멀티 벡터 공격이 표준이 되면서 증가되는 위험
통합 플랫폼에서 이러한 과제를 해결하는 방법
벡터가 많을수록 성공률이 높아집니다
공격자가 한 번에 둘 이상의 공격면이나 벡터를 대상으로 하면 진입 성공률이 크게 높아집니다.
지금까지 이러한 '멀티 벡터' 공격(여러 손상 지점을 통한 네트워크 침투 시도)은 가장 정교하고 자금이 풍부한 공격자만 사용했습니다. 하지만 이제 상황이 바뀌기 시작했습니다. 오늘날 공격자는 다양한 방어 태세를 시험하기 위해, 때로는 미묘한 보안 격차를 악용하고, 때로는 조직의 대응 능력을 압도하기 위해 여러 전술을 함께 사용하는 것이 점점 더 흔해지고 있습니다.
이러한 멀티 벡터 공격 빈도가 증가함에 따라 보다 통합되고 간소화된 보안 접근 방식을 이용하여 틈새 보안 서비스의 수를 줄여야 할 필요성이 커지고 있습니다.
공격자가 이런 식으로 여러 벡터를 겨냥하는 이유는?
두 개(또는 그 이상)의 공격 벡터를 악용하면 공격 성공률이 높아집니다. 공격이 네트워크에 대한 여러 진입점을 표적으로 삼는 경우(예: 이메일 피싱, 보이스 피싱, VPN 취약점 악용 등) 이러한 시도 중 하나만 성공해도 전체 공격이 성공합니다. 피싱은 멀티 벡터 공격의 일반적인 구성 요소로, 소프트웨어 결함보다는 사람의 실수를 종종 악용하므로 차단하기 어렵습니다.
안타깝게도 하이브리드 근무가 증가하면서 이러한 결과가 초래될 가능성이 높아지고 있습니다. 개인 소유 장치 활용(BYOD) 환경의 증가와 더불어 퍼블릭 클라우드, SaaS 앱, 신뢰할 수 없는 무선 네트워크에 대한 의존도가 증가하면서 네트워크 경계가 오랫동안 약화되었습니다. 인터넷을 통해 저장되고 공유되는 중요한 데이터에 액세스하는, 신뢰도가 떨어지는 ID와 장치가 더 많아지면서, 보안에 대한 가시성과 제어 능력이 동시에 감소하는 동시에 훨씬 더 많은 취약점이 발생합니다.
따라서 랜섬웨어가2021년에 기록을 수립했던 것은 놀라운 일이 아니며, 2022년의 첫 3분기 동안 랜섬웨어가 3억 3,840만 건 시도되었습니다.
정교함은 필요하지 않음
조직의 규모와 복잡성이 충분하면 공격자가 네트워크나 장치에 액세스할 수 있는 경로나 수단 등 가능한 공격 벡터의 수도 많습니다. 오픈 소스 MITRE ATT&CK 매트릭스에는 공격자가 대상으로 하는 다양한 벡터와 이를 악용하는 데 사용되는 전술과 기술의 자세한 목록이 제공됩니다.
최근의 예에 따르면 공격자들은 단일 캠페인 과정에서 벡터를 결합합니다. 2022년 0ktapus라고 알려진 그룹에서는 SMS 피싱과 원격 액세스 맬웨어의 백그라운드 다운로드를 조합하여 160여 개의 조직을 겨냥했으며, 그 중 상당수가 다양한 정도의 손상을 입었습니다. 결정적으로, 공격에 대한 독립적인 분석 결과 공격자들은 놀랍게도 다소 경험이 부족했으며, 멀티 벡터 공격에서 흔히 예상되는 정교함과는 거리가 먼 것으로 나타났습니다.
이와 유사하게, 최근의 빈번한 Royal 랜섬웨어 기반 공격 은 피싱, 원격 데스크톱 프로토콜 손상, 맬웨어 다운로드를 조합하여 중요 인프라 조직을 겨냥했습니다. 또한 광범위한 Log4j 취약점으로 인해 공격자들은 공급망 손상을 여러 다른 벡터와 결합할 수 있는 기회를 얻었습니다.
멀티 벡터 공격 완화의 과제
기업 네트워크에 대한 멀티 벡터 공격은 여러 가지 이유로 차단하기 어려울 수 있습니다. 그 중 하나는 경계 기반 보안 정책이 지속해서 확산되고 있다는 점입니다. 예를 들어 공격자가 하나의 벡터를 악용하여 조직의 VPN에 액세스하는 경우 전체 네트워크에 자유롭게 액세스할 수 있습니다.
