“어디를 지킬지가 아니라 어디를 예의주시하고 있을지를 결정할 수 있어야 한다. 이것이 지금의 공격 트렌드에서 방어자에게 요구되는 중요한 역량이다.” –KISA 이재광 팀장-
FICCA2021(Finance & Industry Cybersecurity Congress Asia) 아시아 금융&산업 사이버보안 컨퍼런스 2021이 지난 11월 26일 300여 명이 등록한 가운데 온라인 개최됐다.
이재광 KISA 팀장은 ‘공격자의 움직임과 방어자의 고민’을 주제로 강연을 진행했다.
그는 몇건의 실제 공격 사례를 들며 “해커는 오퍼레이터 PC와 게이트웨이 서버, PMS를 장악하는데 집중한다. 이후 조직내 다양한 단말기에 악성코드를 유포하고 망연계까지 침투해 격리구간의 장비들도 장악하게 된다”며 “안티바이러서, NAC, DRM, EDR, VPN, 웹필터 등이 설치돼 있는데도 침해사고는 계속 발생한다. 침해사고 현장에서 알게된 사실은 모든 APT 공격의 흐름에서 방어자들에게는 중요한 타이밍이 온다는 것이다. 바로 공격에 대응할 수 있는 타이밍이다”라고 설명했다.
정보보호 체계를 잘 갖추고 있지만 사고는 발생할 수밖에 없다. ‘완벽한 시큐리티 디자인은 없다’는 것을 우리가 받아들여야 한다고 강조한다.
올해 한국에서 발생한 침해사고 대부분은 모든 트러스트를 파괴하며 발생했다. 우리는 트러스트가 유지되고 있다는 가정하에 보안을 하고 있다. 모든 보안솔루션과 PMS, 액티브디렉토리 등이 해킹이 안될 것이라는 믿음을 공격자는 파괴하고 있다는 것이다.
조직내 모든 시스템과 서비스가 안전하지 않다는 가정하에 대응해야 한다. 모든 로그를 시큐리티 관점에서 리뷰하는 것이 중요하다고 강조한다.
이재광 팀장은 다음과 같이 묻는다.
△우리가 보호해야 할 네트워크에서 코어 트러스트존이 어디인가. 즉 신뢰할 수 있는 지점이 어디인가? 트러스트를 유지해야 하는 존이 어디인지 판단하고 있느냐?
△해커는 우리 코어 트러스트존을 어떻게 무력화할 수 있는가?
△코어 트러스트존이 파괴된다면 인지할 수 있는 체계와 방법을 확보하고 있는가?
△코어트러스트존이 파괴되면 다음 대응전략은 갖고 있는가?
그는 “우선 조직의 방어환경에 대해 완벽히 인지하고 있어야 한다. 그리고 공격자의 공격 움직임, 즉 TTP에 관심을 가져야 한다. KISA에서 관련 보고서를 계속 발표하고 있다. 도움이 될 것이다. 공격자가 우리 네트워크를 어떻게 공격해 나가는지 전략 과정을 알아야 한다. 공격자의 단편적인 공격기법과 도구에 집중하지 마고 공격 과정과 흐름에 집중해야 한다. 그리고 그 과정에서 방어자가 어느 지점에서 개입하면 공격의 흐름을 차단하고 무력화시킬 수 있는지에 집중해야 한다”고 강조했다.
방어자는 코어 트러스트존이 어디인지를 결정하고 그곳이 파괴되는지를 볼 수 있어야 한다. 그리고 파괴됐을때 어떻게 대응할 것인지 전략을 갖고 있어야 한다. 그것이 바로 방어자가 공격의 흐름에 개입해 결정적으로 공격을 무력화할 수 있는 타이밍이다.
★정보보안 대표 미디어 데일리시큐!★