목적 달성을 위한 주요 표적

공격자가 공격의 표적으로 삼는 대상은 다양하다. 통계적으로 주요 공격 대상은 다음과 같다.

조직은 공격자의 주요 표적을 보호하기 위해 각 표적에 대한 위험도와 중요도를 설정하고 각 수준에 맞는 보안 강화 방안을 마련해야 한다. 또한, 지속적인 모니터링과 취약점 관리가 반드시 필요하다.

표적 시스템에 접근하기 위한 사전 준비

공격자는 침해를 감행하기 전에 표적 시스템이나 네트워크에 대한 정보를 수집하고, 공격 전략을 수립한다. 일반적인 사전 실행 행위는 다음과 같다.

<표 3>과 같이 사전 준비 단계들은 해킹 공격의 성공 가능성을 높이기 위한 중요한 과정이다. 따라서 조직은 이런 위협에 대비하기 위해 보안 정책과 예방 조치를 강화해야 한다.

내부 침입 후 단계별 행위

공격자가 해킹을 통해 시스템 내부로 침입한 경우, 그들의 목적 및 표적에 따라 행동 방식이 다를 수 있지만, 일반적으로 다음과 같은 단계별 행위를 수행한다.

<그림 1>에서 보는 것과 같이 공격자는 네트워크 내부에 진입해 피싱, 악성코드 설치, 취약점 악용 등을 이용하여 권한을 획득한다. 이후 표적 시스템에 접근하기 위해 백도어 설치 또는 루트킷 등을 활용해 접근 권한을 장기적으로 유지하며 기회를 엿본다.

그런 후에 기회가 되면 더 높은 수준의 시스템 권한을 얻기 위해 관리자 권한 획득을 시도한다. 이는 시스템 제어를 용이하게 하기 위한 단계로, 성공하면 네트워크 내부 구조와 운영 방식을 파악하기 위해 다양한 도구를 사용해 내부정보를 수집하는 등 다음 단계의 공격을 준비한다.

일단 공격자가 표적 시스템에 접근하게 되면 데이터를 탈취하고, 외부 서버와의 통신을 통해 명령을 주고받으며 공격을 지속적으로 수행한다. 또한 데이터 파괴나 시스템 마비와 같은 파괴적인 행위를 수행하며 표적 시스템의 정상적인 운영을 방해한다. 그리고 네트워크 내에서 다른 시스템으로 이동하는 횡적 이동을 통해 더 많은 자원과 데이터를 확보해 네트워크 전체에 영향을 끼친다.

이런 표적 시스템 공격의 대표적 행위로 랜섬웨어, 악성코드 삽입을 통한 데이터 탈취 및 삭제, 허위 데이터 삽입 또는 프로세스 값 변경 등을 들 수 있다.

이와 같이 공격자의 단계적 행동은 데이터 보안을 크게 위협하고 조직의 비즈니스 연속성을 어렵게 한다. 때문에 이를 탐지하고 방어하기 위해 상시 점검 프로세스와 같은 강력한 보안 체계를 유지해야 한다.

침해 행위 후 행적 숨기기

공격자가 내부로 침입해 데이터 탈취, 통신 및 명령 제어, 그리고 파괴적 행위를 실행할 때, 자신의 행적을 숨기기 위해 일반적으로 다음과 같은 방법을 사용한다.

공격자의 입장에서 보는 위협 노출 관리의 어려움

지금까지 악의적인 사이버 공격에 대한 여러 가지 기본적인 수법을 알아봤다. 하지만 이러한 방식들은 일반적으로 알려진 것에 불과하다. 시간이 흐름에 따라 사이버 공격은 점점 더 발전하면서 정교해지고 있다.

조직이 완벽한 보안망을 운영하지 않는 한, 사이버 위협에 항상 노출되어 있다는 사실은 부정할 수 없는 현실이다. 따라서 공격자의 시각에서 시스템을 점검하고 위협 노출을 최소화하는 것이 가장 현명한 대응 전략이라 할 수 있다.

조직은 공격자의 침해 시도 행위를 참고하여 공격자의 시각에서 내부 및 외부 인프라의 사이버 노출 위협 요소를 찾아내고 이를 최대한 개선할 수 있어야 한다. 이를 위해 우선적으로 필요한 것은 조직 전체 인프라에 대한 가시성을 확보하는 것이다. 그러나 이는 매우 복잡하고 어려워 결코 쉬운 일이 아니다. 그렇다면 왜 조직이 전체 인프라에 대한 가시성을 확보하고 위협 노출을 탐색하는 것이 어려운지 그 이유를 살펴본다.

이러한 요인들은 조직이 인프라의 모든 노출 지점을 완벽하게 식별하고 관리하는 데 방해 요소로 작용한다. 따라서 이러한 방해 요소를 극복하고 전체적인 가시성 및 위협 노출 정보를 제공할 수 있는 통합된 단일 소스 솔루션이 필요하다.

공격자의 시각에서 바라보는 위협 노출 관리 방안‘CAASM’

사이버 자산 공격 표면 관리(CAASM: Cyber Asset Attack Surface Management)는 공격자의 시각으로 위협 노출을 관리하는 방안 중 하나이다.

앞서 여러 표에서 언급했듯이, 공격자는 자신의 목적을 달성하기 위해 끊임없이 조직의 인프라에 침입을 시도하며, 언제든 기회를 노리고 있다. 내부 침입이 성공하면, 표적으로 하는 시스템에 접근하기 위해 인프라 내의 취약한 자산을 활용한다.

런제로(runZero)의 보안 연구 디렉터인 롭 킹(Rob King)은 “CAASM은 보안 팀이 알지 못하는 자산은 방어할 수 없다는 오래된 격언에서 출발했다. 자산의 위치, 유형, 성격과 같은 속성을 알지 못하는 것도 위험하기는 마찬가지다”라고 설명했다.

이어 그는 “CAASM은 장치와 그 관련 세부 사항을 발견할 뿐만 아니라, 이러한 자산에 영향을 미치는 노출 유형과 심각성을 체계적으로 파악해 방어자가 공격 표면을 새로운 시각에서 관찰할 수 있도록 돕는다”며 “CAASM은 자산의 발견과 가시성을 정보 보안의 중요한 분야로 격상시켰으며, 현재 조직의 정보 보안 태세에서 기본적이고 중요한 요소로 간주되고 있다. 이러한 역동성은 공격 표면의 기하급수적인 확장과 방어 자원의 한계를 초과하는 노출과 직접적으로 관련이 있다”라고 CAASM의 필요성을 강조했다.

이러한 CAASM 접근법은 조직이 사이버 공격 표면을 보다 효과적으로 관리하고, 미비점을 발견해 보안 태세를 강화하는 데 기여할 수 있다.

일반적으로 공격표면관리(CAASM) 솔루션이 제공하는 관리 요소는 다음과 같다.

<표 5>에서 확인했듯이 CAASM은 조직이 공격자의 입장에서 위협 노출을 효과적으로 관리하고 사이버 위협에 대응하는 데 중요한 역할을 하도록 도움을 준다.

결론

끊임없이 변화하고 발전하는 위협 환경에서 조직은 어느 때보다 대응 민첩성과 전체 인프라에 대한 가시성을 필요로 하고 있다. 거기에 더해 조직은 보안 기술격차에서 파생하는 새로운 위협에 대비해야 한다. 하지만 기존 방어 기술은 이미 낡아 이를 우회하는 침해 시도가 증가하고 있다. 더구나 운영환경은 더욱 복잡해졌고 보안팀이 관리할 대상이 늘어남으로써 조직의 공격표면은 급속히 확대되었다. 이는 기존 방어 기술로는 위협에 대응하는 것이 어려워졌다는 것을 의미한다.

따라서 공격자의 시각으로 공격 가능한 조직 인프라내의 위협 노출 요소들을 신속하고 정확하게 탐지하고 그 공격 표면을 평가 교정하는 프로세스를 구축할 수 있는 사이버 자산 공격 표면 관리(CAASM)가 가장 효과적인 방안으로 떠오르고 있다.