백서 표적 공격 2012년 7월 APT(지능형 지속 위협) 차단을 위한 전면적인 철저한 방어 Russell Miller CA Technologies 보안 관리 사업부 agility made possible
목차 개요 3 섹션 1: 해결 과제 4 APT(지능형 지속 위협): 이전과 다른 위협 섹션 2: 기회 7 심층 방어 섹션 3: 이점 14 위험 감소 섹션 4: 결론 14 섹션 5: 참조 자료 15 섹션 6: 저자 소개 16 2
개요 해결 과제 오늘날 조직의 보안을 지키는 일은 점점 더 어려워지고 있습니다. 날로 복잡해지는 공격과 표적 공격의 일종인 APT(Advanced Persistent Threats: 지능형 지속 위협)의 등장으로, 조직에서는 공격의 대상이 될 수 있는 보안 취약점에 대한 인식이 높아져 가고 있습니다. RSA Security, Google, Northrup Grumman과 같은 기업은 이미 자사가 APT의 표적이 되고 있다는 사실을 잘 알고 있습니다. 과거에 공격의 대상이 되지 않았다고 해서 앞으로도 안전한 것은 절대 아닙니다. 일단 APT의 표적이 되면 보안 관리자가 일반적으로 경험하는 것과는 전혀 다른 문제, 예를 들어 감지를 피하기 위해 수개월 또는 수년에 걸쳐 간격을 두고 공격 작업이 진행되는 것과 같은 어려운 문제에 직면하게 됩니다. 보안 침해로 인한 손실 규모도 점점 더 늘어나고 있는 추세이므로 경영진들에게 이러한 문제는 더욱 현실적으로 다가오고 있습니다. 기회 APT의 공격으로부터 조직을 방어하는 데에 있어 묘책 이라는 건 없습니다. 조직에서는 잠재적인 보안 침해 위협 요소를 줄여야 하며 보안 침해가 발생할 경우 손해를 완화할 수 있는 여러 개의 보호 계층을 조합하여 사용해야 합니다. 표적 공격을 방어하기 위한 초기의 접근 방식은 방화벽과 침입 감지 시스템을 사용하여 비정상적인 동작을 감지하고 차단함으로써 경계를 보호하는 것이었습니다. 이러한 접근 방식은 특정 유형의 공격을 방어하는 경우에는 효과적일 수 있지만 스피어 피싱 및 사회 공학적 공격 을 비롯한 모든 공격 경로로부터 시스템을 보호하지는 못합니다. 기술 기반 제품이나 기타 제품을 비롯하여 APT로부터 조직을 완벽하게 보호할 수 있는 개별 보안 제품은 없지만 현재 제공되고 있는 크로스 도메인 보안 솔루션은 훨씬 개선된 보안 성능을 지원합니다. 권한 있는 아이덴티티 관리, 정보 보호 및 제어, 내부 인프라 보안은 조직 내에서 서로 격리된 분야로 간주되는 것이 일반적이었으나 이제는 이러한 분야를 상호 보완적인 방식으로 조합하여 IT 인프라 및 데이터 센터의 보안을 개선할 수 있습니다. CA Technologies는 이러한 방식을 아이덴티티 및 데이터 인텔리전스라고 지칭합니다. 이점 조직은 지능형 지속 위협에 대해 잘 숙지하고 이를 차단함으로써 표적 공격의 대상이 되었을 때 발생할 위험을 줄일 수 있습니다. 이러한 위험은 단순히 금전적인 위험에만 국한되지 않으며 해당 조직의 평판, 업무 운영, 법률 및 규정과 관련된 위험도 모두 포함됩니다. 전체적인 시각에서 살펴보자면 APT 차단에 사용 가능한 보안 방식을 도입할 경우 APT뿐 아니라 그보다 덜 교묘하고 자동화된 내부 공격으로부터도 조직을 보호할 수 있습니다. 포괄적인 보안 방식을 채택하면 규정 준수 개선, 클라우드 기반 서비스 제공, 가상화 보안 개선, 비용 절감을 비롯하여 많은 이점을 누릴 수 있습니다. 3
섹션 1: 해결 과제 APT(지능형 지속 위협): 이전과 다른 위협 APT(Advanced Persistent Threat: 지능형 지속 위협)는 기존의 보안 위험과는 다른 문제를 야기합니다. Ponemon Institute는 지난 2011년 평균 보안 비용이 550만 달러에 이를 것이라는 전망 1 을 내놓았으며 이는 각 기업의 경영진들도 보안 침해를 심각한 문제로 여기고 있다는 뜻입니다. 정의 지능형 지속 위협은 특정 기업 또는 기관을 목표로 한 장기적이고 정교한 공격을 말합니다. 공격자는 주로 어느 정부의 지원 하에 다른 정부의 고급 정보를 노리는 경우가 많지만, 민영 조직에서 이러한 공격을 감행하는 경우도 있고 반대로 민영 조직이 공격의 대상이 되는 경우도 있습니다. 이 용어는 2006년에 미국 공군 사령부에서 최초로 사용한 데서 비롯되었습니다 2. NIST(National Institute of Standards and Technology)는 APT를 다음과 같이 정의하고 있습니다 3. 지능형 지속 위협은 정교한 수준의 전문 기술 또는 방대한 리소스를 가진 공격자가 여러 공격 경로 (예: 사이버, 물리적 경로 및 교란)를 사용하여 공격의 목표를 달성할 수 있는 기회를 창출하는 것이다. 공격 목표는 일반적으로 조직의 정보 기술 인프라 내에 발판을 마련하고 확장하여 지속적으로 정보를 빼내거나 미션, 프로그램 또는 조직의 중요한 측면을 약화 또는 방해하거나 향후 그렇게 할 수 있는 입지를 획득하는 것이다. 또한 지능형 지속 위협은 방어자의 저항에 적응하고, 목표를 실행하는 데 필요한 수준의 상호 작용을 끈질기게 유지하면서 긴 시간 동안 반복적으로 이러한 목표를 지속적으로 추구한다. 