제로 트러스트를 통해 조직이 사이버 킬 체인의 각 단계에 대처하는 방법

이 블로그 게시물에서는 사이버 킬 체인에 대해 살펴보고, 신뢰를 전제로 하는 보안 모델이 체인의 1~6단계, 즉 초기 침해 시점까지의 모든 단계를 완화하는 데 어떻게 도움이 되는지, 제로 트러스트 보안 접근 방식이 침해 전 단계에 초점을 맞춘 기존 제어 수준을 크게 높이는 동시에 침해 후 탐지 및 대응을 지원하는 데 필요한 핵심 기능을 제공하는지 살펴봅니다. 결과적으로 제로 트러스트를 채택하는 조직은 악의적인 침입자를 탐지하고 차단하는 데 더 잘 대비할 수 있습니다.

우리 모두는 공격을 막기 위한 심층 방어의 가치를 잘 알고 있습니다. 물론 이러한 이유로 Dropbox는 경계 보호를 위한 차세대 방화벽 (NGFW), 직원 디바이스를 위한 엔드포인트 보안, 생산성 보호를 위한 이메일 및 웹 보안 도구 등 다양한 보안 투자에 투자하고 있습니다.

이러한 예방 도구와 심층 방어의 가치는 사이버 침입을 식별하고 방지하기 위한 사이버 킬 체인에 담겨 있습니다. 2011년 록히드 마틴이 공식화한 사이버 킬 체인은 지난 10년 동안 조직이 보안 제어를 계획하는 방법을 정의하고, 그 결과 사이버 복원력을 측정하는 방법을 결정해 왔습니다. 7단계는 다음과 같습니다:

1. 정찰: 공격자는 공격 전에 대상에 대한 정보를 수집합니다.
2. 무기화: 사이버 공격자는 감염된 Microsoft Office 문서, 피싱 이메일 또는 멀웨어와 같은 공격을 만듭니다.
3. 전달: 전달: 실제 피싱 이메일 전송과 같은 공격의 전송
4. 익스플로잇: 시스템에서 실행되는 익스플로잇과 같은 공격의 실제 '폭발'을 의미합니다.
5. 설치: 공격자가 피해자에게 멀웨어를 설치합니다(모든 공격에 멀웨어가 필요한 것은 아닙니다).
6. 명령 및 제어: 현재 손상된 시스템은 사이버 공격자가 제어권을 얻기 위해 명령 및 제어(C&C) 시스템으로 '홈 호출'합니다.
7. 목표에 대한 행동: 공격자는 이제 액세스 권한이 있으며 목표를 달성하기 위한 작업을 진행할 수 있습니다.

"사슬은 가장 약한 고리만큼만 강하다"와 "방어가 최선의 공격 형태"라는 오래된 격언을 되새기며 사이버 킬 체인은 공격자가 초기 감염 또는 환경 내부에 접근하기 전에 왼쪽에서 오른쪽으로, 즉 다른 방식으로 진행 중인 공격을 저지하는 데 중점을 둡니다. 7단계(목표에 대한 조치) 이전 어느 시점에서든 악의적인 행위자를 막을 수 있다면 공격을 성공적으로 저지한 것으로 간주합니다.

그 결과 최근까지 방화벽, 안티바이러스, 웹 게이트웨이 등 모든 공격을 탐지하고 차단할 수 있다고 가정하는 예방적 제어를 지나치게 강조해 왔으며, 이러한 제어는 침입을 가정하지 않고 모든 공격이 탐지되고 차단될 수 있다고 가정했습니다. 그러나 이러한 모든 도구는 기껏해야 '알려진 악의적 행위'를 막는 데 그친다는 동일한 한계를 가지고 있습니다. 이는 다음 가정에 따라 달라집니다:

1. 제 사무실과 인력이 있는 건물은 신뢰할 수 있습니다.
2. 네트워크 경계는 단단하고 신뢰할 수 있습니다.
3. 이 신뢰할 수 있는 경계 내부의 네트워크는 신뢰할 수 있습니다.
4. 이 신뢰할 수 있는 네트워크에 연결된 디바이스는 신뢰할 수 있습니다.
5. 이러한 신뢰할 수 있는 장치에서 실행되는 애플리케이션은 신뢰할 수 있습니다.
6. 이러한 신뢰할 수 있는 애플리케이션에 액세스하는 사용자는 신뢰할 수 있습니다.
7. 공격자는 예측 가능하며 동일한 행동을 반복합니다.

예방적 제어의 목적은 악의적인 행위자를 차단하여 암묵적 신뢰 수준을 유지하는 것입니다. 하지만 공격자가 '알려진 악당'에서 '알려지지 않은 악당'으로 변한다면 어떻게 될까요? 그렇다면 이러한 방어선은 어떻게 구축될까요? 최신의 정교한 공격(표적 침해부터 클라우드 호퍼, 그 사이와 그 이후의 모든 공격)은 특히 이러한 잘못된 신뢰감을 악용하여 킬 체인의 6단계와 7단계로 빠르게 진행하여 1~5단계를 방지하는 제어를 우회하도록 설계되어 있습니다. 그리고 이러한 예방적 통제는 항상 따라잡고 있습니다.

