최근 발생한 3가지 사이버 공격에서 얻은 교훈: 제로 트러스트 세분화

최근 MITRE, 덴마크 에너지 인프라, 영국 도서관 등에 영향을 미친 사이버 보안 사고는 네트워크 세분화가 침해 및 랜섬웨어 공격의 영향을 줄이는 데 얼마나 중요한지 일깨워줍니다.  

이러한 각 공격은 제로 트러스트 세분화(ZTS)가 측면 이동을 선제적으로 방어하고 불가피하게 발생하는 공격에 대응하여 공격을 억제하는 데 어떻게 도움이 되는지 보여줍니다. 이는 세 가지 공격의 사고 및 대응 보고서에 반영되어 있으며 네트워크 보안에 관한 NSA의 최신 사이버 보안 정보 시트의 지침과도 일치합니다.  

최근 발생한 3건의 사이버 공격에서 배운 점

보안 침해 및 랜섬웨어 공격에 대한 뉴스는 더 이상 놀라운 일이 아닙니다. 오늘날의 복잡하고 초연결된 네트워크는 새로운 위협과 발견되지 않은 보안 공백이 항상 존재한다는 것을 의미합니다. 중요한 것은 공격이 발생했을 때 조직이 공격의 영향을 제한할 수 있는 준비가 되어 있어야 한다는 것입니다.

이 세 가지 뉴스 가치가 있는 침해 사례는 세분화의 중요성과 침해 대비 및 생존에 있어 세분화의 필수적인 역할을 보여주는 훌륭한 사례 연구입니다.  

MITRE: 세분화로 측면 이동 중지

오늘날의 위협 환경에서 침해는 피할 수 없는 현실이며, 이는 강력한 사이버 보안으로 잘 알려진 MITRE와 같은 조직에서도 마찬가지입니다. 하지만 MITRE는 2024년 4월 연구 및 프로토타이핑 네트워크에 침해가 발생한 것을 확인하면서 이러한 현실에 대비했습니다.  

MITRE의 사고 설명에 따르면, 정체불명의 공격자는 "네트워크를 정찰하고 두 개의 Ivanti Connect Secure 제로데이 취약점을 통해 가상 사설망(VPN) 중 하나를 악용했으며 세션 하이재킹을 통해 멀티팩터 인증을 우회했다"고 합니다. MITRE의 ID 기술만으로는 공격을 막기에 충분하지 않았습니다.  

대신 세분화 정책을 통한 신속한 침해 봉쇄로 공격자의 측면 이동을 차단하고 감염된 영역을 격리하며 잠재적 피해를 제한하는 것이 핵심이었습니다:  

"공격의 추가 확산을 방지하기 위해 영향을 받은 시스템과 네트워크 세그먼트를 격리했습니다. 이 네트워크는 기업 전체의 실험실과 연결되어 있었고 효과적인 봉쇄를 위해서는 액세스 인프라를 종료하고 다양한 실험실의 엣지 시스템을 격리해야 했기 때문에 단순히 엣지 방화벽 규칙을 변경하는 것만으로는 충분하지 않았습니다. 이를 적시에 수행하려면 정확한 네트워크 인벤토리가 매우 중요했습니다."

또한 방화벽 규칙만으로는 측면 이동을 차단하고 침해를 격리하는 데 충분하지 않다는 사실을 발견했다는 점도 주목할 필요가 있습니다. 대신 제로 트러스트 아키텍처의 일부인 마이크로세그멘테이션은 감염된 시스템과 감염되지 않은 시스템 간의 연결과 통신을 완전히 차단하는 데 필수적이었다고 보고했습니다.  

MITRE는 공격을 받았지만 침해의 영향을 신속하게 파악하고, 억제하고, 완화할 수 있는 준비가 되어 있었습니다. 네트워크 세분화를 핵심으로 하는 제로 트러스트 전략이 대응의 핵심이었습니다.

대영 도서관: 세분화를 통해 침해 피해를 제한할 수 있었음

2023년 10월, 대영도서관은 랜섬웨어 공격을 받아 사용자와 직원의 개인 데이터를 포함한 약 600GB의 데이터가 복사, 유출되어 다크웹에서 판매되는 피해를 입었습니다. 라이브러리가 몸값 지불에 동의하지 않자 공격자들은 데이터와 시스템을 암호화하고 일부 서버를 파괴하여 복구 및 데이터 복원을 방해했습니다.

대영도서관 같은 비영리 자선 단체도 공격으로부터 안전하다고 생각할 수 없는 오늘날 위협 행위자들의 무차별적인 특성을 잘 보여주는 공격입니다.

2024년 3월 공격에 대한 보고서에서 도서관은 최신 시스템과 레거시 시스템이 혼합된 보안 아키텍처로는 측면 이동을 즉시 차단하거나 공격을 억제할 방법이 없다는 사실을 인정했습니다.  

