“네트워크 보안”… 위협과 대처 방법

[디지털비즈온 김문선 기자] 인터넷과 같은 개방형 네트워크 환경에서 전달되는 정보의 위조, 변조, 유출, 무단침입 등을 비롯한 불법 행위로부터 정보를 보호하는 네트워크 보안과, 정보통신 시스템의 안전성과 가용성을 향상시키는데 필요한 정보보호기술 및 디지털 증거제공을 위한 기술을 포함한 시스템보안으로 구성된다.

네트워크 및 시스템 보안분야는 유비쿼터스 센서네트워크(USN) 보안, 휴대 인터넷보안, 홈 네트워크 보안, 무선근거리통신망 보안, 이동통신망 보안, 차세대 네트워크 보안, 사이버공격 역추적/보안관리, 봇넷대응, 서버 보안, PC 보안, 디지털포렌식 등 구분한다. 네트워크 존 에즈웨즈에 따르면 주요 네트워크 위협에 대한 분석과 이를 식별하고 진압하는 6가지 방법에 대하여 살펴보자.

1. 랜섬웨어

랜섬웨어는 비교적 낮은 확률로 공격자에게 가장 큰 피해를 주기 때문에 가장 큰 네트워크 위협입니다. 사이버 보안 및 규정 준수 회사인 Schellman의 선임 평가자인 Andy Rogers는 "기술 범주에는 이런 종류의 문제를 해결하기 위한 낮은 기준도 있습니다."라고 말합니다. "RaaS (Ransom ware-as-a-Service) 비즈니스가 많이 있으며 랜섬웨어 캠페인을 실행하는 데 필요한 도구가 있는지 확인하는 것 이상입니다."

SASE 구매 방법

이러한 "서비스 제공자"는 스스로 공격을 시작하지 않기 때문에 최소한의 위험에 직면합니다. "그것은 그들에게 꽤 달콤한 거래입니다."라고 그는 말합니다. 또한 결제가 암호화폐 형태로 이루어지기 때문에 추적이 어렵습니다.

랜섬웨어는 익명성과 잠재적으로 높은 지불금으로 인해 세계에서 가장 수익성이 높은 범죄 산업 중 하나가 되었습니다. "2021년의 Colonial Pipeline 과 같은 최근의 유명 공급망 공격 중 다수는 하드 디스크 드라이브(HDD) 및 솔리드 스테이트 드라이브(SDD)가 암호화되고 해커가 이를 사용하여 440만 달러 이상의 몸값을 요구하는 랜섬웨어 공격이었습니다. "라고 Rogers는 말했습니다.

보안 인식 교육 을 포함하여 견고한 보안 정책과 절차를 수립 하는 것이 랜섬웨어 피해자가 되지 않는 가장 좋은 방법입니다. Rogers는 중요한 시스템 및 데이터에서 패치할 수 없는 취약한 시스템을 분리할 뿐만 아니라 월별 시스템 및 애플리케이션 패치를 권장합니다. 그는 "데이터를 정기적으로 백업 하고 랜섬웨어가 쓸 수 없도록 하십시오"라고 덧붙입니다.

2. 좀비 봇넷

좀비 봇넷은 DDoS (분산 서비스 거부 ) 공격, 키로깅 및 스팸과 같은 특정 악성 작업을 실행하기 위해 생성됩니다 . 데이터 센터 서비스 제공업체 TRG Datacenters의 선임 네트워크 엔지니어인 Eric McGee는 "이러한 위협은 한 번의 공격으로 ID를 도용하거나 전체 네트워크를 무력화시키는 등의 작업에 사용될 수 있기 때문에 잠재적으로 파괴적입니다.

봇넷의 각 컴퓨터는 컴퓨터와 그 소유자가 컴퓨터가 의무적으로 무의식적으로 악의적인 작업을 수행하고 있다는 사실을 알지 못하기 때문에 좀비로 설명됩니다. 스마트 사물 인터넷 (IoT) 장치는 특히 좀비 봇넷 공격의 표적이 되고 있습니다.

McGee는 "IoT 장치의 보안을 간과하기 쉬울 수 있지만 이러한 장치는 공격자가 시스템에 액세스하는 가장 쉬운 방법인 경우가 많습니다."라고 경고합니다. 그는 인바운드 연결을 여는 각 장치의 기능을 제한하고 연결된 모든 계정에 강력한 암호를 요구함으로써 IoT 네트워크의 좀비 봇넷으로부터 보호할 것을 제안합니다.

