블로그 | CTO 사무실

선제적 사이버 보안의 진화하는 필요성

아디티아 수드 썸네일
아디티아 수드
2022년 2월 28일 게시

우크라이나에서 벌어지는 위기는 국가 간 갈등의 새로운 측면을 드러냈으며, 이는 당장 인접한 지리적 지역을 훨씬 넘어서 영향을 미치고 있습니다. 글로벌 기업으로서, 우리는 현재 진행 중인 공격으로 인해 피해를 입거나, 집을 떠나거나, 부정적인 영향을 받은 모든 사람, 특히 F5 가족 여러분께 큰 공감을 표합니다. 러시아-우크라이나 갈등의 매우 현실적이고 인간적인 측면을 간과하지 않고도, 우리는 최근 사건을 감안할 때 앞으로 더 많이 볼 수 있는 사이버 공격 유형에 대한 지침을 제공해 달라는 고객들의 요청도 받았습니다. 따라서 이 글에서는 이런 질의에 직접적이고, 존중심을 가지고, 실용적인 방식으로 답변하고자 합니다.

국가 간 갈등에서 사이버 공격이 차지하는 역할은 많은 조직이 전통적으로 다루어 온 것과는 다른 규모의 새로운 사이버 보안 문제를 야기했으며, 사전 예방적 사이버 보안 전략을 통해 정교한 공격에 대항하는 것의 중요성을 더욱 부각시켰습니다.

인터넷의 발전으로 인해 글로벌 기업 운영은 엄청나게 바뀌었습니다. 디지털 변화는 기하급수적으로 일어나고 있으며, 이는 기술 발전과 사이버 공격의 정교함을 동시에 촉진하고 있습니다. 동시에 오늘날의 조직들은 여전히 재정적 동기를 가진 전통적인 공격자들뿐만 아니라 더 광범위한 목표를 가진 국가 및 원인 기반 행위자들도 상대하고 있습니다. 물론, 사이버공격이 더욱 정교해짐에 따라, 이에 대한 보호 대책도 정기적으로 발전해야 합니다. 오늘날의 경제에서는 알려진(또는 알려지지 않은) 취약점을 악용하는 국가적 행위자를 만날 가능성이 훨씬 더 높습니다.

실제로 이는 국가 기반 행위자들이 지속적으로 다른 국가의 인터넷(및 중요 서비스) 인프라를 표적으로 삼는 악용 사례를 개발하는 결과를 낳습니다. 가장 먼저 떠오르는 시나리오는 국가 간의 지정학적 갈등이지만, 동일한 원칙의 대부분은 이제 전통적인 기업 보안 관행에도 광범위하게 적용되어야 합니다. 특히 국가는 종종 불안정화의 수단으로 정부와 민간 부문 인터넷 리소스를 결합하여 공격하기 때문입니다.  따라서 특정 지역을 표적으로 삼은 사이버 공격은 국가의 통합성은 물론, 특정 지역 내에서 관련된 사업을 수행하려는 사람에게도 중대한 위협을 가합니다. 이로 인해 모든 유형의 조직에서 사전 예방적이고 지속적인 사이버 보안에 대한 필요성이 더욱 커졌습니다.

타깃화된 사이버 공격

대체적으로 국가 차원의 적대 세력은 국가 기반 시설을 심각하게 약화시키고 인터넷 시스템의 기능을 방해하기 위해 표적형 사이버 공격을 감행하는데, 이는 결국 금융 및 군사 기반 시설에 영향을 미칠 수 있습니다. 그림 1은 실제로 수행되고 있는 표적형 공격 (이 경우 피싱)의 예를 강조하여 보여줍니다.