여러 가지 정의가 있을 수 있겠지만 지능형 지속 위협의 의미를 명확히 파악하는 데 도움이 되는 단어별 정의는 다음과 같습니다 4. Advanced(지능형): 공격자는 표적의 취약점을 악용할 수 있는 정도의 탁월한 기술적 능력을 지니고 있습니다. 이러한 기술적 능력에는 취약한 대규모 데이터베이스에 액세스할 수 있는 능력, 정보 착취 및 코딩 능력 뿐만 아니라 잘 알려지지 않은 취약점을 파악하고 이용할 수 있는 능력까지 포함됩니다. Persistent(지속): APT는 장기간에 걸쳐 이루어지는 경우가 많습니다. 한시적인 기회를 이용하는 단기 공격과 달리 APT는 수년 동안 일어날 수 있습니다. 인터넷 기반 공격에서 사회 공학적 공격까지 총망라한 여러 가지 공격 경로가 사용될 수 있으며, 더욱 중요한 데이터에 액세스하기 위해 가벼운 보안 침해로 위장한 공격을 여러 차례 조합하여 시도할 수도 있습니다. Threat(위협): 위협이 있는 곳에는 항상 공격의 동기와 공격에 성공할 수 있는 능력을 갖고 있는 공격자가 존재합니다. 100% 자동화된 도구는 조직적인 공동 그룹에 의해 더욱 심각한 공격에 이용될 가능성이 충분함에도 불구하고 APT로 간주되지 않습니다. 대규모 조직의 경우 공격의 50%가 2011년도에 계획된 것으로, 이는 곧 전체 기록의 64%가 유출되었다는 바를 의미합니다 5. 4
단계 일반적인 지능형 지속 위협은 다음의 4가지 단계로 구성될 수 있습니다. 그림 A. 지능형 지속 위협의 4단계 1. 정찰: 조직의 취약성을 조사하는 단계로, 도메인 쿼리와 같은 기본적인 조사에서 복사 및 취약점 스캔까지 포함될 수 있습니다. 2. 최초 진입: 약점을 이용하여 공격 대상의 네트워크 내부에 발판을 마련하는 단계로, 정교한 기술 수단을 사용하거나 스피어 피싱(지정된 피싱 공격)과 같은 기술을 통해 단일 시스템에 대한 정규 사용자의 액세스 권한을 획득하는 방식으로 이루어질 수 있습니다. 또한 사회 공학적 공격 또는 사용자를 이용하는 공격 방법도 액세스 권한 확보 시 일반적으로 사용되는 수단입니다. 3. 권한 상승 및 제어 확대: 네트워크 경계에 침입한 공격자는 중요 시스템에 대한 추가 권한 및 제어 능력을 확보하려고 합니다. 이 단계에서는 이후 네트워크에 간편하게 액세스하기 위한 백도어 도구 설치 작업이 이루어질 수도 있습니다. 4. 지속적인 악용: 제어 능력을 확보한 공격자는 지속적으로 중요한 데이터를 빼돌릴 수 있습니다. 공격자는 발견될 위험을 낮추기 위해 3단계 및 4단계로 구성된 방법을 수년에 걸쳐 실행할 수 있습니다. APT와 일반 공격의 차이점 APT가 일반적인 공격과 가장 다른 점은 한 조직을 확실한 표적으로 삼는다는 것입니다. 일반적인 공격에는 경계 방어 및 표준 보안 제어 기능을 사용하여 조직을 보호할 수 있지만 이러한 기술로 APT를 차단하기에는 충분하지 않습니다. 인내심이 많은 공격자는 새로운 취약점이 발견될 때까지 기다렸다가 약점을 이용하거나, 소소한 취약점을 한데 조합하여 막심한 손해를 끼치는 대규모 공격으로 만들 수 있습니다. 이러한 위협에 처할 경우 일반적인 규칙으로는 해결하기 어렵습니다. 과거에는 인터넷 연결을 사용하는 다른 조직 및 기업보다 좀 더 개선된 보안 환경을 갖추는 것으로 충분했습니다. 대부분의 공격자는 더 쉬운 표적을 택했기 때문입니다. 그러나 다른 표적을 찾는 대신 천천히 시간을 두고 공격 대상의 약점을 찾아내는 APT의 등장으로 조직은 뚜렷한 공격의 동기를 가진 적으로부터 스스로를 보호할 수 있어야 합니다. APT는 긴 잠복 기간 때문에 공격을 감지하기가 특히 더 어렵습니다. 일반적인 보안 침해의 경우 다량의 데이터를 단시간 내에 빼내가기 때문에 방화벽 및 침입 감지 장치로 보안 침해 여부를 발견하는 것이 가능합니다. 그러나 APT를 수행하는 공격자는 표적이 된 데이터를 수개월 또는 수년에 걸쳐 빼내는 방법을 사용하므로 완벽한 기능을 갖추고 올바르게 구성된 시스템조차도 공격에 무너지곤 합니다. 5
목표 APT 공격자는 특정한 표적을 정해두고 공격을 시도하기 때문에 일반적인 인터넷 해커와는 원하는 목적이 다른 경우가 많습니다. 이를테면 이들은 단순 절도 및 재미를 위해 피해를 가하지 않으며 다음과 같은 목적을 달성하는 데 크게 주력합니다. 정치적 조작 군사적 스파이 활동 경제적 스파이 활동 기술적 스파이 활동 금전의 부정 취득 표적 APT는 정치적인 입김과 정부의 개입이 연루되는 것이 특징이므로 다음과 같은 특정 유형의 조직은 APT 공격을 받을 위험이 더욱 큽니다. 정부 기관 군사방위 조직 및 업체 중요 인프라 시스템(예: 공공 시설, 통신 및 교통 시스템) 정치 조직 금융 기관 기술 회사 사례 RSA 지난 2011년, RSA Security는 APT로 확인된 공격으로 피해를 입었다고 발표했습니다 6. 공격자는 RSA의 내부 사용자가 Adobe Flash의 제로 데이 취약점을 이용한 스프레드시트 첨부 파일이 포함된 전자 메일을 열도록 유도하여 최초 진입에 성공했습니다. 최초 진입에 성공한 공격자는 권한을 상승하고 백도어를 설치한 뒤 추가 시스템에 대한 제어 능력을 확보했습니다. 