공격자의 천국, 플랫 네트워크에서 위험을 완화하는 방법

이 문서는 원래 Forbes.com.

플랫 네트워크는 일반적으로 설계가 간단하고 구축 비용이 저렴하며 운영 및 유지 관리가 쉽기 때문에 널리 사용되고 있습니다. 그러나 악의적인 공격자들도 플랫 네트워크를 좋아하는 것으로 나타났습니다. 이는 플랫 네트워크의 단일 호스트가 손상되면 나머지 네트워크의 무결성이 카드의 집과 비슷해지기 시작하기 때문입니다. 일단 기업에 침투하면 플랫 네트워크는 초대받지 않은 불청객이 네트워크에 자유롭게 접속하여 고가치 자산을 스캔하고 식별하여 표적으로 삼을 수 있도록 합니다. 안타깝게도 많은 조직이 이러한 위험을 완화하지 못하거나 심지어 완전히 인식하지 못합니다.

플랫 네트워크의 보안 위험

조직은 주로 네트워크 경계 방어에 집중하는 경향이 있습니다. 하지만 경계 보안에 대한 투자만으로는 한계가 있습니다. Verizon 데이터 유출 2018 보고서에 따르면, 작년에 2,216건의 유출이 확인되었습니다. 보고서에 따르면 이러한 침해 중 73건(% )은 외부 공격자가 저지른 것으로 나타났습니다. 해킹과 멀웨어는 여전히 만연해 있습니다.

이러한 통계는 우리가 더욱 강력하고 높은 '벽'으로 경계를 보호하려는 최선의 노력에도 불구하고 이러한 조치만으로는 네트워크에 침투할 수 있는 모든 역량과 자원을 갖춘 악의적인 공격자들을 차단할 수 없음을 강조합니다. 새로운 사고방식이 필요합니다. '침해 가정'을 통해 네트워크 방어가 뚫릴 것이라는 가정 하에 주도적으로 대응해야 합니다. 또한, 네트워크가 평평한 경우 악의적인 공격자는 손상된 단일 시스템 또는 디바이스(비치헤드)를 가장 중요한 자산으로 이동하기 위해 네트워크를 가로질러 횡방향으로 이동하는 발판으로 사용할 수 있습니다.

플랫 네트워크에서는 기본 정책이 모든 디바이스와 애플리케이션이 서로 통신할 수 있도록 허용하므로 보안팀이 어떤 연결과 데이터 흐름이 합법적인지 판단하기 어렵습니다. "예를 들어, 회사에서 지급한 노트북을 회사의 인쇄 서버에 연결하여" 으로 접속하면 쉽고 빠르게 문서를 인쇄할 수 있습니다. 데스크용 IP 전화기가 동일한 공용 네트워크에 있을 수 있지만, 그 IP 전화기가 해당 프린트 서버와 통신하는 것이 합리적일까요? 보안 시스템은 이러한 트래픽과 연결이 비정상적인지, 침해의 지표가 될 수 있는지 여부를 탐지하는 데 어려움을 겪습니다.

또한 플랫 네트워크는 공격자가 조용히 네트워크를 통과하려고 시도할 때 숨어 있기가 더 쉽습니다. 체류 시간으로 알려진 이 기간은 전 세계적으로 평균 101일에 달합니다. 그리고 해커가 최대 몇 년 동안 탐지되지 않은 유명 공격들을 멀리 돌아보지 않아도 찾을 수 있습니다.

위협은 내부에서 발생할 수도 있습니다.

플랫 네트워크는 또한 (잠재적인) 악의적인 내부자의 놀이터 역할을 하기도 합니다. 내부자가 가장 먼저 시도하는 것은 더 많은 자격 증명을 수집하거나 기존의 상승된 권한을 사용하여 자신의 역할 범위를 벗어난 시스템에 액세스하는 것입니다. 2단계 인증(2FA) 또는 다단계 인증(MFA)은 사용자의 자격 증명이 도용되는 문제를 해결하기 위한 확실한 대응책입니다.

그러나 모바일 및 M2M(사물 간 통신) 디바이스는 네트워크 내부와 다른 모든 네트워크에서 데이터 트래픽이 증가하는 두 가지 주요 원인입니다. 더 많은 비즈니스 시스템이 서로 상호 작용해야 하며 이러한 유형의 트래픽에는 인증이 필요한데, 이는 단순히 2FA 또는 MFA로 해결할 수 없습니다. 이 문제는 다양한 커넥티드 디바이스에 걸쳐 존재하며 고객 데이터 저장소 및 결제 시스템과 같은 중요한 자산을 위험에 빠뜨립니다.

플랫 네트워크에서 위험을 완화하는 방법

위에서 언급했듯이 "위반을 가정하고" 사고방식으로 시작해야 합니다. 조만간 최고의 경계 방어 체계도 뚫리게 될 것입니다. 이러한 사고방식은 공격자처럼 생각할 수 있게 해주며 CISO가 다음과 같은 적절한 질문을 할 수 있게 해줍니다:

• 공격자가 네트워크에 거점을 확보한 후 탐색하려고 시도하는 고가치 자산은 무엇일까요? 
• 플랫 네트워크 내에서 공격자의 자유로운 이동과 지속성을 막기 위해 어떤 조치를 취하고 있나요?

대답이 "아무것도 없다"거나 "방화벽과 VLAN 몇 개"라면 CISO는 이러한 위험을 줄이기 위한 조치를 추진해야 한다는 것을 알고 있습니다.

1. 가장 중요한 자산을 파악하세요: 당연해 보일 수도 있지만, 고가 자산의 분류는 누구에게 물어보느냐에 따라 달라질 수 있습니다. 그렇기 때문에 주요 이해관계자(예: CISO와 법무 및 재무팀 등)를 모아 회사 인프라 내의 자산과 애플리케이션의 위험을 매핑하는 것이 중요합니다. 이를 위한 좋은 방법은 NIST 사이버 보안 프레임워크 (CSF)를 활용하는 것입니다.
2. 최상의 보호 또는 제어 결정: ID 및 액세스 관리(IAM), 취약성 관리, 세분화 등 핵심 애플리케이션을 보호하는 데는 여러 계층이 있습니다. 세분화는 인증된 디바이스에서만 애플리케이션에 액세스할 수 있고 해당 디바이스가 중요한 애플리케이션의 특정 비즈니스 프로세스에만 액세스할 수 있도록 하는 NIST CSF에 부합하는 제어 기능 중 하나입니다.
3. 잠재적 솔루션 파악하기: 솔루션 세트 결정은 주요 이해관계자(예: 보안 엔지니어링, 네트워크 엔지니어링 및 애플리케이션 팀 등)를 파악하여 시장에서 사용 가능한 솔루션을 살펴보는 것으로 시작됩니다. 여러 공급업체의 다양한 세분화 접근 방식을 살펴보고 세분화가 떠오르는 시장이라는 점을 명심할 것을 적극 권장합니다.

안타깝게도 플랫 네트워크의 인기가 높아지면서 악의적인 공격자들의 욕구도 커지고 있습니다. 이는 위험한 조합이 될 수 있습니다. 플랫 네트워크의 위험을 인식하는 것이 첫 번째 단계입니다. "유출을 가정한다"는 사고방식으로 바꾸면 이러한 위험을 완화하는 프로세스가 시작됩니다. 마지막으로, 이미 침해당했지만 아직 알지 못한다는 가정 하에 제로 트러스트 전략을 구현하면 네트워크가 평평한 조직이 공격자의 놀이터가 되는 것을 방지할 수 있습니다.