사이버 공격자는 타깃 조직의 네트워크와 애플리케이션, 즉 디지털 공격 표면을 스캔하여 발견된 취약점과 제로데이 취약점을 악용하는 여러 기술과 절차를 사용하여 다단계 공격을 수행합니다. 본 논문에서는 기업이 방어해야 하는 여러 종류의 위협을 고려하고, 적의 활동으로 인한 피해를 억제할 가능성을 높이기 위해 제로 트러스트 원칙을 사용하는 것에 대해 강조합니다. 그런 다음 MITRE ATT&CK 프레임워크에 체계화된 공격자의 전술, 기술, 절차를 간략히 살펴보겠습니다. 마지막으로 MITRE D3FEND 프레임워크를 논의하고 이를 제로 트러스트 원칙에 매핑해보겠습니다. 

미국 국립표준기술원(NIST)은 컴퓨터 보안 자원 센터(CSRC) 용어집에서 "공격 표면"을 "공격자가 해당 시스템, 시스템 요소 또는 환경에 침입하거나, 영향을 미치거나, 데이터를 추출할 수 있는 시스템, 시스템 요소 또는 환경의 경계에 있는 지점 집합"이라고 추상적 정의를 내렸습니다.

"공격 표면"을 생각하는 또 다른 방법은 디지털 환경의 다양한 구성 요소에 숨어 있는 모든 알려지거나 알려지지 않은 취약성을 고려하는 것입니다. 이러한 구성 요소의 비철저한 목록은 다음과 같습니다. 

• 물리적 및 가상 네트워크, 컴퓨팅 및 스토리지 자산
  
• 하이퍼바이저, 가상 머신, 컨테이너 오케스트레이션 시스템, 서비스 메시
  
• 펌웨어, 운영 체제, 데이터베이스 관리 소프트웨어, 애플리케이션 소프트웨어와 같은 이러한 자산에서 실행되는 소프트웨어
  
• 컨테이너 이미지 저장소, VM 이미지 저장소, 코드 저장소
  
• 내부 및 외부 API, 마이크로서비스 엔드포인트, 애플리케이션 포털
  
• 로컬 환경 외부에 있지만 로컬에서 사용되는 서비스(예: ID 검증 서비스, 시간 서버, 원격 데이터 저장소)
  
• ID 저장소, 사용자 계정 데이터베이스, 비즈니스 데이터 저장소

기업에서는 사업 위험을 최소화하기 위해 모든 규정 준수 요구 사항을 준수하는 동시에 자사의 디지털 자산과 지적 재산권, 고객 및 직원의 개인 정보를 보호해야 합니다. 동시에 비즈니스 워크플로와 디지털 경험의 가용성과 안정성을 계속 보장해야 합니다. 이러한 과제를 해결하는 방법은 제로 트러스트 원칙을 준수하는 것입니다. 즉, 최소 권한을 사용하고, 명시적으로 확인하고, 지속적으로 평가하고, 침해를 가정하는 것입니다.¹ 이를 통해 조직은 다음 섹션에서 설명하는 대로 다양한 위협 유형에 대처할 수 있습니다.

데이터는 현대 디지털 기업의 생명선입니다. 따라서 공격자는 조직의 데이터를 노리는 데 강력한 재정적 동기를 가지고 있습니다. 데이터가 도난당하면 다크 웹에서 판매될 수 있으며, 다른 당사자가 데이터 소유자에게 추가로 피해를 입히는 데 사용할 수 있습니다. 조직은 랜섬웨어의 희생양이 될 수도 있습니다. 공격자는 조직의 데이터를 암호화하거나 조직 인프라에서 완전히 제거하여 조직의 데이터를 사용할 수 없게 만듭니다. 공격자는 피해자에게 데이터를 복구하는 대가로 몸값을 요구할 수 있습니다. 세 번째 데이터 공격 유형은 단순히 해를 끼치고 싶어 하는 행위자가 사용하는 방식으로, 데이터를 미묘하게 손상시켜 비즈니스 프로세스와 이에 의존하는 디지털 경험을 방해하는 것입니다. 