이 공격자는 SecurID라고 하는 2단계 인증 토큰과 관련된 정보가 있는 RSA 시스템에 액세스할 수 있었는데, 이 정보에는 60초마다 바뀌는 1회성 토큰 암호를 생성하기 위해 RSA에서 사용하는 시드 값이 잠재적으로 포함되어 있었습니다. 만일 소스 코드 자체를 도난당했다면 공격자는 SecurID 구현 또는 암호화 자체의 취약점을 찾아낼 수도 있었을 것입니다. Operation Aurora Operation Aurora는 Google, Adobe, Rackspace, Juniper Networks를 비롯한 수많은 대기업을 공격 대상으로 삼았던 APT 공격입니다. 언론 보도에 따르면 Yahoo, Northrup Grumman, Morgan Stanley, Symantec, Dow Chemical을 포함한 다수의 다른 회사도 표적이 되었으며 7 중국 정치국에서 미국 및 기타 서구 국가에 반한 대규모 공동 작전의 일환으로 지시한 공격이었던 것으로 알려졌습니다 8. APT는 감지하기가 매우 어렵습니다. Verizon의 2012년도 Data Breach Investigations Report(데이터 침해 실태 조사 보고서)에 따르면 전체 조직의 92% 및 대규모 조직의 49%가 보안 침해 사실을 외부 당사자에 의해 알게 되었다고 합니다 9. 6
섹션 2: 기회 심층 방어 지능형 지속 위협을 차단할 수 있는 가장 좋은 방법은 심층 방어입니다. 충분한 시간만 허락된다면, 끈질긴 공격자는 대부분의 네트워크 경계를 침해할 수 있습니다. 그러나 올바른 방어 환경을 구축한다면 다음과 같은 성공적인 결과를 이끌어낼 수 있습니다. 1. 공격자의 최초 침입이 어려워집니다. 2. 계정이 손상된 경우 권한 상승이 이루어질 가능성을 최소화합니다. 3. 공격자가 권한을 얻은 경우라 할지라도 손상된 계정으로 수행할 수 있는 작업을 제한하여 피해 범위를 줄입니다. 4. 손상된 계정 및 의심스러운 활동을 초기에 감지합니다. 5. 과학 수사에 유용한 정보를 수집하여 피해를 입은 항목, 시기, 가해자를 파악할 수 있습니다. 방화벽 및 침입 감지 시스템을 통해 네트워크 경계를 보호하는 것은 첫 번째와 네 번째 방어 방법에만 도움이 될 수 있습니다. 따라서 보다 적극적인 보호 전략이 요구됩니다. 조기 감지 보안 침해는 공격자가 내부 네트워크에 액세스하여 피해를 입히거나 다량의 데이터를 유출한 이후에야 감지되는 경우가 많습니다. 이 시점에서 APT를 방어 하려면 많은 비용이 드는 피해 관리, 정리 및 지속적인 모니터링 프로세스가 수반됩니다. 합리적인 비용과 관리 가능한 방식으로 APT에 대응하려면 최대한 빨리 위협을 감지할 수 있어야 합니다. 공격자가 네트워크 내부에 발판을 확보하는 공격 초기 단계에서는 조직이 다양한 기술을 사용하여 위협을 감지하는 것이 가능합니다. 여기에는 시스템 관리에서 시스템 보안 분리 및 외부화, 권한 상승 및 권한의 무단 사용 시도 방지 및 감지, 운영 체제 로그 이외의 사용자 활동 감사 및 기록(이러한 감사 및 기록은 공격자가 인식하지 못할 수 있음)이 포함됩니다. 권한 있는 아이덴티티 관리, 정보 보호 및 제어, 내부 인프라 보안은 조기 감지와 함께 심층적인 APT 방어의 핵심적인 부분을 차지합니다. 이러한 기술은 아래의 섹션에서 자세히 살펴보겠습니다. 권한 있는 아이덴티티 관리 PIM(Privileged Identity Management: 권한 있는 아이덴티티 관리) 도구는 Windows의 Administrator 와 UNIX 및 Linux의 root 와 같은 관리자 계정을 관리하고 모니터링합니다. PIM 시스템은 다음과 같습니다. 관리자 계정에도 최소 권한 의 원칙을 시행합니다. 권한 있는 사용자 암호 관리 기능을 통해 공유 계정에 대한 액세스를 관리합니다. 사용자 활동을 추적하여 책임 소재를 강화하고 보안 침해 수사를 지원합니다. 7
최소 권한 액세스 모든 사용자에게 작업을 수행하는 데 필요한 최소한의 권한만을 부여하는 것입니다. 많은 조직에서는 이 개념을 이해하면서도 실제로 시행할 때는 제대로 적용하지 못하는 경우가 많으며, 특히 관리자 계정을 다룰 때 이러한 오류를 범하곤 합니다. 특정 수준의 권한 있는 액세스가 필요한 개인 사용자에게는 일반적으로 그와 관련된 관리자 계정의 암호가 제공되며 여러 사용자가 이 암호를 공유합니다. APT가 만연한 상황에서 조직이 반드시 깨달아야 할 부분은 액세스 권한을 사용자에게 통째로 허여하거나 일체 허여하지 않는 이분법적인 방식으로 관리해서는 안 된다는 점입니다. 매우 세부적인 작업을 수행하는 데만 필요한 상승된 권한을 각 개인 사용자에게 허여할 수 있습니다. 과거에는 이러한 권한 허여가 UNIX 및 Linux 시스템의 sudo 도구를 통해 이루어졌으나, 최신 액세스 제어 도구를 사용하면 UNIX는 물론 Windows 시스템에서도 중앙에서 액세스 권한을 허여하고 거부할 수 있습니다. 보안 모델: 시스템 관리에서 보안 분리 일반적인 운영 체제에는 권한 있는 사용자와 일반 사용자로 구성된 2계층 보안 모델이 존재합니다. 그러나 APT에 대응하려면 보다 정교한 모델이 있어야 합니다. 이러한 모델은 최소 권한 및 직무 분리 를 위한 표준 보안 원칙을 바탕으로 하며, 최소한 다음 3가지 기본 관리 역할을 정의해야 합니다. 시스템 관리자: 시스템 자체 관리자는 필수 서버 소프트웨어 업데이트, 구성 변경, 소프트웨어 설치에 필요한 권한을 갖습니다. 시스템 관리자는 중요 보안 설정을 변경하거나 보안 관련 로그를 볼 수 없습니다. 보안 관리자: 이 관리자는 보안 설정 및 구성을 업데이트 및 변경하고 보안 관련 로그 파일을 볼 수 있습니다. 보안 관리자는 소프트웨어를 설치하거나 시스템의 중요 데이터에 액세스할 수 없습니다. 감사 담당자: 감사 담당자는 보안 설정을 점검하고 로그 파일을 볼 수 있지만 시스템 변경은 수행할 수 없습니다. 중요한 파일에 액세스해야 하는 경우가 발생하더라도 모든 액세스 권한은 읽기 전용으로 제공됩니다. 필요한 경우 데이터베이스 관리자 또는 기타 중요 애플리케이션 관리자와 같은 추가 관리자 유형을 만들 수 있습니다. 다층적 보안 모델을 사용하면 개인 사용자가 수행할 수 있는 작업을 제한하여 내부 관리자에 의한 내부 위협으로부터 조직을 보호하고, 외부 공격자의 APT 시도를 더욱 어렵게 만듦으로써 2가지 목표를 동시에 달성할 수 있습니다. 이러한 환경에서 공격자가 시스템에 대한 전체 액세스 권한을 보유하려면 하나의 수퍼유저 계정이 아닌 여러 계정의 액세스 권한을 확보해야 합니다. 세부적인 제어 세부적인 제어는 보안 유지를 위한 모범적인 방법이기도 하지만 APT로 인한 피해를 줄이는 데 특히 유용합니다. 공격자가 관리자 권한을 획득하면 일반적으로 백도어 루트킷 을 설치하여 중요한 데이터를 빼돌리기 시작합니다. 그러나 액세스 권한이 적절하게 제어되면 권한 있는 액세스를 보유한 공격자라 할지라도 수행할 수 있는 작업이 제한되므로 중요한 파일에 액세스하여 악의적인 명령을 실행하고, 프로그램을 설치하고, 서비스를 중단하거나 시작하고, 로그 파일을 변경하는 등의 행위를 방지할 수 있습니다. 일반 시스템에서는 공격자가 단일 계정만 손상시켜도 작업을 수행할 수 있었으나, 세부적인 제어가 구현된 시스템에서는 여러 계정을 손상시키지 않으면 원하는 작업을 수행할 수 없습니다. 8
액세스 권한을 세부적으로 제어하면 조직의 가장 큰 보안 약점인 사용자 로 인한 위험도 줄일 수 있습니다. 공격자는 사회 공학적 공격 이라는 기술을 통해 직원을 비롯한 내부자를 속여 계정에 액세스하거나 다른 보안 약점을 발견하는 데 사용되는 정보를 제공하도록 유도합니다. 중요한 시스템 및 직원 데이터에 대한 액세스 권한을 제한하면 사회 공학적 공격을 통해 계정의 액세스 권한을 확보한 공격자가 끼칠 수 있는 피해의 범위가 줄어듭니다. 공유 계정 관리 공유 계정 관리(또는 권한 있는 사용자 암호 관리 )는 APT에 대응하는 데 반드시 필요한 핵심 방어책입니다. 거의 모든 공격의 성공 여부는 권한 있는 아이덴티티에 대한 액세스 권한을 확보(주로 권한 상승을 통해)하는 중간 단계에 의해 결정됩니다. 따라서 권한 있는 사용자 암호 관리 도구는 다음을 수행할 수 있어야 합니다. 암호화된 암호를 안전하게 저장 암호의 복잡성 및 정기적인 자동 변경 사항을 정책에 따라 관리 모든 액세스가 중앙 집중식 포털을 통해 이루어지도록 설정하여 관리 계정에 대한 액세스를 제한 자동 로그온 기능을 사용하여 권한이 있는 사용자라도 권한 있는 계정에 대한 암호를 알지 못하도록 제한 추가 제어 및 승인이 필요한 긴급 계정 액세스 제공 주로 일반 텍스트로 저장되어 악의적인 사용자의 표적이 되는 스크립트에서 하드 코딩된 암호 사용 제거 이러한 기능은 암호 공유를 방지할 뿐만 아니라 개인 암호 파일에서 암호를 훔치거나 키 입력 로깅을 통해 암호를 절도하는 일을 방지합니다. 모든 권한 있는 계정 로그인이 중앙 프록시를 통과하도록 강제하면 보안 침해 시 모든 로그인 및 활동을 추적하여 수사를 지원하고 피해 규모를 줄일 수 있습니다. 사용자 활동 보고 APT에 대응하고 최초 공격 성공 시 피해를 최소화하려면 권한 있는 계정이 어떤 작업을 수행하고 있는지 파악하는 것이 중요합니다. APT는 공격의 특성상 상당량의 데이터를 내보내는 경우가 많기 때문에 올바른 도구를 사용하면 이러한 움직임을 감지할 수 있습니다. 사용자 활동 로그는 시스템 또는 네트워크 장치에서 일어나는 시스템 및 사용자 활동의 증거가 되므로 정책 위반을 식별하고 보안 침해를 수사하는 데 사용될 수 있습니다. HIPAA 및 CA SB 1386과 같은 규정을 비롯한 수많은 국가의 침해 통지 법률에 따라 조직은 영향을 받은 개인 또는 조직을 대상으로 보안 침해 사실을 알려야 합니다. 보안 침해를 수사하는 과정에 사용자 활동 로그를 활용하면 누가 무엇을 행했는지는 물론, 공격이 어떻게 발생했는지도 알아낼 수 있으므로 내부 제어를 확고히 하고 프로세스를 개선할 수 있습니다. 9
