수되고 있는지 보여주는 다양한 준법감시 체계(HIPAA 또는 PCI 등)에서 요구되는 문서를 작성해야 한다”라고 조언했다.

감사를 고용하라
최고의 보안팀이라 하더라도 기업 공격면을 평가할 때 새로운 관점이 필요하다. 보안 감사와 분석가를 고용하면 공격 벡터와 취약점을 발견하는 데 도움이 될 수 있다.

또한 잠재적인 유출과 공격에 대응하기 위한 이벤트 관리 계획 수립에 도움이 될 수 있다. 너무나 많은 조직들이 정책을 측정하기 위한 평가와 균형 조치가 마련되어 있지 않아 사이버 보안 공격에 대비되어 있지 않은 경우가 많다.

스마트 빌리언스(Smart Billions)의 CTO 제이슨 미쉘은 “보안 위험을 객관적으로 평가하려 시도할 때 외부의 공정한 시각을 확보하면 큰 도움이 될 수 있다. 새로운 디지털 자산, 새롭게 온보딩한 제공업체, 재택 직원 등 자신의 종점에서 위험 행동과 위협이 문제가 되기 전에 인식하는 데 도움이 되는 독립적인 모니터링 프로세스를 활용하라”라고 말했다.
 
ciokr@idg.co.kr

 



2021.06.28

‘기업 공격면 관리는 이렇게’··· 베스트 프랙티스 7가지

Shannon Flynn | CSO
클라우드 컴퓨팅 솔루션, 재택 근무 시스템, 인터넷 연결 장치가 증가하면서 공격면이 증가하고 있다. 취약점의 수를 줄이는 가장 좋은 방법은 적절한 기업 공격면 관리 프로그램을 수립하는 것이다.

적절한 공격면 관리를 위해서는 먼저 운영 활동을 분석하여 잠재적인 취약점을 찾아내고 상황을 파악해야 한다. 이 정보에 기반해 계획을 세우고 조직의 네트워크, 시스템, 채널, 접점 전반에 걸쳐 해당 계획을 실행해야 한다. 기업 공격면 관리 프로그램을 구축할 때 고려할 베스트 프랙티스를 알아본다.
 
Image Credit : Getty Images Bank

공격면을 파악하라
적절한 방어책을 세우려면 어떤 디지털 자산이 노출되어 있고 공격자들이 네트워크를 표적으로 삼을 가능성이 높은 곳, 필요한 보호책을 파악해야 한다. 따라서 공격면 가시성을 높이고 공격 취약점을 잘 표현하는 것이 중요하다. 주의해야 할 취약점으로는 구식 컴퓨터나 서버, 패치 되지 않은 시스템, 구식 애플리케이션, 노출된 IoT 장치 등이 있다.  

예측 모델링은 발생 가능한 이벤트와 그 위험을 현실적으로 표현하는 데 도움이 되며 방어 및 선제 조치를 더욱 강화한다. 위험을 파악하고 나면 이벤트 또는 유출 발생 전, 중, 후에 어떤 일이 발생할지 모델링할 수 있다. 어떤 종류의 재무적 손실을 예상할 수 있는가? 이벤트의 명예 실추는 무엇일까? 비즈니스 인텔리전스, 영업 비밀 등을 잃게 될까?

SANS의 신규 보안 위협 책임자 존 페스카토는 “성공적인 (공격면 맵핑) 전략은 꽤 간단하다. 자신이 무엇을 보호하고 있는지 알고(정확한 자산 재고), 이런 자산의 취약점을 모니터링하며 위협 정보를 활용하여 공격자들이 이런 취약점에서 자산을 어떻게 추적하는지 파악하라. 3개 단계 중 각 단계는 숙련된 직원과 보안 기술이 있어야 3개 영역의 변화 속도를 따라잡을 수 있다”라고 말했다.

취약점을 최소화하라
조직은 공격면을 맵핑한 후 조치를 취해 특히 중요한 취약점에 대한 위험을 완화한 후에 우선순위가 낮은 작업으로 이동할 수 있다. 가능한 경우 자산을 오프라인으로 전환하고 내부 및 외부 네트워크를 강화하는 데 집중해야 한다.