더 진행하기 전에 예방 조치는 모든 조직의 사이버 방어에서 중요하고 필수적인 부분이지만 더 이상 전부는 아니라는 점을 강조하는 것이 중요합니다. 사실 이는 시작에 불과합니다. 특히 전 세계적인 팬데믹으로 인해 모든 분야의 조직이 일하는 방식에 완전한 혁명이 일어나고 뉴노멀이 도래한 2020년에는 이러한 가정이 더 이상 유효하지 않기 때문입니다:

1. 우리 회사는 더 이상 특정 위치에 있지 않습니다.
2. 경계는 존재하지만 모든 것을 포괄하는 것은 아닙니다.
3. 네트워크는 종종 내 조직에만 국한되지 않습니다.
4. 내가 제어하지 않는 디바이스가 내 네트워크에 존재합니다.
5. 비즈니스에서 사용 중인 애플리케이션은 제가 호스팅, 소유, 관리하는 것이 아닌 경우가 많습니다.
6. 사용자는 어디에나 있습니다.
7. 공격자는 예측할 수 없으며 항상 새로운 공격 방법을 찾고 있습니다.

이러한 새로운 가정에 따르면 절대적으로 신뢰할 수 있는 것은 거의 없으며, 우리는 침해를 예방할 확률이 낮은 상황에 처해 있으므로 탐지, 대응 및 봉쇄에 초점을 맞춰야 합니다. 여기서 제로 트러스트를 도입합니다.

제로 트러스트를 세 가지 주요 영역으로 나누는 것이 중요합니다:

1. 컨트롤
2. 모니터링
3. 자동화 및 오케스트레이션

제로 트러스트 제어

제로 트러스트 제어는 명목상으로는 과거의 경계 모델에서 시작된 예방적 제어와 일치할 수 있지만, 출발점은 다릅니다:

• 경계 모델은 내부의 모든 것을 신뢰할 수 있다고 가정하므로 경계의 강도에 지나치게 중점을 두는 획일적인 접근 방식입니다.
• 제로 트러스트에서는 이러한 암묵적 신뢰라는 가정이 존재하지 않으므로 우리는 더 똑똑해져야 합니다:
• 가장 보호가 필요한 것은 무엇인가요?
• 누가 액세스해야 하나요?
• 어디에서 왔나요?
• 언제?
• 왜 그럴까요?
• 상호 의존성이란 무엇인가요?

다음은 제로 트러스트 정책을 구축하는 데 사용하는 데이터 포인트입니다.

공격자의 관점에서 이를 고려하면, 측면 이동, 권한 상승, 재침입 등 단순히 네트워크에 접속하는 것만으로 충분하다고 생각할 수 없게 되면서 침해 성공에 대한 기준이 훨씬 더 높아졌다는 것을 알 수 있습니다. 마이크로세그멘테이션의 효과에 대한 비숍 폭스 보고서에서 살펴본 것처럼, 이와 같은 제로 트러스트 제어는 공격자가 행동을 바꾸고 다른 기술을 활용하도록 강제하여 방어자의 탐지 가능성을 높입니다. 제어에 대한 제로 트러스트 접근 방식은 익스플로잇에 이용 가능한 공격 표면을 줄이는 데 도움이 됩니다. 제로 트러스트 제어 모델은 중요한 데이터를 보호하는 계층을 통해 공격자가 예방 기술을 회피하더라도 자유롭게 움직이기 어렵게 만드는 심층 방어의 업데이트입니다.

MITRE ATT&CK Framework

제로 트러스트의 맥락에서 모니터링 및 자동화/오케스트레이션에 대해 이야기하기 전에 MITRE ATT& CK 프레임워크로 넘어가 보겠습니다. 프레임워크의 출발점은 침해가 발생했다는 가정이며, 초기 침해 시점부터 임무가 성공적으로 종료될 때까지 공격자가 어떻게 행동할지 이해하는 데 중점을 둡니다.  이러한 이해를 바탕으로 특정 이벤트를 단독으로 모니터링하거나 연관성이 있는 경우 추가 조사가 필요할 수 있는 비정상적인 행동의 지표를 제공하는 탐지 기능을 정의할 수 있습니다.