사용자 활동 보고 도구는 다음을 수행할 수 있어야 합니다. 전체 추적: 로그인, 특히 권한 있는 계정 및 공유 계정에 대한 로그인(소스 IP, 공유 계정에 액세스하는 원래 사용자 ID, 로그인 및 로그아웃 시간 및 날짜 포함) 원래의 사용자 ID로 돌아가는 공유 계정 활동 명령줄 또는 GUI를 통해 입력된 명령 비정상적인 동작 감지: 의심스러운 활동 식별 및 경고 생성 감사 로그의 복잡한 패턴을 분석하여 사용자 활동과 활동을 수행한 개인 사용자를 연결하는 로그 상관관계 기능 제공 침해 수사: 공유 계정 환경에서 누가 무엇을 행했는지 를 입증 사용자 및 리소스 활동 조사와 정책 위반 사항 식별에 큰 도움이 되는 드릴다운 기능을 갖춘 시각적 로그 분석 도구 제공 침해 사건이 발생할 경우 조직은 이러한 기능을 사용하여 다음을 파악할 수 있습니다. 공격자가 계정에 대한 액세스 권한을 확보한 방법 해당 계정을 사용하여 공격자가 수행한 작업 및 피해 상황 동일하거나 유사한 방법을 사용하여 시도하는 후속 공격을 방지하는 방법 공격자의 신원 및 위치를 잠재적으로 파악 규제 기관에 보고해야 할 정보 중요한 점은 로그 자체를 관리자로부터 보호할 수 있어야 한다는 것입니다. 권한 있는 사용자는 시스템에 로컬로 저장된 로그의 위치를 알 수 있고 조직 내에서 사용되는 감사 정책을 검색할 수 있습니다. 올바른 세부 제어를 구현하지 않은 경우, 관리자는 시스템에 완벽하게 액세스할 수 있기 때문에 로컬 로그 파일 내의 기록을 삭제하는 방법으로 자신의 흔적을 감출 수 있습니다. 조직은 이러한 권한 있는 사용자가 액세스할 수 없는 원격 위치에 로그를 저장하는 동시에 모니터링을 수행하여 시스템 전체에서 로컬 로그 파일을 삭제하려는 시도가 있을 경우 이를 감지해야 합니다. 정보 보호 및 제어 APT의 최종 목적은 중요한 데이터를 빼내는 것이므로 성공적인 방어를 위해서는 데이터에 대한 제어 기능을 갖추는 것이 필수적입니다. 중요한 데이터를 APT로부터 보호하려면 다음 4가지 상태의 데이터를 보호하고 제어할 수 있어야 합니다. 액세스되는 데이터: 부적절한 역할이 액세스를 시도할 수 있는 중요한 정보 사용되는 데이터: 로컬 워크스테이션 또는 랩톱에서 처리되는 중요한 정보 이동하는 데이터: 네트워크를 통해 전달되는 중요한 정보 저장되는 데이터: 데이터베이스, 파일 서버 또는 협업 시스템과 같은 리포지토리에 저장되는 중요한 정보 10
데이터를 올바르게 보호하고 제어하려면 부적절한 데이터 액세스 또는 사용이 감지될 때 제어를 시행하는 데 필요한 정책을 정의해야 합니다. 지적 재산에 액세스를 시도하거나, 정보를 USB로 복사하거나, 전자 메일로 전송하는 등의 정책 위반이 발생할 경우 관련 솔루션에서는 경고를 생성하고 손상을 최소화할 수 있어야 합니다. 모든 데이터 보안 이니셔티브의 중심에는 정보 분류가 있습니다. 어떤 정보인지, 어디에 위치하는 정보인지 알지 못하면서 포괄적인 데이터 보호 프로그램을 구현하는 것은 불가능합니다. 조직은 해당 조직에서 설정한 중요도에 따라 주요 정보를 정확하게 파악하고 분류할 수 있어야 합니다. 이러한 주요 정보에는 지적 재산은 물론, 개인적으로 식별 가능한 정보, 개인 의료 정보 및 기타 비공개 정보가 포함됩니다. 정보를 적절하게 분류하고, 정책을 정의하고, 제어 기능을 구축하게 되면 모든 중요한 정보의 액세스 및 처리를 모니터링하고 제어할 수 있습니다. 이러한 사용자 작업으로는 중요한 데이터에 액세스하여 데이터를 읽으려는 시도, 이동식 장치에 복사 또는 인쇄, 전자 메일을 통한 네트워크 외부 전송, SharePoint와 같은 리포지토리에 저장된 데이터 검색 등이 포함됩니다. 내부 인프라 보안 APT를 심층적으로 방어하기 위해서는 네트워크 경계와 권한 있는 아이덴티티 및 데이터를 보호하는 것도 중요하지만 내부 IT 인프라를 보호하는 것 또한 중요합니다. 내부 IT 인프라 보호에는 올바른 네트워크 아키텍처 유지 및 분리는 물론, 개별 서버/장치와 해당 서버/장치의 환경을 올바르게 구성하고 보호하는 작업도 포함됩니다. 예측하기 어려운 외부화된 보안 공격자는 알려진 보안 기능에 대비하여 전략적으로 치밀하게 계획해 둔 전술을 사용합니다. 또한 일반적인 운영 체제 명령, 기능 및 유틸리티를 사용하여 정보를 수집하며 시스템을 모니터링하고 제어를 확장하기 위한 조치를 취합니다. 보안 담당자는 공격자가 기본적으로 가정하는 시나리오를 역으로 이용하여 예상치 못한 요소를 시스템에 추가함으로써 이러한 공격에 대응할 수 있습니다. 예를 들어, 시스템 로그에는 보호되거나 모니터링되지 않는 것으로 표시되는 파일 및 명령이 실제로는 외부 도구에 의해 보호되고 모니터링되는 것일 수 있습니다. 즉, 공격자에게 표시되는 권한이 실제로 시행되는 권한이 아닐 수 있도록 조치하는 것입니다. 이렇게 하면 권한 경계를 테스트하기 위해 운영 체제 권한을 확인하고 외부 정책을 위반하는 공격자를 감지할 수 있습니다. 이러한 이유로 보안 관리는 반드시 외부화되어야 하며 운영 체제 관리와 분리되어야 합니다. 일반적인 공격자는 시스템에 대한 최초 액세스를 확보한 후에 권한을 상승하여 운영 체제 제어를 우회하려고 합니다. 이러한 액세스를 통해 공격자는 보안 메커니즘을 재정의하고 효과적으로 흔적을 감출 수 있을 것이라 가정합니다. 외부 보안 기능을 구축해 둔 경우에는 권한을 상승하거나, 시스템 보안 제어를 변경하거나, 허여되지 않은 권한을 실행하려고 하는 APT 초기 프로세스에 공격자를 감지하고 방지하는 것이 가능합니다. 공격자가 OS 수준의 제어 및 로그를 성공적으로 우회한다고 해도 외부 감지 프로세스에 의해 불시에 이러한 움직임이 포착될 수 있습니다. 즉, 조직은 공격자가 쉽게 예측하기 어려운 강력한 방식으로 비밀리에 액세스 제어 정책을 구현할 수 있습니다. 또한 표준 시스템 명령을 변경하고 수정할 수도 있습니다. 관리자가 sudo 와 같은 기능의 이름을 변경할 경우 원래의 sudo 명령을 사용하려는 모든 시도는 경고를 일으키며 보안 침해의 조기 감지로 이어집니다. 11
서버 강화 중요한 정보를 호스팅하는 모든 서버는 보안 침해가 발생했을 때 데이터의 손상 및 확산을 최소화할 수 있는 방식으로 구성되어야 합니다. 여기에는 다음이 포함됩니다. 소프트웨어를 사용하여 소스 IP, 프로토콜(예: SSH, TELNET 등), TCP 포트의 패킷을 제한하는 방법을 통해 인바운드 및 아웃바운드 통신을 제어하고 안전하지 않은 프로토콜(예: FTP와 같이 암호화되지 않은 서비스)을 차단합니다. 명시적으로 지정된 경우( 애플리케이션 허용 목록 )를 제외한 모든 애플리케이션의 실행 및 설치를 차단하고 코드 실행 악용 및 백도어 소프트웨어 설치를 방지합니다. 애플리케이션 작업을 제한 합니다. 고위험 애플리케이션에 허용되는 작업을 정의 및 승인하고 이러한 범위를 벗어나는 모든 동작을 제한합니다. 예를 들어 Oracle 프로세스 및 서비스를 보유하는 논리적 ID를 기반으로 ACL을 구축하여 Oracle DBMS 서비스를 시작하는 것 외에는 어떤 작업도 실행할 수 없도록 작업을 제한할 수 있습니다. 로그 파일 변경을 방지합니다. 파일 무결성 모니터링을 사용하여 루트킷 에 의한 변경 등 주요 파일에 대한 변경을 감지합니다. 중요 애플리케이션 디렉터리 파일에 대한 액세스를 제어합니다. 예를 들어 급여 애플리케이션만 급여 파일을 열 수 있도록 설정합니다. 중요한 파일에 대한 변경을 실시간으로 감지합니다. 균일한 보안 분산 컴퓨팅에서 일반적으로 발생하는 문제는 플랫폼에 대한 보안 제어 기능 및 가용성의 차이입니다. 예를 들어 UNIX 파일/디렉터리 제어는 Windows와 현저히 다릅니다. 이러한 차이는 여러 가지 문제를 야기하여 공격자가 악용하게 될 수 있습니다. 비즈니스 보안 모델이 아닌 시스템 모델에 맞춘 보안 정책 시스템 제한 사항을 반드시 수용해야 하는 보안 정책 가중된 보안 관리 복잡성으로 인한 오류 및 누락 APT를 포괄적으로 방어하려면 가능한 한 모든 플랫폼에 동일한 보안 구성을 적용해야 합니다. 또한 모든 제한 사항 및 불일치 항목을 파악하고 추적해야 합니다. 이는 조직이 운영 체제 보안에만 전적으로 의존해서는 안 되는 또 다른 이유입니다. 외부 도구는 환경 전체에 하나의 보안 패러다임을 적용할 수 있는 범용 플랫폼을 제공하기 때문에 중앙화되고 간소화된 비즈니스 맞춤형 보안 접근 방식을 사용할 수 있습니다. 가상화 보안 가상화된 시스템의 수가 급증하면서 가상 환경이 APT 공격자의 주요 표적이 되고 있습니다. Gartner에 따르면, 2011년 중반부터 x86 아키텍처 작업 부하의 최소 40%가 서버에 가상화되었으며 이러한 설치 기반은 2010년부터 2015년까지 5배(시장의 작업 부하 수가 증가하고 시장 침투가 75% 이상으로 증가한 것에 따른 수치) 증가할 것으로 예상된다 고 합니다. 12
하이퍼바이저의 액세스 수준을 고려했을 때 이 또한 API의 주요 표적이라 할 수 있습니다. 하이퍼바이저가 손상되면 해당 하이퍼바이저에서 실행되는 모든 가상 시스템에 대한 대부분의 액세스 권한을 공격자가 확보할 수 있게 됩니다. 운영 체제 보안으로 직접 로그인을 방지하고 암호화로 중요한 데이터를 보호할 수 있다고 해도 끈질긴 공격자에게는 속수무책입니다. 하이퍼바이저에 대한 관리자 제어 권한을 가진 사람은 전체 가상 시스템을 외부 환경으로 복사할 수 있을 뿐만 아니라, 무작위 암호 대입 또는 주요 파일 덮어쓰기를 통해 호스트 기반의 보안을 우회할 수 있습니다. 가상 환경을 보호하려면 최소 권한의 원칙을 시행하여 관리자에 대한 제어를 강화해야 합니다. 우선, 모든 작업을 모니터링하고 기록하여 권한 있는 하이퍼바이저 계정에 대한 액세스를 엄격하게 제어해야 합니다. 그런 다음, 실제 환경과 동일한 방식을 사용하여 권한 있는 하이퍼바이저 아이덴티티로 수행할 수 있는 작업을 필수 작업으로 제한해야 합니다. 예를 들어, 재무 관리자는 HR 시스템이 아닌 재무 부서가 소유한 가상 시스템에만 액세스할 수 있어야 합니다. 모든 보안 도구의 조합 목적이 뚜렷하고, 공격 기술이 뛰어나고, 풍부한 리소스를 갖춘 끈질긴 공격자가 APT로 위협을 가할 경우 한 가지 보안 도구만 사용해서는 조직을 제대로 보호할 수 없습니다. 모든 APT 방어 전략의 목표는 네트워크 침투를 최대한 어렵게 하고, 보안 침해가 발생했을 때 일어날 수 있는 피해 및 손실 정보의 양을 최소화하고, 가능한 빨리 침해를 감지하는 것을 기본으로 합니다. 최초 침해를 방지하려면 경계 보안이 필수적이지만 이것만으로는 충분하지 않으며, 일단 침해가 발생한 후의 피해 규모를 줄이는 데는 아무런 도움이 되지 못합니다. 