대부분의 네트워크 플랫폼 제공업체는 현재 공격면을 최소화하는 데 도움이 되는 도구를 제공하고 있다. 예를 들어, 마이크로소프트의 ASR(Attack Surface Reduction) 규칙을 이용하면 공격자들이 보편적으로 사용하는 프로세스와 실행 파일을 차단할 수 있다.

대부분의 유출은 인간 오류로 인해 발생한다. 따라서, 인식을 구축하고 직원을 교육하는 것이 취약점 최소화의 또 다른 중요한 측면이다. 그들이 개인 및 직장 내 보안을 관리하는 데 도움이 되는 어떤 정책을 보유하고 있는가? 그들은 무엇이 필요한지 파악하고 있는가? 그들은 어떤 보안 활동을 활용해야 하며 실패 시 그들과 기업에 어떤 영향을 미칠까?

모든 취약점을 해결할 필요는 없으며 일부는 해결되지 않을 것이다. 신뢰할 수 있는 사이버 보안 전략으로는 적절한 소스를 확인하여 익스플로잇 공격을 받을 가능성이 높을 것을 찾아내는 방법이 있다. 이런 취약점을 완화하고 모니터링해야 한다.

대부분의 기업들은 직원 및 계약자에게 필요한 것보다 더 많은 액세스 권한을 제공한다. 적절한 범위의 권한을 통해 계정이 해킹되더라도 혼란이 발생하지 않거나 피해가 크지 않도록 할 수 있다. 주요 시스템에 대한 액세스 권한 분석부터 시작한 후 각 사람과 장치의 액세스를 절대적으로 필요한 자산으로만 제한한다.

강력한 보안 활동과 정책을 수립하라
시험을 통해 입증된 보안 베스트 프랙티스는 공격면을 최소화하는 데 큰 도움이 된다. 여기에는 침입 감지 솔루션 구현, 정기 위험 평가 수행, 명확하고 효과적인 정책 수립 등이 포함된다.

고려해야 할 수칙은 다음과 같다.

• 강력한 인증 프로토콜과 액세스 관리를 통해 건전한 계정 관리를 수행한다.
• 일관된 패치 활동을 수립하고 정책을 업데이트한다.
• 중요 데이터의 백업을 유지하고 테스트한다.
• 네트워크를 분류하여 유출 발생 시 피해를 최소화한다.
• 구식 장비, 장치, 서비스를 모니터링하고 퇴역시킨다.
• 적용 가능한 경우 암호화를 활용한다.
• BYOD 정책과 프로그램을 수리하거나 제한한다.

보안 모니터링 및 테스트 프로토콜을 수립하라
강력한 사이버 보안 프로그램은 지속적으로 조정되어야 한다. IT 인프라가 변화하고 위협 활동자들이 진화하기 때문이다. 정기 모니터링과 주기적인 테스트가 필요하며, 후자에는 제3자 침투 테스트 서비스를 검토할 만하다.

모니터링은 일반적으로 SIEM(Security Information and Event Management) 소프트웨어 등의 자동화된 시스템을 통해 이뤄진다. 호스트 시스템과 애플리케이션뿐만이 아니라 방화벽과 안티바이러스 필터 등의 네트워크 및 보안 장치에서 생성된 로그 데이터를 수집한다. 그리고 SIEM 소프트웨어는 사고와 이벤트를 식별, 범주화, 분석한다.

침투 테스트는 취약점을 이해하는 데 도움이 되는 편파적이지 않은 제3자 피드백을 제공한다. 펜(Pen) 테스터는 중대한 취약점을 드러내기 위해 고안된 시뮬레이션 된 공격을 수행한다. 기업 네트워크의 핵심 요소와 제공업체가 사용하고는 BYOD 및 제3자 장치에 대해 테스트해야 한다. 모바일 장치는 기업 데이터 상호작용의 약 60%를 차지한다. 