데이터 유출 또는 데이터 침해는 적대자가 소유자의 동의 없이 기밀 정보에 접근할 때 발생합니다. 지적 재산권에 대한 피해 외에도, 이러한 공격은 브랜드 손상과 신뢰 상실을 초래하는 경우가 많습니다. 이 법률에 따라 침해를 당한 조직은 개인 식별 정보가 포함된 데이터 손실을 보고해야 합니다. 피싱 기술, 공개 애플리케이션의 취약점 악용, 공급망 침해 등은 데이터가 저장된 디지털 환경에 침투하는 널리 사용되는 방법입니다.

최근 주목할 만한 사례는 SolarWinds 공급망 공격입니다.² 적대자들은 이러한 악성코드를 이용해 수천 개의 기업과 정부 기관에 침투했습니다. 이러한 초기 접근은 디지털 인프라에 지속적으로 존재감을 확립함으로써 후속 공격 악용 단계를 위한 발판을 제공했고, 여러 피해자 애플리케이션과 네트워크에서 측면 이동이 가능해졌습니다. 결국, 이러한 전술은 공격자의 최종 목표, 즉 자격 증명/암호를 침해하고 피해자의 데이터를 빼내는 것으로 이어졌습니다. 

데이터에 대한 또 다른 형태의 공격은 "랜섬웨어" 공격으로, 해커가 맬웨어를 배포하여 주요 비즈니스 프로세스를 방해하거나 완전히 차단하는 것입니다. 가장 흔한 경우는 중요한 비즈니스 데이터가 암호화되거나 제거되어 중요한 업무 흐름이 중단되는 경우입니다. 어떤 경우에는 신원 인증 데이터 저장소의 데이터도 암호화되거나 제거되어 합법적인 사용자가 시스템에 전혀 접근할 수 없게 됩니다. 공격자는 "몸값"을 받은 후에야 시스템에 대한 접근 권한을 복구하거나 데이터를 해독합니다. 2021년 5월 랜섬웨어 공격으로 Colonial Pipeline이 마비되었습니다.³ 휘발유와 제트 연료를 미국 남동부로 운송합니다.

일부 적대자는 데이터 공격에 더욱 섬세한 접근 방식을 사용합니다. 이러한 정교한 공격자는 데이터를 빼내거나 사용할 수 없게 만드는 대신 피해자 조직의 현장 데이터에 신중하게 타겟팅된 소수의 변경을 가하며, 그 대가는 애플리케이션의 일반적인 외부 워크플로를 통해 전달됩니다. 예를 들어 할인 판매되는 항공기 좌석의 비율을 늘리거나, 재고 공급 데이터베이스를 조작하여 판매 중인 품목이 더 많거나 적은 것처럼 보이게 하거나, 전자상거래 사이트에 특별 할인 코드를 추가하는 것 등이 있습니다. 피해가 발생하기 전까지는 감지하기 어려운 이러한 "은밀한" 변경 사항은 피해자의 비즈니스 워크플로를 이용하여 공격자에게 가치를 추출합니다. 

해커는 네트워크와 컴퓨팅 인프라의 리소스를 소모하는 공격을 감행해 비즈니스 프로세스가 중단되거나 비효율적으로 기능하게 만듭니다. 이러한 공격의 목적은 타겟 조직의 브랜드를 손상시키는 것부터 돈을 갈취하는 것, 온라인 티켓 판매를 불가능하게 하는 것과 같은 특정한 사업적 결과를 달성하는 것까지 다양합니다. 또한 고급 공격자는 동시에 진행되는 보다 정교한 공격의 다른 단계를 수행하는 동안 이러한 유형의 공격을 연막막으로 사용하는 경우가 많습니다. 

