로드먼 라메자니안 - 글로벌 클라우드 위협 책임자, Skyhigh Security
2024년 10월 22일 3 분 읽기
Skyhigh Security 의 사이버 보안 전문가이자 국가의 중요 자산을 보호하는 데 전념하는 기술자로서 저는 수년간 위협 행위자들이 기업 네트워크와 더 넓은 디지털 세계를 연결하는 중요한 게이트웨이인 인터넷 연결 엣지 디바이스를 조사하고 악용하는 것을 지켜봐 왔습니다. 그렇기 때문에 이러한 중요한 인프라 구성 요소의 보안에 대한 호주 사이버 보안 센터(ACSC)의 최신 엣지 보안 지침을 적극 환영합니다.
이보다 더 좋은 타이밍은 없습니다. 차세대 방화벽부터 로드 밸런서, VPN 집중 장치에 이르기까지 엣지 장치를 노리는 정교한 공격이 전례 없이 급증하고 있습니다. 이러한 장치는 더 이상 단순한 네트워크 구성 요소가 아니라 점점 더 적대적인 사이버 환경의 첫 번째 방어선입니다. 이러한 장치가 손상되면 공격자에게 네트워크에 대한 특권적인 발판을 제공하여 민감한 데이터와 중요 시스템을 노출시킬 수 있습니다.
예를 들어, VPN 기술의 근본적인 문제는 공격자가 취약점을 찾기 위해 끊임없이 노리는 공용 액세스 포인트를 생성한다는 사실에 있습니다. VPN을 사용하여 인증(또는 익스플로잇)에 성공하면 사용자와 공격자 모두 네트워크에 접속할 수 있습니다. 높은 잠재적 보상으로 인해 VPN은 여전히 주요 공격 대상입니다. 과거, 현재, 미래의 공격이 이를 증명합니다. 수익성 높은 데이터는 사이버 범죄자들의 끊임없는 과녁이 되고 있습니다.
"손이 닿을 수 있으면 뚫릴 수 있다"는 옛 속담이 있습니다. 최근의 위협으로부터 무엇을 배울 수 있을까요?
- 내부자 위협과 소셜 엔지니어링: Lapsus$는 신뢰할 수 있는 내부자와 소셜 엔지니어링을 악용하여 엣지 기반 원격 액세스 기술을 활용하는 것이 얼마나 큰 영향을 미치는지 보여주었습니다.
- 랜섬웨어: Qilin*, *Akira*, *Fog*와 같은 캠페인은 VPN 및 정적 인증 정보를 엣지 기반 기술에 의존하는 전 세계 조직을 지속적으로 표적으로 삼고 있습니다.
- 취약성: 포티넷, 체크포인트, 아이반티 등의 엣지 디바이스의 심각한 결함 및 제로데이 취약점으로 인해 조직은 계속해서 위험에 노출되고 있습니다.
- 표적 캠페인: 공격자들은 Cisco, Check Point 등의 엣지 기반 VPN 기술을 지속적으로 표적으로 삼아 탈취한 자격 증명을 사용하여 네트워크를 침해합니다.
ACSC의 최신 지침이 특히 가치 있는 이유는 엣지 디바이스 보안에 대한 총체적인 접근 방식입니다. 기술적 구성에만 초점을 맞추기보다는 포괄적인 보안 아키텍처, 적절한 액세스 제어, 지속적인 모니터링의 중요성을 강조합니다. 이는 성공적인 엣지 디바이스 보호를 위해서는 강력한 기술 제어와 건전한 운영 관행을 결합한 계층화된 전략이 필요하다는 점에서 현장에서 관찰한 결과와 완벽하게 일치합니다.
이 가이드에서는 멀티팩터 인증(MFA)을 중요한 방어 전략 중 하나로 다루고 있지만, 요즘에는 MFA를 보완하기 위해 훨씬 더 많은 것이 필요하다고 덧붙이고 싶습니다. 앞서 언급한 많은 사이버 공격과 위협 캠페인에서 공격자들은 MFA 피로도 또는 폭격 기법으로 알려진 기술을 사용하여 MFA를 매우 쉽게 우회했습니다.
그렇다면 또 어떤 점을 고려해야 할까요?
"여기서 '제로 트러스트'가 바로 떠오를 수 있습니다. 안타깝게도 제로 트러스트는 합리적인 비율을 벗어난 과장된 개념입니다. 모든 소문은 근본적인 요점을 간과한 것 같습니다: 제로 트러스트는 제품이 아니며, 저는 ACSC가 그렇게 제안하지 않은 것에 찬사를 보냅니다. 제품이나 서비스가 실제로 제로 트러스트 보안 전략의 일부가 될 수는 있지만, 단일 제품이 모든 제로 트러스트 요구 사항을 충족하고 조직을 혁신할 수는 없습니다. 제로 트러스트 아키텍처는 ID 및 인증 서비스부터 데이터 분류 엔진에 이르기까지 여러 시스템을 조율해야 합니다.
네트워크에 연결되면 사용자를 신뢰하는 기존 VPN 시스템과 달리, 제로 트러스트 아키텍처는 사용자의 위치나 이전 액세스 기록에 관계없이 리소스에 액세스하려는 모든 사용자와 장치를 지속적으로 확인합니다. 이러한 지속적인 확인은 사무실 네트워크부터 가정용 Wi-Fi, 커피숍에 이르기까지 모든 곳에서 업무가 이루어지는 오늘날의 세상에서 매우 중요하며, 단순히 기업 네트워크 경계 내의 모든 사람을 신뢰하는 것만으로는 보안을 유지하기가 어렵습니다.
ACSC의 지침을 확장하여 설명하자면, 기존 엣지 보안에서 위험 기반 전환이 필요하다는 것입니다. 클라우드 제공 보안 서비스는 강력한 이점을 제공하지만 하이브리드 접근 방식이 더 전략적으로 합리적일 때가 많습니다. 일부 중요한 시스템과 민감한 데이터는 규제 및/또는 주권 요건, 데이터 민감도 및 분류, 지연 시간 문제 또는 비즈니스 연속성 고려 사항으로 인해 온프레미스에 남아 있어야 할 수도 있습니다.
핵심은 엣지 보안을 현대화하는 동시에 인프라의 여러 부분에 다른 접근 방식이 필요할 수 있다는 점을 인정하는 것입니다. 즉, 특정 사용 사례에 대해서는 여전히 제로 트러스트 원칙을 지원하는 일부 온프레미스 구성 요소와 인프라를 유지하면서 다른 사용 사례에는 클라우드 제공 보안 서비스를 채택하여 보편적인 클라우드 우선 의무를 따르지 않고 각 선택이 위험 평가에 따라 이루어지도록 해야 합니다.
이 가이드라인은 엣지 보안이 패치와 방화벽 규칙을 넘어선다는 점을 상기시켜 줍니다. 보안과 비즈니스 요구의 균형을 맞추는 탄력적인 시스템을 구축하는 것입니다. 하이브리드 업무와 복잡한 디지털 공급망이 표준으로 자리 잡으면서 ACSC의 새로운 엣지 보안 지침은 중요한 네트워크 진입점을 보호하기 위한 견고한 기반을 제공합니다.
ACSC의 새로운 엣지 보안 지침이 말하자면 '모든 기반을 포괄'할 만큼 철저하거나 규범적이지 않다고 주장하는 사람도 있지만, 수많은 진화하는 위협에도 불구하고 여전히 정부와 주요 인프라 부문에서 만연한 기존 엣지 및 경계 기반 기술에 대한 과도한 의존을 재평가하는 중요한 알림과 행동 촉구의 역할을 합니다.
블로그로 돌아가기