타겟 피싱 공격의 실제 다이어그램
그림 1 : 타겟 피싱 공격의 실제

표적형 사이버 공격은 은밀한 작전을 수행하도록 설계된 악성 코드를 사용하여 실행됩니다.  악성 코드의 몇 가지 예로는 익스플로잇(취약점 악용), 루트킷(허가받지 않은 작업을 위해 커널과 사용자 모드를 변조), 원격 관리 툴킷(침해하는 시스템 관리), 와이퍼(시스템의 마스터 부트 레코드 파괴), 랜섬웨어(민감한 데이터를 암호화하고 몸값을 요구) 등이 있습니다. 일반적으로 사이버 공격이라고 불리지만, 이러한 개별 전술을 "디지털 무기"로 간주할 수도 있습니다.

인프라를 표적으로 삼는 국가 공격자: 디지털 무기의 증가

적대 세력은 국가 간 갈등 상황에서 다양한 공격을 수행하며, 전통적인 물리적 위협과 더불어 디지털 위협도 가합니다. 오늘날 국가들은 다양한 사이버 공격을 수행하는 데 능숙하며, 그 대표적인 사례는 다음과 같습니다.

  • 국가 간 갈등 중에 인터넷의 다양한 지리적 위치에서 분산형 서비스 거부(DoS) 공격을 실행하여 중요한 인프라와 통신 포털을 다운시키는 것은 잘 생각된 운영 전략입니다. 예를 들어, 적대 세력은 내부 문제를 처리하는 군사 중심 웹사이트에 영향을 미쳐 공식적인 의사소통을 방해하기로 결정할 수도 있습니다. 금융기관의 웹 포털 역시 일반적으로 은행업무 및 금융업무에 영향을 미치는 것을 목표로 합니다.
  • 드라이브 바이 다운로드 공격을 통해 고급 악성 코드를 배포하여 데이터 파괴 공격을 유발합니다. 악성 코드는 손상된 웹 포털에 호스팅되거나 피싱 이메일(타겟팅 성격)에 첨부되며, 사회 공학을 사용하여 타겟 사용자가 웹 포털이나 피싱 이메일과 상호 작용하여 타겟 시스템에 악성 코드를 설치하도록 강요합니다. 악성 코드가 설치되면 데이터를 삭제하고 시스템을 쓸모없게 만들어 전체 시스템을 파괴할 수 있습니다.
  • 시간적 갈등 중에 지적 재산권(IP)을 훔치는 것 역시 국가 간 적대 세력의 주요 표적 중 하나입니다. 그 이유는 대개 다음과 같습니다. 국가 기반 시설이 이미 손상된 경우, 나중에 다양한 목적으로 사용될 수 있는 IP를 훔칠 기회가 생길 수 있습니다.

관련해서, 국가 간 갈등에서 "디지털 무기"로 사용될 가능성이 높은 주목할 만한 사이버 공격에 대한 간략한 분석은 다음과 같습니다.

사이버 공격 유형 악성 코드명
("디지털 무기")		 형질
분산 서비스 거부(DDoS) 알려지지 않은 봇넷 서비스 거부: 금융기관, 군대 등의 웹 포털 등 중요 인프라의 가용성에 영향을 미칩니다.
맬웨어 배포 위스퍼 게이트 데이터 파괴 및 시스템 브리킹: 손상된 시스템의 마스터 부트 레코드(MBR)를 손상시키고 중요한 파일을 암호화합니다.
맬웨어 배포 헤르메틱 와이퍼 데이터 파괴 및 시스템 브리킹: 손상된 시스템에서 중요한 파일을 손상시키고 삭제합니다.

표 1: 국가 간 갈등 중에 시작된 사이버 공격에 악성 코드가 사용될 가능성이 높다

위에 나열된 디지털 무기를 사용하면 국가 차원의 행위자들은 정부와 조직이 소유한 인프라에 심각한 영향을 미치는 엄청난 공격을 감행할 수 있습니다. 이는 일반적으로 국가가 자유롭게 소통하는 능력을 방해하고 인프라의 활성 시스템의 무결성, 가용성, 기밀성을 우회함으로써 금융 및 군사 시스템을 즉석에서 방해하려는 더 큰 전략의 일부입니다.

