brunch

브런치북 APT 개론 07화

You can make anything
by writing

C.S.Lewis

by 흐르는 강물처럼 Feb 19. 2021

APT-7 (Zero Trust 보안 모델)

제로 트러스트 보안 모델이 뭔가요?

이번 글에서는 기존의 보안 모델로는 급증하는 APT 공격에 대응하기에는 한계점이 드러나 새롭게 각광받는 Zero Trust 보안 모델에 대해 소개하도록 하겠습니다.



APT 공격이 등장하기 전에는 외부에서 내부로의 공격 방식이 비교적 단순하였습니다. 공격자는 외부에 공개되어 있는 서비스를 검색해서 접속 가능한 서비스 포트를 확인하고 다양한 방식의 공격을 시도를 해 보는 방식이 일반적이었습니다. 즉 공격 대상이 공개서비스를 제공하는 서버로 한정되어 있었습니다.



그래서 보안 관리자의 입장에서는 외부에서 공개된 서버로 연결되는 네트워크 구간만 모니터링하면 대부분의 공격은 탐지가 가능하였습니다. 그러나 최근의 APT 공격의 주요 대상은 서버가 아니라 사용자가 이용하는 PC, 스마트폰 등의 엔드포인트(End Point) 계층으로 이동하고 있는 추세입니다.



그 이유는 공개된 서버는 전통적으로 보안에 대한 대비가 잘 되어 있는 반면, 개인이 사용하는 PC나 스마트폰의 경우 서버에 비해 공격에 대한 대비가 소홀할 수밖에 없기 때문입니다. 더욱이 서버는 나름대로 훈련된 엔지니어가 관리하는 반면, 개인 단말의 경우 IT기술이 상대적으로 낮고, 보안에 대한 의식이 부족한 일반 사용자가 이용하기 때문에 공격 대상으로 더욱 각광받을 수밖에 없게 되었습니다.



이러한 개인 단말이 침투하기 쉬운 공격 대상으로 인식되면서, 일반 사용자를 대상으로 하는 다양한 공격 수단이 개발되고 있습니다. 이런 개인을 대상으로 하는 공격에는 사회공학(social engineering)이라고 기법이 활용되고 있습니다. 사회공학이란 기술적인 방법이 아니라 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀정보를 획득하는 기법으로 인간 상호 간의 기본적인 신뢰를 바탕으로 사람들을 속여 정상적인 보안 수단을 우회하여 공격에 활용되는 비 기술적인 침입 수단이라고 설명할 수 있습니다. 한마디로 사람을 속이는 사기수법이라는 말입니다. 



전설적인 해커인 케빈 미트닉은 이렇게 얘기했죠. "기업 정보보안에 있어서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 방화벽이 아니다. 가장 큰 위협은 바로 당신이다."



이 말은 아무리 기술적으로 완벽한 보안 수단이 있다고 하더라도 이를 이용하는 개인은 사회공학적인 기법으로 쉽게 속을 수 있기 때문에 이를 통한 공격이 가장 큰 위험요소라는 뜻입니다. 사실 아무리 기술적인 보안을 완벽히 하더라도, 물리적이거나 인간적인 부분까지 완벽히 공격으로 인한 피해를 막기는 어렵습니다. 아무리 서버에 고도로 암호화되어 있는 중요 데이터라고 해도 담당자를 속여서 직원의 계정과 암호를 빼돌리면 막을 방법이 없기 때문입니다.


< 그림 1 >  사회공학적 공격 기법



APT 공격을 통해 단말에 침투하는 수단 중 가장 대표적인 워터링홀(Watering hole)과 스피어 피싱(Spear Phishing)이 바로 사회공학 기법을 이용하는 공격 기법입니다. 이메일로 오는 "무료쿠폰 제공, 돌잔치 초대장, 택배 조회, 할인 이벤트 정보"와 같이 사람들이 기본적으로 관심을 가질 만한 내용이나 "각종 보고서, 납품대금 계좌변경, 품의서, 기안서 등 각종 업무 관련 내용"으로 위장해서 클릭이나 첨부파일을 열어보게 유도하는 것이 가장 전형적인 단말 침투 수단입니다.



아무리 직원에 대한 보안교육을 실시한다고 하더라도 100명 중 1명만 실수로 악성코드가 있는 URL을 클릭할 수 있게 한다면 공격에 성공하는 것입니다. 이미 공격 대상자의 이메일을 알고 있는 상황에서 100명에게 처음 보내서 성공하지 않으면 2번, 3번 반복해서 보내서 100명 중 누구든지 1명만 실수로 클릭한다면 사용자 단말을 감염시켜 공격을 시작할 수 있다면 성공률이 꽤 높은 공격수단이라고 할 수 있습니다. 