피해 규모를 줄이려면 권한 있는 아이덴티티 관리, 데이터 분류 및 제어, 인프라 보안 기능을 적절하게 조합해야 합니다. 일반적인 권한 있는 아이덴티티 관리 도구는 일련의 규칙에 따라 액세스를 제한하거나 허여할 수 있습니다. 이 도구를 사용하면 적절한 직무 분리가 가능하지만 이 솔루션의 문제점은 유연성이 부족한 것입니다. 권한은 역할이 변경될 때마다 계속해서 수정될 수 있지만 이 도구는 본질적으로 수동적인 솔루션입니다. 새롭고 능동적인 APT 방어를 위해서는 콘텐츠 인식 기능이 필요합니다. 이는 요청에 대한 승인 여부를 결정하는 모든 의사 결정 과정에 데이터 인텔리전스를 통합하는 것입니다. 이러한 통합을 수행하려면 데이터 액세스 및 사용 패턴을 인지하고 파악해야 합니다. 예를 들어, 다음과 같은 상황을 주목해야 합니다. 액세스하는 데이터 유형의 변경: 특정 유형의 데이터(예: 운영 기록)에 지속적으로 액세스하던 관리자가 갑자기 기밀 재무 정보 또는 고객 데이터에 대한 액세스를 요청합니다. 사용하는 데이터의 변경: 통상적으로 특정 애플리케이션을 통해 읽기 전용 액세스를 요청하여 중요한 데이터에 액세스하던 관리자가 갑자기 데이터를 외부 하드 드라이브, USB 또는 전자 메일로 내보낼 것을 요청합니다 데이터 수량의 변경: 매주 100MB의 중요한 데이터에 액세스하던 관리자가 갑자기 동일한 기간에 500GB의 데이터에 대한 액세스를 요청합니다. 데이터 액세스 빈도의 변경: 기밀 수준이 매우 높은 데이터에 한 달에 한 번 액세스하던 관리자가 갑자기 동일한 데이터에 매일 액세스합니다. 13
위와 같은 변경 사항이 포착되었다고 해서 그 자체가 보안 침해로 귀결되는 것은 아닙니다. 그러나 사용자의 작업 행동이 변경되었음을 나타내는 것은 맞습니다. 권한 있는 사용자 액세스를 지능적으로 제어하는 시스템은 이러한 모든 요소를 고려하여 액세스 요청을 검토할 수 있어야 합니다. 이러한 데이터 인텔리전스를 사용하면 리소스에 대한 액세스를 실시간으로 거부하거나, 액세스를 허용하되 의심스러운 활동을 알리는 경고를 생성할 수 있습니다. 섹션 3: 이점 위험 감소 지능형 지속 위협의 표적이 된 조직은 여러 종류의 피해를 입게 됩니다. 공격자는 지적 재산 및 전략 문서를 훔쳐 잠재적으로 조직의 경쟁력에 영향을 미칠 수 있습니다. 또한 고객 데이터를 도난당할 경우 고객의 반발, 명성 하락 및 법적 조치로 이어질 수 있으며 개인 의료 정보 또는 금융 기록을 도난당한 경우에는 규제 당국의 규정 준수 이행 문제로 이어질 수 있습니다. 종합적인 프로그램을 통해 지능형 지속 위협에 대응할 경우 누릴 수 있는 부수적인 이점은 자동화된 외부 공격은 물론, 내부 위협과 같은 기타 위협 요소로부터도 조직을 보호할 수 있다는 것입니다. APT로 인한 피해 규모를 줄이기 위해 사용되는 대부분의 기술은 관리자 계정을 비롯하여 내부 계정에 허여되는 액세스도 제한합니다. 권한 있는 사용자의 액세스를 제한하고 직무를 분리하면 위험한 관리자 또는 다른 악의적인 인터넷 사용자로부터 조직을 보호할 수 있습니다. 이러한 접근 방식은 취약점 및 새로운 악용 기회에 대한 구체적인 지식을 익히지 않아도 될 뿐만 아니라, 경계 방어에 의존하지 않는다는 점에서 특별합니다. 조직은 이러한 기술을 사용하여 보안 모델을 적용할 수 있으며 비즈니스 규칙, 데이터 중요도, 비정상적인 동작에 따라 작업을 승인하거나 거부할 수 있습니다. 이 모델은 전체 플랫폼에 균일하게 적용 가능하고 운영 체제 보안과 분리할 수 있으므로, APT에 대응하고 초기 프로세스에 이러한 공격을 감지해 주는 효과적인 수단을 제공할 수 있습니다. 섹션 4: 결론 표적 공격은 계속해서 증가하고 확산되고 있습니다. RSA를 비롯한 여러 주요 기업의 보안 침해 사건이 대대적으로 보도되었으며 이는 앞으로도 해당 기업의 명성과 수익에 상당한 영향을 미칠 것입니다. 심층 방어라는 개념은 새로운 것이 아닙니다. 심층 방어는 모든 보안 프로그램의 기본적인 구성 부분입니다. 외부 공격에 의한 피해를 방지하기 위해 권한 있는 내부 아이덴티티의 보호에 집중한다는 점이 다를 뿐입니다. 네트워크 경계는 더 이상 보안을 위한 요새라고 할 수 없으며 이제는 아이덴티티가 훨씬 더 중요해졌습니다. 즉, 아이덴티티가 새로운 경계 입니다. 아이덴티티를 사용하여 내부 위협 및 APT와 같은 외부 위협에 대응하려면 콘텐츠 인식 기능이 반드시 수반되어야 합니다. 모든 액세스 의사 결정 과정에 데이터 인텔리전스를 활용하면 사용자가 수행하는 모든 작업과 관련된 위험 요소를 보다 확실하게 파악할 수 있습니다. 14