다시 말해, 이는 갈등 중인 국가와 가장 직접적으로 관련이 있는 것처럼 보일 수 있지만, 이러한 공격에 사용된 도구와 악용 사례가 더 큰 위협 환경으로 유입되면 더 광범위한 위험이 있습니다. (이에 대한 역사적인 사례로는 2017년의 NotPetya 버그가 있습니다.)

중요 인프라 보안

선제적 사이버 보안이 필수적인 접근 방식으로 자리 잡았습니다. 정부는 일반적으로 중요 인프라(군사 웹 포털, SCADA 인프라를 포함한 금융 기관 웹사이트 포함)가 사이버 공격으로부터 지속적으로 모니터링되고 보호되도록 보장할 책임이 있지만 공공 및 민간 부문 보안 간의 경계가 훨씬 더 미묘해졌습니다.  전반적인 그림을 살펴보면, DDoS 및 유선으로 배포된 악성 코드와 같은 네트워크 공격을 우회하고 가용성에 영향을 주지 않으면서 인프라 리소스의 무결성을 유지하려면 네트워크 인프라와 배포된 애플리케이션을 보호하는 것이 중요합니다.  더욱 중요한 것은 중요한 애플리케이션을 HTTP 공격으로부터 보호하는 것도 필요하다는 것입니다. 가장 중요한 부분은 인터넷을 통한 통신이 중단되지 않도록 하는 것입니다. 이를 위해 조직에서는 사이버 공격에 대처하기 위한 보안 메커니즘이 인프라에 내장되어 있는지 확인해야 합니다.

선제적 사이버 보안 달성을 위한 첫 단계

디지털 전환의 속도가 빨라지면서 정부와 조직에서는 운영 효율성을 달성하기 위해 최신 응용 프로그램을 도입하게 되었습니다. 그러나 이러한 애플리케이션은 대상을 지정하거나 광범위한 성격을 띤 첨단 사이버 공격으로부터 보호해야 합니다. 국가 간 갈등이 발생하는 시기에는 중요한 애플리케이션을 계속 사용할 수 있도록 보장하는 것이 더욱 중요해집니다. 정부와 모든 조직은 다음과 같은 핵심 사항을 고려하여 경계해야 합니다.

  • 오늘날의 디지털 환경에서는 웹 애플리케이션과 API가 널리 보급되어 있습니다. 긍정적인 보안 태세를 유지하려면 학대와 공격으로부터 안전을 보장하는 것이 가장 중요합니다. WAAP(웹 앱 및 API 보호) 와 같은 서비스와 솔루션은 웹 기반 공격에 대한 보호 기능을 제공할 뿐만 아니라 기본적인 보안 기능도 포함합니다.
  • 착취와 학대는 유일한 공격 수단이 아니다. 서비스 거부 공격은 중요한 자산에 대한 접근을 방해할 수 있습니다. 사전 예방적 사이버보안 전략에는 중요한 애플리케이션을 계속 사용할 수 있도록 애플리케이션 기반 DoS 공격을 우회하는 기능도 포함되어야 합니다.
  • 사전 대응을 위해서는 잠재적인 공격의 징후를 식별할 수 있는 능력도 필요합니다. 대부분의 조직에서는 모든 애플리케이션, 인프라 및 환경에 대한 가시성이 부족하여 공격을 조기에 감지할 수 있는 능력이 부족합니다. 디지털 자산의 건강 상태는 디지털 신호에 의해 결정되며, 사전적 사이버 보안을 위한 기본 구성 요소입니다. 잠재적인 공격을 조기에 감지할 수 있는 관찰성 전략은 공격에 신속히 대응하고 무력화할 수 있는 역량을 제공합니다.

강력하고 견고한 사이버보안 태세를 구축하려면 가용성이 포함되어야 합니다. 즉, 공격을 받더라도 중요한 애플리케이션을 계속 사용할 수 있어야 합니다. 탄력성과 중단 없는 가용성을 갖춘 보안을 달성하는 것은 위협(및 완화책)이 결코 진화하지 않을 것이라는 이해를 바탕으로 한 사전적 사이버 보안의 벤치마크입니다.