공격자는 봇넷을 사용하여 공격 트래픽을 대상 리소스로 유도하여 분산 서비스 거부(DDoS) 공격을 시작합니다. 볼륨형 DDoS 공격은 대상 네트워크에 트래픽을 범람시켜 사용 가능한 모든 대역폭을 소모합니다. 프로토콜 DDoS 공격은 방화벽과 같은 상태 저장 네트워크 장치의 연결 테이블을 채우기 위해 특수 트래픽을 보내서 합법적인 연결이 끊어지도록 합니다. 애플리케이션 DDoS 공격은 불법적인 요청으로 서버의 리소스를 소모합니다. 

공격자는 공격자를 대신하여 계산을 수행하기 위해 컴퓨팅 리소스에 대한 무단 액세스를 얻을 수 있으며, 그 결과는 명령 및 제어 서버로 보고됩니다. 이는 컴퓨터 소유자가 모르는 사이에 백그라운드에서 암호화폐 채굴 코드를 실행하기 위해 자주 수행됩니다. 피싱과 드라이브바이 다운로드는 컴퓨터에 암호화폐 채굴 코드를 배포하는 데 사용되는 일반적인 방법입니다. 해커는 MITRE ATT&CK 측면 이동 전술을 사용하여 훔친 CPU 용량을 키우고, 지속성 전술을 사용하여 승인되지 않은 계산을 실행할 수 있는 능력을 유지합니다.

악의적인 의도를 가진 행위자는 원하는 워크플로나 사용자 경험을 악용하여 조직에 피해를 입힙니다. 이러한 위협은 매출 손실, 브랜드 손상, 사기 대응을 위한 운영 비용 증가로 이어질 수 있습니다.

개인적 이익을 추구하는 해커들은 합법적인 비즈니스 프로세스를 이용해 조직에 피해를 입힙니다. 예를 들어, 자동화를 사용하여 인기 있는 이벤트에 대한 티켓을 상당수 구매한 다음 다른 사람이 구매하지 못하게 한 다음 더 높은 가격에 판매할 수도 있습니다. 

기업의 정보는 조직의 공개 웹사이트에서 수집되거나 내부 시스템에서 도난당한 후 조직에 해로운 방식으로 사용될 수 있습니다. 예를 들어, 경쟁업체는 가격 정보를 수집하여 자사 가격을 낮춰 고객을 유인할 수 있습니다. 

해커는 공개된 웹사이트의 내용을 수정하고 훼손하여 조직에 당혹감을 줄 수 있습니다. 또한 웹사이트 사용자에게 잘못된 정보를 제공하기 위해 콘텐츠를 변경할 수도 있습니다. 

사기꾼은 다른 사용자를 대신하여 금융 거래를 할 수 있는 방법을 찾아서 이를 통해 이익을 얻습니다. 이들은 훔친 자격 증명을 사용해 계정을 탈취하거나, 의심하지 않는 사용자를 속여 그들이 평소 사용하는 사이트와 비슷한 사이트로 이동하게 한 다음 계정 자격 증명을 제공합니다. 이런 종류의 사기는 주로 전자상거래 사이트나 금융 기관 포털에서 일어납니다. 코로나 시대에 많은 사기꾼이 실업 수당 사기에 가담했습니다. 이들은 도용한 신원을 사용하여 사기성 실업 수당을 신청하고 수당을 자신에게 지급했습니다.⁴

조직을 상대로 위협을 가하는 끈질긴 적은 인내심이 강하고, 조직적이며, 매우 숙련되어 있습니다. 피해를 입히려면 공격자는 정보 수집, 초기 접근, 교두보 확보, 정보 훔치기, 데이터 유출 등 여러 가지 전술적 목표를 달성해야 합니다. MITRE ATT&CK 프레임워크⁵ 전술적 목표, 전술적 목표를 달성하기 위한 기술, 그 기술을 구현하기 위한 절차를 나열합니다. 방어자는 이 프레임워크를 사용하여 모든 공격을 전술, 기술, 절차(TTP)로 분석할 수 있으며, 이는 MITRE ATT&CK 프레임워크 사이트 에서 확인할 수 있습니다. 그림 1에서 보듯이, 각 전략과 관련 기술에 대해 디지털 환경 전반에서 제로 트러스트 원칙을 고수하면 공격자의 성공 확률이 낮아지고 활동을 조기에 감지할 확률이 높아집니다. 