이렇게 공격 대상이 개인 단말이 되고 공격성공률이 높아지면서, 기존의 인터넷과 내부 네트워크가 만나는 구간에서만 집중적으로 공격을 탐지하는 방식인 경계 보안은 무용지물이 되고 있습니다. 이메일을 보내는 사람을 임의로 차단할 수도 없고, 첨부파일에 알려지지 않은 악성코드가 포함될 경우 탐지하기도 쉽지 않기 때문입니다. 이렇게 울타리만 집중적으로 방어하는 방식은 서버가 주 공격 대상인 경우에는 공격을 대부분 차단할 수 있었지만, 개인 단말을 주 타깃으로 하는 공격은 차단하기가 쉽지 않은 상황이 되면서 새로운 보안 모델에 대한 필요성이 높아지게 되었습니다.



그래서 최근 각광받고 있는 모델이 바로 'Zero Trust'라는 보안 모델입니다. 아래 <그림 2>와 같이 신뢰할 수 있는 것은 아무것도 없다는 전제에서 보안대책을 수립해야 한다는 모델입니다. 공격을 100% 차단하는 것은 불가능하니 공격을 당했다는 전제에서 보안대책을 수립해야 한다는 것입니다.



시스템 외부와 내부를 따로 나누지 않고 모든 곳이 위험하니 적절한 인증 절차 없이는 그 누구도 믿어서는 안 되며, 누구든 중요 데이터에 접근하려면 권한을 부여받기 전에 재차 신원을 확인해야 한다는 것을 전제로 가져가는 모델입니다. 더욱이 클라우드, 모바일 사용자의 증가로 인해 내/외부망을 구분하기가 모호 해지는 상황에서 이러한 보안 모델이 현재의 환경과도 일치하는 사상이라고 할 수 있습니다.



< 그림 2 >  Zero Trust 보안 모델 (출처: 펜타 시큐리트)



최근의 코로나-19 사태에 대응하는 방식도 이런 보안 모델을 동일하게 적용할 수 있습니다. 2020년 2~3월의 초기에는 중국에서 발원한 코로나를 국경에서만 막으면 된다고 생각하고 공항과 항만 등을 폐쇄한 사우디아라비아, 이스라엘의 확진자가 급속히 늘어나는 것도 같은 맥락이라고 할 수 있습니다.



아무리 국경에서 철저하게 확진자를 차단한다고 하더라도 방역당국이 미처 파악할 수 없는 통로는 존재할 수밖에 없기 때문에 100% 차단은 불가능합니다. 국경 폐쇄도 중요한 방식이지만, 100% 차단이 불가능하다는 전제하에서 내부에서 증상이 발생하는 환자에 대해 추적, 테스트, 치료하는 적극적인 대응에 집중한 대한민국의 방식이 좀 더 효율적인 방역대책인 것입니다.



코로나-19 방역에서도 확인된 것처럼 APT 공격에 대한 대응도 외부 경계뿐만 아니라 내부에 존재하는 서버와 단말 등에 대해 좀 더 집중해서 모니터링하는 방식이 APT 방어에 대한 효과적인 모델이라고 할 수 있습니다.



이러한 내부 보안에 집중하기 위해서는 무엇보다 개인용 PC나 스마트폰과 같은 단말에서 공격을 탐지하고 차단하기 위한 노력이 필요한데, 이를 통상적으로 엔드포인트(EndPoint) 보안을 강화한다고 말합니다. 기존에 사용되고 있는 바이러스 백신(Anti-Virus)의 경우 기존에 알려져 있는 바이러스, 악성코드의 패턴을 가지고 있다가 단말로 침투할 경우 탐지하여 차단하거나 이미 단말 내부에 존재하는 바이러스 등을 탐지하여 삭제하거나 격리시키는 역할을 수행하였습니다.



그러나 악성코드를 손쉽게 수정하여 변종을 만들기가 간편해지면서 더 이상 기존에 알려진 악성코드의 패턴을 통해서는 이러한 변종 악성코드의 탐지는 불가능합니다. 즉 알려지지 않은 악성코드에 대한 탐지 기능이 필요하게 되었고 동적 분석을 통해 악성코드를 가상 PC에서 직접 다운로드하여 동작하는 것을 모니터링하여 악성코드 여부를 판단하는 방법이 개발되었습니다.



또한 악성코드로 감염시킨 개인용 PC를 발판으로 하여 다양한 공격행위가 탐지되었을 때 이 감염 PC를 조사하여 공격행위에 대한 조사를 통해 공격이 지속된 시간과 사내 다른 PC에 대한 공격 범위, 피해 정도, 공격 그룹의 추적하기 위한 단서 등의 자료를 확보하는 기능도 필요하게 되었습니다.



그래서 기존의 백신(Anti-Virus) 기능에 알려지지 않은 변종 악성코드 탐지 능력과 침해사고조사를 위한 포렌식 기능 등을 추가하여 엔드포인트 위협 탐지 대응(EDR : Endpoint Detection & Response) 설루션으로 기존 백신이 업그레이드되거나 신규 벤더 설루션이 시장에 많이 출시되었습니다. 아래 <그림 3>은 EDR설루션이 순차적으로 알려진 공격과 알려지지 않은 공격행위에 대해 어떤 단계를 통해 공격을 탐지하는지 설명한 그림입니다.



< 그림 3 >  EDR (Endpoint Detection & Response) 설루션 동작 방식 (출처: 지니언스)
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari