[기고] 물샐틈없는 보안, 가능하다

2024. 3. 24. 19:00
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
신은수 AWS 보안전문솔루션즈 아키텍트

제로트러스트가 보안 관행을 최적화하는데 어떻게 도움이 되는지에 대한 문의가 점점 늘어나고 있다. 국내에서도 과학기술정보통신부가 지난해 7월 '제로트러스트 가이드라인 1.0'을, 12월에는 국내 기업망 환경에 적용할 수 있는 '제로 트러스트 기본모델 2종'을 공개했다. 국가정보원은 2026년까지 국가·공공기관 대상으로 제로트러스트를 적용하겠다고 발표했다. 가트너에 따르면 2025년까지 60% 이상 조직이 보안 시작점으로 도입할 것으로 전망되는 등 제로트러스트가 큰 화두가 되고 있다.

과거에는 전통적 망 분리 개념으로서 인터넷과 인트라넷을 명확히 구분했고, 인터넷 경계에서 방화벽과 ACL(접근제어목록) 정책을 엄격하게 적용했다. 하지만 하이브리드 네트워크 환경 확산에 따라 트래픽 패턴이 다양해지고 인터넷과 인트라넷을 넘나드는 트래픽이 증가하면서, 네트워크 위치에 따라 제어하는 경계 기반 보안모델을 제로트러스트 인증 모델로 변경할 필요성이 대두됐다.

제로트러스트는 기존의 네트워크 중심 경계 기반 보안모델을 강화하는 방식이 아니라 데이터 중심의 새로운 보안모델이다. IaaS(서비스형 인프라), PaaS(서비스형 플랫폼), SaaS(서비스형 소프트웨어) 등 클라우드의 안전한 도입을 가속화하고 분산된 사이버 보안 데이터를 중앙 집중화하는, 현대화된 사이버보안 접근방식이다.

복잡한 시스템 액세스 절차를 중앙 집중화하고 간소화할 수 있으며, 이를 통해 기업은 사이버보안 현대화 전략에 맞춰 작업 우선순위를 정하고 기술·인력·자본을 투자할 수 있다.

제로트러스트뿐만 아니라 IT시스템의 취약점을 찾아내는 프로브 스니핑(probe sniffing) 역시 많은 기업의 관심을 사고 있다. 위협 모니터링과 보안팀이 취해야 하는 조치를 통칭해 TI(위협 인텔리전스)라고 하는데, 이런 인텔리전스는 기업에게 가장 중요한 예방 영역이다. 중단과 비용이 발생할 수 있는 사이버공격을 성공적으로 방어하는 데 중요한 부분이기 때문이다.

미끼 센서와 교란 도구로 구성된 내부 사이버보안 도구 모음인 매드 팟(Mad Pot)과 같은 서비스는 TI(위협 인텔리전스)를 제공해 네트워크 데이터를 자동으로 무효화하고, 악의적인 활동을 탐지해 경고를 보내 고객이 각종 위협에 대처할 수 있게 돕는다.

일례로 지난해 5월 국가지원 해킹그룹인 볼트 타이푼(Volt Typhoon)이 미국 주요 인프라에 스파이웨어를 심은 것으로 추정되는 사건이 발생했다. 이때 매드 팟은 위협에 대해 자세히 알아보고 고객에게 어떤 영향을 미칠 수 있는지 파악할 수 있는 인텔리전스를 제공, 영향을 받은 고객에게 경고를 보내고 가해자를 조사하는 연방기관에 귀중한 정보를 제공할 수 있었다.

마찬가지로 2022년 러시아 연계 해킹그룹인 샌드웜(Sandworm)은 보안 어플라이언스라고 여긴 제품의 취약점 악용을 시도했지만, 실제로는 그럴듯한 워크로드를 모방해 위협을 유인하고 그 동작을 학습하는 매드 팟의 미끼 센서였다.

이처럼 매드 팟이 제공하는 인사이트는 해킹그룹의 IP 주소 및 기타 특징적인 시그니처에 대한 정보를 캡처하고, 고객이 해킹그룹의 표적에 속해있음을 발견하며, 고객에게 위협을 제때 알려 피해를 방지할 수 있도록 한다. 이런 신속한 조치가 없었다면 공격자는 고객 네트워크에 거점을 확보하고 고객이 서비스를 제공하는 다른 조직에 대한 액세스 권한을 얻을 수 있었을 것이다.

이런 종류의 시스템은 허니 팟(위협 행위자의 행동을 포착하기 위해 설정된 미끼)으로 알려져 있으며, 오랫동안 귀중한 관찰 및 TI 도구로 사용돼왔다. 그러나 매드 팟을 통한 접근방식은 시스템 규모와 자동화를 통해 고유한 인사이트를 생성한다. 위협 행위자 행동을 관찰하고 조처를 할 수 있는 위협 행위자를 유인하기 위해 그럴 듯한 수많은 무고한 타깃으로 구성된 것처럼 보이도록 시스템을 설계했다.

통제되고 안전한 환경에서 실제 시스템을 모방하면 유해한 활동을 차단하고 고객을 보호하는데 즉시 사용할 수 있는 가시성과 인사이트를 얻을 수 있다. 물론 위협 행위자들도 이런 시스템이 있다는 것을 알고 있어 수시로 기법을 변경하기 때문에 보안 전문가들 역시 이에 대응하기 위해 항상 노력 중이다.

글로벌 규모 TI를 활용해 신속하게 조치하는 것은 보안을 최우선 과제로 삼기 위한 노력 중 하나에 불과하다. 디지털경제가 성장함에 따라 클라우드와 인프라의 보안을 유지하는 것은 엣지컴퓨팅, AI(인공지능)와 같은 혁신적인 기술의 기반이 된다. 조직은 보안에 대한 공동 책임 모델을 지속해서 수용하고 파트너와 협력해 복잡하고 고도화된 사이버공격에 더 효과적으로 대응해야 한다. TI는 전 세계 기업이 지적재산을 보호하고 새로운 혁신 솔루션을 구현하는 데 도움이 되는 초석이다. 기업이 힘을 합쳐 인사이트를 공유하면 위협 행위자가 성공하기가 더 어려워지고 보안이 전반적으로 향상될 것이다.

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.