솔라윈즈 침해: 제로 트러스트로의 패러다임 전환 추진

솔라윈즈 침해 사고와 그 후유증은 기업이 외부 종속성(공급업체, 고객, 파트너 등)과의 모든 접점을 통제하고 검증하는 것이 얼마나 어려운지를 여실히 보여주었으며, "사슬은 가장 약한 고리만큼만 강하다"는 오래된 격언을 더욱 강조합니다.

2010년대 초의 Target 침해와 최근의 소위 '클라우드 호퍼' 공격은 공급망과 관련된 위험, 특히 해당 공급망의 구성원이 네트워크에 직접 액세스할 수 있는 형태(즉, 네트워크 액세스가 필요한 타사 관계)가 있는 경우의 위험을 이미 강조한 바 있습니다. 따라서 이러한 위험에 대한 인식으로 인해 이러한 네트워크 접점에서의 보안 제어에 더욱 집중하게 되었습니다. 이러한 제어 기능을 제대로 구현하면 이러한 접점이 존재하는 위치, 액세스 허용 대상, 액세스 수준, 액세스 모니터링 방법을 명확하게 파악할 수 있습니다. 탐지 및 대응 관점에서 볼 때, 이러한 '선험적' 정보로 인해 보다 명확한 지표 세트를 제공할 수 있습니다.

무엇보다 솔라윈즈 침해는 기술 공급망에서 우리가 예상하지 못했던 지점(즉, 우리가 신뢰하는 소프트웨어 공급업체의 서명된 업데이트)을 공격했다는 점에서 불안한 사건입니다. 하지만 백도어 공격자에게 제공한 기회라는 점에서 우리 모두가 '완벽'하다고 인정할 수 있습니다.

공격의 성공 확률은 사용 가능한 인증정보, 사용 가능한 네트워크 액세스, 악용 가능한 취약점의 함수라고 할 수 있습니다. 이 경우 광범위한 네트워크 액세스 권한과 시스템 및 디렉터리 서비스에 대한 높은 권한을 가진 시스템을 손상시키는 것은 악의적인 공격자의 위시리스트에서 매우 높은 순위를 차지할 것입니다. 오리온 플랫폼은 바로 이러한 기회를 제공했습니다.

공격자들이 어떻게 솔라윈즈의 코드 검증 및 빌드 프로세스를 손상시켰는지는 아직 조사 중이며, 자체 개발을 하는 모든 조직이 동일한 위험을 완화할 수 있는 방법에 대해 큰 관심을 가질 것입니다.

현재 가장 중요한 것은 잠재적 노출이 계속 드러나고 있다는 점입니다. 접근 가능한 수준과 범위가 다양하기 때문에 공격자가 어디까지 접근하고 숨을 수 있었는지 정확히 파악하기 어렵습니다. 오리온 업데이트는 최종 트로피도 아니고 지속적인 존재감이나 접근을 위한 필요성도 아니기 때문에 순전히 대상 조직에 (매우 눈에 띄는) 교두보를 마련하기 위한 목적이었다는 것을 알고 있습니다.

따라서 지속적인 탐지 및 대응에 중점을 두고 있습니다. 그리고 이 점에서 우리 모두의 역할이 중요합니다. 이 대규모 공격을 발견할 수 있었던 것은 노련한 사고 대응 및 사이버 보안 공급업체(FireEye/Mandiant)가 침해당했기 때문에 가능했습니다. 그러나 데이터 유출 후 데이터 도난을 감지하고 이를 공개적으로 공개한 후 초기 대응책을 마련한 것은 피해 기업 중 가장 먼저였습니다. 어쩌면 이 에피소드의 은색 안감 중 하나가 바로 이것일지도 모릅니다.

보안 공급업체는 긴급한 상황에서 Dropbox가 제공하는 솔루션을 사용하여 공격의 전파를 탐지하고 제한(또는 최소한 지연)하는 데 가장 효과적으로 사용할 수 있는 방법을 결정해야 합니다.

• 블루팀이 조직 내 활동을 보다 정확하게 파악하여 보다 명확한 타협 지표를 제공하기 위해 효과적으로 활용할 수 있는 원격 분석이 있나요?
• 측면 이동을 제한하기 위해 신속하게 적용할 수 있는 정책이 있나요?
• 당사의 기술 솔루션이 연결성, 권한 있는 액세스 사용, 워크로드의 취약성 수 등 애플리케이션이 조직에 초래하는 위험을 노출하고 잠재적으로 완화할 수 있을까요?
• 유출된 인증정보가 언제 사용되는지 신속하게 파악하고 추가 액세스를 방지할 수 있나요?
• 여러 보안 솔루션에서 알려진 TTP와 새로운 TTP를 식별할 수 있는 쉬운 상관관계를 도출할 수 있나요?

잠재적인 대상 조직은 어떻게 해야 할까요? 이제 그 어느 때보다 각 자산과 관련된 사이버 위험을 이해하는 것이 가장 중요합니다.

• 가장 중요한 리소스를 신속하게 식별할 수 있나요?
• 이러한 리소스에 대한 액세스 모델을 얼마나 잘 이해하고 있나요?
• 이러한 서버/워크로드와의 아웃바운드 통신을 제어할 수 있나요? 아웃바운드 커뮤니케이션은 처음부터 존재해야 할까요?
• 각 계층(예: 최종 사용자 디바이스, 네트워크, ID 및 액세스 관리, 애플리케이션 등)에서 적절한 모니터링이 이루어지고 있으며 이를 개선할 수 있나요?
• 제로 트러스트/최소 권한에 더 가까워지도록 액세스 정책을 강화할 수 있나요?
• 보안 소프트웨어 개발 관행이 가능한 한 강력하도록 재검토될 예정인가요?

악명 높은 '충격 독트린' 패러다임은 시스템에 혁신적인 변화를 강제하기 위해서는 시스템 전체가 그러한 변화가 필요하다는 것을 깨닫도록 충격을 주어야 한다고 제안합니다. 공급망의 보안과 위험에 초점을 맞추는 것이 맞지만, 진정한 변화는 다음과 같이 이루어져야 한다고 생각합니다:

기술 공급업체는 고객에게 제공하는 기존 솔루션이 탐지 및 대응 기능을 지원하는 데 어떻게 사용될 수 있는지에 대해 교육할 수 있어야 합니다.

고객(즉, 조직)이 집중해야 할 대상은 다음과 같습니다:

• 가장 중요한 자산을 파악합니다.
• 다양한 센서를 사용하여 이러한 자산을 적극적으로 모니터링하여 악의적인 TTP의 지표를 식별합니다.
• 이러한 자산에 대한 액세스 모델을 이해하고 최소 권한 정책을 적용하여 자산을 보호해야 합니다.
   

여러 가지 면에서 제로 트러스트의 시작 패러다임이 바로 여기에 있습니다: "침해가 발생한다고 가정하고 이를 소유하기 정말 어렵게 만드세요."