이메일 시스템을 강화하라
피싱(Phishing)은 공격자가 네트워크에 침투하는 보편적인 수단이다. 하지만 일부 조직들은 직원들이 수신하는 악성 이메일의 수를 제한하기 위해 고안된 이메일 프로토콜을 아직도 제대로 배치하지 않았다. 프로토콜은 다음과 같다.

• SPF(Sender Policy Framework)는 정상적인 이메일 답신 주소의 스푸핑(Spoofing)을 방지한다.
• DKIM(Domain Keys Identified Mail)은 수신인이 메시지를 미리 보거나 열 때 보게 되는 ‘표시’ 이메일 주소의 스푸핑을 방지한다.
• DMARC(Domain-Based Message Authentication, Reporting and Conformance)를 통해 SPF 또는 DKIM이 식별한 실패하거나 스푸핑 된 이메일을 처리하는 방법에 관한 규칙을 설정할 수 있다.

페스카토는 애트나(Aetna)의 CISO 시절 짐 루스와 함께 일했던 경험을 다음과 같이 회상했다. “그는 경영진이 그가 추진하는 필수적인 변화를 지원하는 경우 비즈니스적 이점이 보안 비용보다 클 것이라고 보장함으로써 조직이 소프트웨어를 더욱 안전하게 개발하고 강력한 이메일 인증을 구현하게 할 수 있었다.”

모든 이니셔티브가 성공하는 것은 아니지만 루스를 성공했다. 그의 변화로 인해 소프트웨어 취약점이 감소하고 TTM(Time To Market)이 단축됐다. “DMARC와 강력한 이메일 인증을 도입하면서 이메일 마케팅 캠페인 클릭율이 증가했고 비용보다 효과가 더 높았다”라고 페스카토는 전했다.

컴플라이언스를 이해하라
모든 조직에는 내부 및 정부 표준을 조사, 식별, 이해하기 위한 정책과 절차가 있어야 한다. 모든 보안 정책을 준수하고 다양한 공격 및 유출 유형에 대한 적절한 대응 계획을 마련하는 것이 목표이다.

이를 위해서는 새로운 정책과 규정이 마련되었을 때 검토하는 태스크 포스와 전략을 수립해야 한다. 컴플라이언스만큼 중요한 것이 최신 사이버 보안 전략이다. 단 이것이 반드시 우선순위가 될 필요는 없다. 페스카토는 “컴플라이언스가 우선시하는 경우가 많지만 신용카드 정보가 노출된 기업 중 약 100%가 PCI를 준수하고 있었다. 하지만 안전하지 않았다”라고 말했다.

그는 사이버 보안 전략이 우선 위험을 평가하고 프로세스 또는 컨트롤을 배치해 회사와 고객을 보호해야 한다고 강조했다. 이어 그는 “전략이 준수되고 있는지 보여주는 다양한 준법감시 체계(HIPAA 또는 PCI 등)에서 요구되는 문서를 작성해야 한다”라고 조언했다.

감사를 고용하라
최고의 보안팀이라 하더라도 기업 공격면을 평가할 때 새로운 관점이 필요하다. 보안 감사와 분석가를 고용하면 공격 벡터와 취약점을 발견하는 데 도움이 될 수 있다.

또한 잠재적인 유출과 공격에 대응하기 위한 이벤트 관리 계획 수립에 도움이 될 수 있다. 너무나 많은 조직들이 정책을 측정하기 위한 평가와 균형 조치가 마련되어 있지 않아 사이버 보안 공격에 대비되어 있지 않은 경우가 많다.

스마트 빌리언스(Smart Billions)의 CTO 제이슨 미쉘은 “보안 위험을 객관적으로 평가하려 시도할 때 외부의 공정한 시각을 확보하면 큰 도움이 될 수 있다. 새로운 디지털 자산, 새롭게 온보딩한 제공업체, 재택 직원 등 자신의 종점에서 위험 행동과 위협이 문제가 되기 전에 인식하는 데 도움이 되는 독립적인 모니터링 프로세스를 활용하라”라고 말했다.
 
ciokr@idg.co.kr

 

X