3. 구식 프로세스 및 정책

구식의 사일로화된 수동 프로세스와 정책은 대부분 스스로 자초한 것이지만 네트워크 보안에 심각한 위협이 됩니다. General Dynamics(GDIT)의 기술 부사장인 Robert Smallwood는 "새로운 취약점과 잠재적인 익스플로잇의 수가 기하급수적으로 증가하고 있습니다. "조직의 프로세스와 정책은 민첩성과 속도를 구현하여 조직이 새로운 위협에 신속하고 자동으로 대응할 수 있도록 해야 합니다."

기업 현대화 및 갱신 프로세스에 뒤쳐지거나 심지어 완전히 무시된 조직은 네트워크의 공격 표면을 확장할 수 있는 기술적 부채에 시달리게 될 위험이 있습니다.

Smallwood는 많은 기업이 현대 네트워크를 구성하는 자동화된 복합 복합 환경을 활용하지 못하는 동시에 경직되고 구식인 정책으로 어려움을 겪고 있다고 지적합니다. "또한 많은 조직에서 위협 완화를 충분히 제공하지 않고 레거시 프로토콜 또는 장비에 대해 정책 예외를 제공하여 다중 요소 인증과 같은 보안 조치를 우회합니다."라고 그는 덧붙입니다.

중요한 프로세스는 기본적인 변경 관리 작업으로 정기적으로 검토되어야 합니다. Smallwood는 "네트워크에 영향을 미치는 변경이 이루어지면 관련 프로세스와 정책을 평가해야 합니다."라고 말합니다. 일부 조직의 경우 이를 위해 모든 네트워크 관련 프로세스에 대한 평가가 필요할 수 있습니다. "이러한 경우 일반적인 IT 서비스 관리 방식과 수동 작업에 크게 의존하는 모든 프로세스부터 시작하는 것이 가장 좋습니다."

4. 중간자 공격

중간자 공격(MTM)에서 제3자는 교환된 데이터를 도청하거나 변경하기 위해 의심하지 않는 두 당사자 간의 통신을 가로챕니다. IP 주소를 스푸핑하거나, 악성 프록시 서버를 사용하거나, Wi-Fi 도청을 통해 여러 가지 방법으로 수행할 수 있는 작업입니다.

MTM 공격은 사용자 이름과 암호를 훔치기 위해 자격 증명을 스니핑하는 것과 같이 비교적 간단할 수 있습니다. 더 높은 수준에서 MTM은 특정 사악한 목표를 달성하기 위해 설계된 가짜이지만 매우 현실적인 웹사이트로 피해자를 리디렉션하는 정교한 속임수를 만드는 데 사용할 수 있습니다.

어떤 형태로든 MTM 공격은 파괴적일 수 있습니다. 한 번 네트워크 내부에 침입한 침입자는 네트워크의 한 부분에서 시작한 다음 다른 영역으로 마이그레이션할 수 있는 취약점을 발견하여 측면으로 공격할 수 있기 때문입니다.

"공격자는 '유효한' 자격 증명으로 로그인하기 때문에 침입을 감지하기 어려운 경우가 많습니다. 따라서 네트워크에 더 깊이 침투할 시간이 있습니다."라고 OPSWAT의 CEO인 Benny Czarny는 말합니다. 인프라 네트워크.

보안 교육 회사인 Infosec Institute의 수석 보안 연구원인 Keatron Evans는 MTM 공격이 종종 간과되고 과소평가된다고 말합니다. "사람들은 [위협]이 전송 중인 데이터의 암호화로 해결될 수 있다고 생각하지만 이것은 문제의 작은 부분만 해결합니다."라고 그는 말합니다.

또 다른 오해는 조직이 클라우드 서비스로 마이그레이션하는 즉시 네트워크 기반 위협이 마법처럼 사라질 것이라는 것입니다. Evans는 "그것은 사실이 아닙니다."라고 경고합니다. "클라우드 서비스로 마이그레이션한 경우에도 부지런히 움직이십시오."

MTM 공격을 방지하기 위해 Evans는 DHCP 스누핑 및 동적 DARP(Address Resolution Protocol) 검사를 통해 포트 기반 보안을 추가 하고 가능한 한 빨리 IPv6 으로 업그레이드할 것을 권장합니다. 그는 또한 네트워크 기반 메시지 가로채기 공격의 주요 조력자 중 하나인 ARP를 NDP(Neighbor Discovery Protocol)라는 새로운 프로토콜로 교체할 것을 제안합니다.