또한 중요한 데이터에 대한 액세스 요청을 더욱 자세하게 분석하고 파악할 수 있습니다. 고정된 규칙에 의존하여 특정 작업을 허용하거나 차단하는 대신, 데이터를 활용하여 사용자 활동을 한층 더 명확하게 파악할 수 있습니다. 다른 조직보다 우수한 방식으로 표적 공격 방어를 위한 체계를 구축하고자 한다면 권한 있는 아이덴티티 관리와 콘텐츠 인식을 보안 프로그램의 초석으로 삼으시기 바랍니다. 섹션 5: 참조 자료 1 Ponemon Institute. 2011 Cost of Data Breach Study: United States: http://www.symantec.com/content/en/us/about/media/ pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf 2 http://taosecurity.blogspot.com/2010/01/what-is-apt-and-what-does-it-want.html 3 NIST Special Publication 800-30 Revision 1, Guide for Conducting Risk Assessments, http://csrc.nist.gov/publications/drafts/800-30-rev1/sp800-30-rev1-ipd.pdf 4 Advanced Persistent Threat, Wikipedia, http://en.wikipedia.org/wiki/advanced_ persistent_threat 5 Verizon, 2012 Data Breach Investigations Report: http://www.verizonbusiness.com/ resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf 6 http://www.rsa.com/node.aspx?id=3872 7 http://en.wikipedia.org/wiki/operation_aurora 8 http://www.nytimes.com/2010/11/29/world/29cables.html?_r=2&hp 9 Verizon, 2012 Data Breach Investigations Report: http://www.verizonbusiness.com/ resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf 10 Gartner Inc., Magic Quadrant for x86 Server Virtualization Infrastructure, Thomas Bittman, George J. Weiss, Mark A. Margevicius 및 Philip Dawson, 2011년 6월 30일 Gartner는 Gartner의 조사 발행물에 제시된 공급업체나 제품, 서비스를 보증 또는 추천하지 않으며, 기술 사용자에게 최고 등급을 받은 공급업체만 선택할 것을 권고하지 않습니다. Gartner 조사 발행물은 Gartner 연구 조직의 의견에 따라 작성되었으므로 기정 사실로 받아들여서는 안 됩니다. Gartner는 특정 목적에 대한 어떤 상업성 또는 적합성을 포함하여 본 연구와 관련하여 명시적 또는 암시적인 보증을 모두 거부합니다. 15
섹션 6: 저자 소개 Russell Miller는 지난 5년간 선의의 해킹에서 제품 마케팅에 이르기까지 다양한 네트워크 보안 업무를 담당해 왔습니다. 현재는 CA ControlMinder TM 권한 있는 아이덴티티 관리 및 가상화 보안 제품의 마케팅을 담당하고 있습니다. Russell은 Middlebury College에서 컴퓨터 공학사를 취득했고 MIT Sloan School of Management에서 MBA를 취득했습니다. CA Technologies는 메인프레임, 분산 시스템, 가상 시스템, 클라우드에 이르는 모든 IT 환경 전반에서 전문 기술을 보유한 IT 관리 소프트웨어 및 솔루션 회사입니다. CA Technologies는 IT 환경을 관리하고 보안을 유지하며, 고객이 보다 유연성 있는 IT 서비스를 공급할 수 있도록 해 줍니다. CA Technologies의 혁신적 제품 및 서비스는 IT 조직이 비즈니스 환경에 민첩하게 대처하는 데 있어 필수적인 통찰력 및 통제를 제공합니다. 글로벌 포춘 500에 속한 많은 기업들이 진화하는 IT 생태계를 관리하기 위해 CA Technologies의 도움을 받고 있습니다. 자세한 내용을 보려면 ca.com/kr 페이지를 방문하시거나 CA Technologies 대표전화 02-559- 4100으로 문의하여 주십시오. Copyright 2012 CA. All rights reserved. Microsoft, SharePoint 및 Windows는 미국 및/또는 기타 국가에서 Microsoft Corporation의 등록 상표 또는 상표입니다. Linux 는 미국 및 기타 국가에서 Linus Torvalds의 등록 상표입니다. UNIX는 The Open Group의 등록 상표입니다. 이 문서에서 언급된 모든 상표, 상호, 서비스 표시 및 로고는 각 해당 회사의 소유입니다. 이 문서는 단지 정보 제공의 목적으로만 제공됩니다. CA는 해당 정보의 정확성이나 완전성에 대해서는 전혀 책임지지 않습니다. 준거법에서 허용하는 한도까지, CA는 상품성, 특정 목적에의 적합성 또는 비침해에 대한 암묵적 보증을 포함하여 어떠한 종류의 보증도 없이 본 문서를 있는 그대로 제공합니다. CA는 본건 문서의 사용으로 인해 발생되는 직, 간접 손실이나 손해(수익의 손실, 사업 중단, 영업권 또는 데이터 손실 포함)에 대해서는 (상기 손실이나 손해에 대해 사전에 명시적으로 통지를 받은 경우라 하더라도) 책임을 지지 않습니다. CS2548_0712