D3FEND 프레임워크는 "사이버 보안 대책 도메인의 핵심 개념과 이러한 개념을 서로 연결하는 데 필요한 관계를 모두 정의하는 의미적으로 엄격한 유형과 관계를 포함하는" 대책 지식 기반과 지식 그래프를 제공합니다.⁷ 이 프레임워크는 보안 담당자가 디지털 환경과 관련된 위협으로부터 방어하는 데 필요한 역량이 무엇인지 고려하는 데 도움이 됩니다.

또한 D3FEND 프레임워크에 나열된 관련 대책을 실행할 수 있는 능력을 파악하여 MITRE ATT&CK 프레임워크에 나열된 다양한 TTP에 대한 준비 측면에서 보안 위험을 생각해 볼 수 있습니다. 두 프레임워크 사이의 결합 조직은 "디지털 아티팩트" 추상화입니다. 공격자가 일련의 TTP를 사용하여 공격을 수행할 때 해당 활동은 눈에 띄는 디지털 아티팩트를 생성합니다. D3FEND 프레임워크는 실무자가 적의 활동으로 생성된 디지털 아티팩트를 찾는 방법을 구체적으로 기록하고 실행 가능한 방어 계획을 수립하는 데 도움이 됩니다.

그림 2에서 볼 수 있듯이 MITRE D3FEND 대책의 범주가 제로 트러스트 원칙을 기반으로 하는 제로 트러스트 보안 기술에 정확하게 매핑된다는 점에 유의하십시오. 

오늘날의 애플리케이션과 디지털 경험은 점점 더 많은 모바일 인력과 고객 기반에 부응하는 상호 연결된 디지털 기업의 생태계라는 더 광범위한 맥락에서 인간과 스마트 기기를 포함한 더 다양한 대상 고객 전반에 걸친 보다 풍부한 참여에 대한 기업의 욕구에 의해 주도되고 있습니다. 동시에, 비즈니스 민첩성과 효율성에 대한 요구가 계속 커지면서 애플리케이션 아키텍처는 오픈 소스 및 SaaS 구성 요소를 훨씬 더 많이 활용하게 되었습니다. 결과적으로 오늘날의 핵심 애플리케이션은 그 어느 때보다 더 심층적이고 통제가 덜 된 인프라에 의존하게 되었습니다. 최신 비즈니스 요구 사항으로 인해 애플리케이션 아키텍처의 복잡성이 증가하였고, 그 결과 더 광범위하고 역동적인 위협 영역이 노출되었으며, 이전보다 더 많은 자금과 강한 동기를 가진 정교한 적대 세력이 이를 악용하고 있습니다.

MITRE ATT&CK 프레임워크는 악의적인 행위자가 복잡한 공격을 구성하는 데 사용하는 전술, 기술 및 절차에 대한 체계적인 명명법을 제공합니다. MITRE D3FEND 프레임워크는 조직이 공격에 사용된 TTP에 의해 생성된 관찰 가능한 디지털 아티팩트를 탐지하는 데 사용할 수 있는 대책에 대한 지식 그래프를 지정합니다. MITRE D3FEND 대책은 다양한 제로 트러스트 원칙과 연관될 수 있으며, 이러한 원칙을 준수하면 대책을 구현하는 특정 메커니즘이 더욱 효과적이 됩니다. 

보고서 다운로드