5. 비즈니스 이메일 침해

비즈니스 이메일 손상(BEC)은 모든 산업의 모든 규모의 기업이 직면한 심각한 네트워크 위협입니다. 관리형 탐지 및 대응 사이버 보안 회사인 Expel의 위협 탐지 및 대응 이사인 Jonathan Hencinski는 "기업이 싱글 사인온(SSO)과 같은 조건부 액세스 정책을 점점 더 많이 채택함에 따라 BEC 사기의 범위와 재정적 영향이 커집니다."라고 말했습니다.

BEC 공격은 자격 증명 손상으로 직접 이어집니다. 탐지하기 가장 어려운 공격 유형은 공격자가 유효한 자격 증명을 사용하여 정문을 통해 들어오는 공격입니다. BEC 공격자는 VPN 및 호스팅 공급자를 사용하여 조건부 액세스 정책을 우회합니다.

"이러한 유형의 공격에 대한 일반적인 접근 방식은 레거시 프로토콜을 사용하여 Office 365에서 MFA(다단계 인증) 를 우회하는 것입니다."라고 Hencinski는 말합니다. "공격자가 자격 증명을 손상시키고 네트워크에 있으면 조직 전체의 중요한 제어 및 민감한 정보에 액세스할 수 있습니다."

BEC 공격은 언제든지 모든 네트워크를 공격할 수 있습니다. Hencinski는 "2019년 이후로 VPN 서비스 및 호스팅 제공업체가 손상된 계정에 액세스 하는 사용이 50% 증가한 것을 확인 했습니다 ."라고 말합니다. "이러한 서비스를 사용하면 공격자가 지리적 IP 레코드를 통해 특정 국가의 로그인을 거부하는 조건부 액세스 정책을 우회할 수 있습니다."

BEC 시도를 감지하는 것은 간단한 3단계 프로세스입니다. Hencinski는 "첫 번째 단계는 직원 자격 증명을 도용하려는 피싱 전자 메일을 방지 및 탐지하고 위협 행위자가 직원의 계정을 사용하여 피싱 전자 메일을 보낼 때를 탐지하는 전자 메일 검사입니다."라고 말합니다. 두 번째 단계는 도난된 자격 증명의 사용을 감지하기 위한 인증 모니터링입니다. "세 번째는 BEC 계정 인수의 특징적인 징후를 감지하기 위한 계정 모니터링입니다."라고 그는 말합니다.

6. 도구 확장

IT 및 네트워크 리더가 수십 가지의 서로 다른 네트워크 보호 기술을 관리하기 위해 고군분투하는 도구 무분별한 확장으로 인해 공격 방지 기업이 되는 목표를 달성하기가 더 어려워질 수 있습니다. 네트워크 보안 서비스 제공업체 Perimeter81의 공동 설립자이자 CEO인 Amit Bareket은 도구의 무분별한 확장과 손쉬운 사이버 보안 관리의 부재로 인한 사이버 복잡성으로 인해 IT 및 보안 팀이 파괴적인 사이버 공격에 노출될 수 있다고 경고합니다.

Bareket은 CIO 및 관련 임원의 71%가 사이버 도구의 수가 많으면 능동적인 공격을 탐지하거나 데이터 침해를 방어하기가 더 어렵다고 믿고 있다는 최근 조직에서 실시한 연구를 지적합니다.

EY Consulting의 사이버 보안 전무 이사인 Keith Mularski는 기본 보안 관행을 준수하는 것이 모든 유형의 네트워크 위협으로부터 보호하는 가장 좋은 방법이라고 말합니다. "업무상 중요한 시스템과 네트워크를 인터넷에서 격리하고 액세스 권한이 있는 사람 또는 대상을 엄격하게 제어하십시오."라고 그는 조언합니다.

Mularski는 아무 것도 신뢰하지 않고 운영 체제 전반에 걸쳐 모든 것을 분할 할 것을 권장합니다. "암시적 신뢰"를 피해야 합니다. 네트워크에 액세스하는 모든 사람과 모든 사람은 위치, 액세스 시간 또는 누구인지에 관계없이 인증을 받아야 합니다."

대비를 강화하기 위해 Mularski는 예정된 시뮬레이션 실행도 제안합니다. "운동선수처럼 팀이 근육 기억력을 높이고 위반 또는 사고 발생 시 보다 빠르고 직관적으로 대응 절차를 수행하기를 원합니다."