제로 트러스트 모니터링

MITRE ATT&CK 프레임워크는 가시성에 중점을 두어 가능한 한 많은 데이터 소스(네트워크, 방화벽, 프록시, AV, EDR, IAM, OS, 클라우드 서비스 제공업체, 애플리케이션, DB, IoT 등)의 충실도 높은 이벤트를 통해 방어팀이 알려진 공격과 관련된 다양한 행동을 모델링하고 공격자와 그 방법에 대한 추가 지식을 얻으면서 이를 계속 발전시킬 수 있도록 합니다. 제로 트러스트 접근 방식은 이전 접근 방식에서는 볼 수 없었던 가시성을 중시하며, 실제로 제로 트러스트의 모토는 "보이지 않는 것을 보호할 수 없다"라고 할 수 있습니다. 따라서 제로 트러스트 프로그램의 일환으로 가시성을 개선하는 것부터 시작하여 조직이 당할 수 있는 적대적 행동을 모델링하기 위해 MITRE ATT&CK 프레임워크를 사용하는 것과 결합하면 이미 존재하는 기능을 사용하여 사이버 킬 체인의 방어 측에서 가치를 창출할 수 있습니다.

BBC 팟캐스트 '달까지 13분'은 두 번째 시리즈에서 악명 높은 아폴로 13호 탐험을 다루며, 아폴로 우주선의 설계와 전체 운영팀 지원은 예방을 위한 최선의 시도에도 불구하고 탐지 및 대응의 중요성을 강조하는 좋은 비유가 되고 있습니다. 아폴로 임무를 위해 설계된 우주선은 모든 구성 요소에 놀라운 수준의 복원력과 안전장치가 내장되어 있으며, 수많은 실패 시나리오를 테스트하여 예상 가능한 모든 결과를 복구할 수 있도록 보장합니다. 아폴로 13호의 경우 부스터 엔진 한 대의 손실은 나머지 네 대의 발사로 보완되었지만, 임무를 위태롭게 하는 폭발을 유발한 배선 절연의 마모를 방지할 수 있는 설계는 없었으며, 일단 이런 문제가 발생하면 승무원과 미션 컨트롤은 우주선의 원격 측정, 우주 비행사의 관측 및 지상의 전문가에 전적으로 의존하여 문제를 감지하고 격리하고 복구해야 했습니다. 이는 관련 데이터 소스에서 정확한 정확도의 데이터를 확보하고 이 데이터를 효율적으로 분석할 수 있게 되면 보안 운영팀이 사건을 더 정확하게 분류할 수 있게 되어 어떤 사건(또는 사건의 조합)을 더 조사해야 하는지, 어떤 사건을 안전하게 무시해도 되는지 더 나은(그리고 더 빠르게) 결정을 내릴 수 있음을 보여주는 좋은 예입니다.

제로 트러스트 자동화

보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼의 부상은 공격의 탐지 후 단계를 모두 처리하고 탐지에서 대응으로 효율적으로 이동할 수 있는 기술을 제공하는 데 중점을 두고 있습니다. 일반적인 악성 행동 패턴의 경우, 이 모든 과정을 자동화하여 분석가가 더 정교한 공격을 조사할 수 있는 시간을 확보할 수도 있습니다. 이러한 효율성을 제공하기 위해 SOAR 플랫폼은 관련 데이터를 제공하거나 필요한 대응 조치를 취하는 기술 솔루션과의 통합 능력에 따라 달라집니다. 그렇기 때문에 오케스트레이션과 자동화는 제로 트러스트에서 필수적인(그러나 종종 간과되는) 요소입니다. 자동화를 통해 새로운 설정을 오케스트레이션하거나 계획된 변경의 일부로 기존 설정을 수정하는 것은 상당한 운영상의 이점을 제공하지만, 보안 사고에 대응하기 위해 동일한 플랫폼을 신속하고 일관되게 오케스트레이션할 수 있을 때 진정한 보안 이점을 실현할 수 있습니다.

다시 시작점으로 돌아가 보겠습니다:

• 보안에 대한 기존의 경계 접근 방식은 사이버 킬 체인의 일부만 다루기 때문에 침해 이후 단계에 대해서는 거의 알지 못합니다.
• 제로 트러스트는 보호 대상에 대한 감사부터 시작하여 예방 기능을 크게 향상시킵니다(예 중요한 데이터 또는 주요 애플리케이션)에 대한 제어를 적절한 최소 권한 접근 방식으로 구축해야 합니다.
• 제로 트러스트는 '침해를 가정한다'는 입장에서 시작하며, 침해 후 탐지를 지원하기 위해 고품질 로그를 제공하는 솔루션에 중점을 둡니다.
• 또한, 고객이 제로 트러스트를 달성하는 데 도움이 되는 기술은 오케스트레이션과 자동화가 잘 이루어져야 한다는 주장은 사고에 대한 자동화된 대응에서 SOAR 플랫폼을 지원할 수 있다는 것을 의미합니다.

따라서 제로 트러스트 접근 방식을 채택하면 사이버 킬 체인의 첫 6단계를 차단하는 데 중점을 두었던 기존의 경계 접근 방식을 강화하는 동시에 공격자가 7단계에 도달하여 의도한 행동을 시도할 경우 이를 탐지하고 차단하는 데 집중할 수 있는 역량을 갖춘 조직으로 무장할 수 있습니다.

일루미오의 제로 트러스트 접근 방식에 대한 자세한 내용은 https://www.illumio.com/solutions/zero-trust에서 확인하세요.