공격 표면 관리 개념과 최소화 방안 동향
주간기술동향 2022.9.14
국경완_국방통합데이터센터 실장
공격 표면 관리 개념과 최신 동향
공격 표면 관리 개념
오늘날의 공격 표면은 물리적 IT 자산을 넘어 전체 디지털 공간을 포관한다.
공격 표면은 공격자 또는 권한이 없는 사용자가 시스템을 액세스하여
데이터를 입력하거나 추출할 수 있는 모든 가능한 공격 벡터의 총 수를 말한다.
공격 벡터는 해커가 시스템에 액세스하는 데 사용하는 방법 또는 경로를 말하는 것으로
잘못된 구성(misconfiguration), 멀웨어(malware), 랜섬웨어(ransomware),
피싱(phishing), 디도스 공격(DDOS attacks), 손상된 자격 증명(compromised credentials),
악의적인 내부자(malicious insiders), 암호화 누락 또는 불량(missing or poor encryption),
패치되지 않은 취약점 악용(exploiting unpatched vulnerabilities) 등이 있다.
물리적 공격 표면은 물리적 공격 노출 영역에 해당하는 테스크톱, 하드드라이브, 랩톱,
모바일 장치 및 USB 포트와 같은 모든 앤드포이트 장치가 포함된다.
디지털 공격 표면은 조직의 디지털 공격 노출 영역에 해당하는 조직의 네트워크에
연결되는 모든 하드웨어 및 소프트웨어가 포함된다.
이러한 표면의 몇가지 예에는 애플리케이션, 코드, 포트, 서버, 새도우 IT 및 웹사이트가 포함된다.
디지털 공격 표면은 고전적인 디지털 공격 표면과 외부 공격 표면으로 나눌 수도 있다.
취약한 공격 벡터가 많을수록 공격 표면이 커진다.
공격표면의 크기가 증가한다는 것은 사이버 보안 기술 격차가 계속 커지고 있다는 의미이다.
공격 표면 관리방법
공격 표면을 효과적으로 관리하기 위해서는 관리(management), 취약성(vulnerabilities) 및
온라인 존재(online presence)라는 세 가지 주요 개념이 있다.
첫째, 공격 표면 관리는 조직이 인터넷 연결과 관련된 위험을 최대한 쉽게 최소화할 수 있도록 하는 것이다.
둘째, 유출된 전자 메일 주소, 사용자 이름, 암호, 로그인 페이지, 전화번호, 열린 데이터베이스,
회사 비밀, 도메인 등록 기관 정보, 열린 포트 등과 같은
취약점은 적이 효과적으로 활용할 수 있는 모든 사항이 해당된다.
마지막으로 온라인 존재는 인터넷과의 모든 상호작용이 작은 디지털 발자국을 남긴다는 점을
강조하기 때문에 공격 표면 관리에서 매우 중요하다.
공격 표면 관리 최신 동향
공개 디지털 자산의 확장과 클라우드 인프라의 사용 증가로 인해 기업 IT가 더욱 분산됨에 따라
조직의 공격 표면 관리를 시각화하고 우선순위를 지정하는 새로운 방법이 필요하다.
가트너는 CAASM(Cyber Asset Attack Surface Management, 사이버 자산 공격 표면 관리),
EASM(External Attack Surface Management, 외부 공격 표면 관리) 및
DRPS(디 지털 위험 보호 표면)의 세 가지 ASA 분류를 정의하여 제시하였다
CAASM는 보안팀이 지속적인 사이버 보안 자산 가시성과 취약성
문제를 해결할 수 있도록 지원하는 새로운 기술이며,
CAASM 기술은 보안 및 IT팀에 기존 도구와 API 통합을 통해 모든 자산
(내부 및 외부, 클라우드 및 온프 레미스 모두)에 대한 완전한 가시성 확보,
통합 데이터 쿼리, 보안 통제의 취약점 및 격차의 범위 식별,
사고대응 가속화 및 문제 해결 등과 같은 기능을 제공해준다.
EASM 솔루션은 알려지지 않은 외부 자산 및 네트워크를 검색하는 데 가장 일반적으로 사용되는 개념이며,
조직의 보안 운영 프로그램에 대한 인프라 기반 취약성을 식별한다.
DRPS는 잠재적인 공격자가 인식하는 방식에 의거 우선순위에 따라 디지털 공간 전체에서 위협을 식별하고,
우선순위를 지정하고, 해결하는 조직의 능력을 향상시키기 위해 탄생했다.
DRPS는 고급 위협 탐지 기술로 외부 사이버 보안 팀을 보강한다.
DPRS에서 이러한 서비스를 활용하면 비용이 많이 드는 내부 보안팀을 구성할 필요가 없어져
기업이 디지털 위험 보호 노력을 빠르고 비용 효율적으로 확장할 수 있다
공격 표면 최소화 방안
제로 트러스트 모델
제로 트러스트는 필요한 것만 액세스하도록 지속적으로 제한하고 변칙적이거 나 악의적인 활동을 찾는다.
이 모델에서 조직은 적절한 사람만 적절한 리소스에 액세스할 수 있도록 하는 것이 중요하다.
공격 표면 가시성 증가
공격 표면 가시성을 통해 IT 위험 노출 정도를 이해함으로써
보안팀은 공격을 우회하거나 영향을 최소화하고 대응할 수 있다.
복잡성 제거
불필요하거나 사용하지 않는 소프트웨어 및 장치는 조직에서 제거하거나 비활성화해야 한다.
왜냐하면, 불필요한 소프트웨어나 하드 웨어는 악의적인 행위자 악용에
더 취약할 뿐만 아니라 진입점으로 사용될 수 있기 때문이다.
지속적이고 가속화된 정찰
조직은 취약점을 찾기 위해 디지털 자산과 데이터 센터를 정기적으로 스캔해야 한다.
이러 한 스캔에서 조직은 클라우드 및 온프레미스 네트워크를 평가할 수 있다.
조직은 이 스캔을 수동으로 수행하거나 플랫폼이나 도구를 사용하여
지속적이고 빠른 정찰을 수행할 수도 있다.
네트워크 세분화
방화벽과 같은 도구와 마이크로 세그멘테이션과 같은 전략을 통해
조직은 악의적인 행위 자에 대한 장벽을 추가하여 공격 표면을 최소화할 수 있다.
기본적으로 세분화는 공격 시 측면 이동을 방지하기 위해 특정 영역 주위에 경계를 설정하고
한 섹션에서 다른 섹션으로의 액세스를 제한하는 것을 의미한다.
네트워크를 세분 화된 영역으로 분할하면 민감한 애플리케이션이나
데이터에 대한 액세스를 더 잘 제어할 수 있으며
악의적인 트래픽이 네트워크 내에서 통신 채널을 설정하는 것을 방지할 수
있으므로 네트워크에 대한 공격이 성공할 가능성을 줄일 수 있다
직원 교육 및 교육
조직에 대한 가장 큰 잠재적 위협 중 하나는
부적절한 교육으로 인한 사이버 보안 위생 (cyber security hygiene)의 부족일 수 있다.
사이버 위생은 모든 컴퓨터 사용자가 시스템을 정돈하고 안전하게 유지하기 위해
진행해야 하는 선제적 전략을 말하며,
악성코드, 피싱, 바이러스 및 데이터 손실을 막을 수 있는 귀중한 도구라고 볼 수 있다.
많은 경우 악의적인 행위자가 조직을 해킹하기 위해 사람들을 표적으로 삼고 있으므로
취약점을 예방하기 위해 서는 사이버 보안 위생 및 인식 교육이 중요하다.