이 보고서는 앞으로 도서관이 네트워크 세분화를 포함한 더 나은 사이버 복원력 전략을 구현해야 한다고 말합니다: "어떤 경계도 완전히 안전하게 만들 수는 없습니다. 따라서 네트워크 세분화는 공격 성공으로 인한 피해를 제한하는 데 필수적입니다. 도서관의 레거시 네트워크 토폴로지는 공격이 최신 네트워크 설계에서 가능한 것보다 더 큰 피해를 입힐 수 있다는 것을 의미했습니다."

덴마크 에너지: 가시성 부족과 세분화로 인해 광범위한 혼란이 발생했습니다.

2023년 5월, 덴마크 에너지 인프라의 다양한 측면을 담당하는 22개 에너지 운영업체가 조직적이고 치밀하게 계획된 공격으로 인해 피해를 입었습니다.  

덴마크의 중요 에너지 시스템에 대한 위협을 탐지, 식별 및 연구하기 위해 센서 네트워크를 운영하는 비영리 단체인 SektorCERT의 정보에 따르면, 많은 회원 운영자가 네트워크에 대한 완전한 가시성과 세분화가 부족했습니다.  

SektorCERT는 공격이 더 확산되기 전에 성공적으로 탐지할 수 있었지만, 조사 결과 많은 회원사들이 개별 네트워크의 취약점, 특히 IT와 OT 시스템 간의 취약점이나 네트워크가 공격을 받았다는 사실을 알지 못한다는 사실을 알게 되었습니다. 애플리케이션 종속성 및 워크로드 트래픽에 대한 엔드투엔드 가시성을 통해 운영자는 공격이 개별 네트워크와 국가 에너지 인프라 전반으로 확산될 수 있는 보안 허점을 파악하고 이를 차단할 수 있었습니다.

공격자들은 또한 사업자의 경계 방화벽에서 원격으로 악용 가능한 취약점을 초기 침해의 출발점으로 활용했습니다. 많은 사업자가 네트워크 경계에 방화벽을 구축했지만, 네트워크 내부에 효과적인 세분화가 부족했습니다. 이로 인해 공격자는 최초 침해 이후 네트워크를 통해 빠르고 조용하게 확산할 수 있었습니다. 이 보고서는 특히 세분화를 침해에 선제적으로 대비하고 활성 공격에 신속하게 대응하기 위한 핵심 요소로 꼽았습니다.  

제로 트러스트 세분화는 공격에 대비하고 대응하는 데 필수적입니다.

오늘날 위협 환경의 불확실성 속에서 이 세 가지 공격은 사이버 방어 강화에 있어 제로 트러스트 세분화(ZTS)의 중추적인 역할이라는 한 가지 교훈을 분명히 보여줍니다. 실제로 NSA의 새로운 사이버 보안 정보 시트인 ' 네트워크 및 환경 전반의 제로 트러스트 성숙도 향상'에서는 ZTS를 제로 트러스트 아키텍처의 필수적이고 기초적인 부분으로 인정하고 있습니다.

잠재적 공격에 선제적으로 대비

경계 기반 방어를 중심으로 하는 기존의 사이버 보안 접근 방식은 오늘날의 복잡하고 상호 연결된 네트워크를 보호하기에 더 이상 충분하지 않습니다. 모든 사이버 공격을 예방할 수 있다고 가정하는 대신 침해는 불가피하다고 가정합니다.

네트워크를 더 작고 격리된 영역으로 세분화하고 엄격한 액세스 제어를 시행함으로써 조직은 공격 표면을 최소화하고 악의적인 공격자에 의한 측면 이동의 위험을 완화할 수 있습니다. 이러한 사전 예방적 접근 방식은 사이버 위협에 대한 복원력을 강화할 뿐만 아니라 보안 사고 발생 시 조직이 보안 사고의 영향을 억제할 수 있도록 지원합니다.

활성 공격에 신속하게 대응

또한 ZTS는 활성 공격에 대한 복원력을 보장합니다. 보안 사고가 발생하면 세분화된 네트워크가 가상 구획 역할을 하여 피해를 억제하고 통제할 수 없을 정도로 확산되는 것을 방지합니다. 이러한 격리 메커니즘은 하나의 침해가 전체 네트워크 또는 여러 조직에 연쇄적으로 영향을 미칠 수 있는 오늘날의 상호 연결된 기업에서 특히 중요합니다.  

잠재적 침해의 폭발 반경을 제한하고 측면 이동을 방지함으로써 ZTS는 조직이 보안 사고의 영향을 최소화하고 운영 연속성을 유지할 수 있도록 지원합니다.  

일루미오 제로 트러스트 세분화 플랫폼이 어떻게 조직이 다음 잠재적 사이버 공격에 선제적으로 대응할 수 있도록 준비하는지 알아보려면 당사에 문의하세요.