한정된 인력과 리소스도 또 하나의 일반적인 문제로 떠오르고 있습니다. 많은 조직에서는 보안 팀의 인력을 구성하는 데 어려움을 겪고 있으며, 채워지지 않은 일자리를 관리형 서비스 공급자에게서 아웃소싱하는 데 필요한 예산이 없을 수 있습니다. 대부분의 조직에서는 수십 년 동안 기존 방어 방식을 사용해 왔지만, 오늘날 하이브리드 작업과 하이브리드 클라우드의 증가로 인해 기존 방어 방식이 약화되었습니다. 이는 온프레미스 방화벽, 게이트웨이, 심지어 포인트 클라우드 보안 솔루션으로도 보호할 수 없는 두 가지 현상입니다.
네트워크 경계를 보호하는 방화벽과 게이트웨이는 공격자가 개인 장치나 클라우드 배포를 노리는 경우, 특히 공격자가 이미 네트워크 내부에 있는 경우(그런 경우가 너무 많음)에는 충분하지 않습니다. 상호 운용이 불가능한 포인트 제품(동급 최강의 제품 포함)으로 구성된 복잡하고 분편화된 보안 스택에는 보안 부서에서 인식하지 못하는 격차가 있을 수 있습니다. 또한 하나의 포인트 제품에서 악의적인 활동이 감지되더라도 이 제품에서 다른 솔루션으로 자동 경고가 전달되지 못하지만, 그 대신 보안 경고가 증가하고 경고 피로가 수반됩니다.
클라우드 네이티브, 플랫폼 기반 위협 방어에 대한 요구
역사적으로 조직에서 각 벡터에 대해 개별 포인트 제품을 사용하여 네트워크를 방어해야 하는 데에는 타당한 이유가 있었습니다. 그러나 이 접근 방식은 최신 멀티 벡터 공격에는 적합하지 않습니다. 대신 조직에서는 다음과 같은 기능을 갖춘 기본 통합된 접근 방식을 필요로 합니다.
클라우드 네이티브이며 분산되어 프로토콜, 원본, 목적지와 관계없이 모든 트래픽이 보안 플랫폼을 통과합니다. 이제 회사에서 관리하는 네트워크 연결을 통해 기업 리소스와 데이터에 액세스할 것이라고 가정하는 것은 안전하지 않습니다.
인증, 권한 부여, 감사를 통해 액세스 제어와 긴밀하게 통합됩니다. 계정에 너무 많은 액세스 권한이 있는 경우 공격자의 내부망 이동이 더 쉬워집니다. ID와 컨텍스트를 모두 확인하는 것이 가장 중요합니다. 예를 들어 어떤 사용자 역할이나 장치 유형도 자동으로 신뢰해서는 안 됩니다.
피싱 방지. 피싱과 소셜 엔지니어링은 초기 액세스 권한을 얻으려는 공격자들이 널리 사용하는 기법입니다. 피싱 이메일로 시작되는 공격이 아주 많으므로 다양한 형태의 커뮤니케이션(예: 이메일, 웹, 소셜, 메신저, SMS)에서 사용자의 참여를 유도하여 신뢰를 쌓고 악용하려는 표적형 및 회피형 캠페인에 대한 포괄적인 보호 기능을 배포하는 것이 중요합니다.
최종 사용자에게 원활하게 전달됩니다. 악의적 스크립트, 드라이브 바이 다운로드, 자격 증명 수집 도구 등의 브라우저 기반 위협에의 노출은 피할 수 없게 됐습니다. 원격 브라우저 격리는 알려지지 않고 신뢰할 수 없는 웹 콘텐츠로부터 사용자를 격리하는 안전망을 제공할 수 있지만, 그 경험이 로컬 브라우저를 사용한 경험과 구별할 수 없는 경우에만 효과적입니다.
비용 효율적입니다. 조직에서는 제한된 리소스로 위협을 완화해야 합니다. 플랫폼 기반의 보안 통합을 우선시하는 벤더의 수를 줄여 보안 비용을 최적화하는 것도 여기에서 분명하게 나아갈 수 있는 한 가지 방법입니다.
포인트 제품과 온프레미스 하드웨어는 상기 원칙을 구현하는 데 도움이 될 수 없습니다. 오늘날 조직에서는 네트워크 내부와 외부의 공격 벡터와 외부 모두에서 광범위한 위협 방어를 필요로 합니다.
Cloudflare One은 하이브리드 근무를 지원하는 데 필요한 위협 방어 및 온램프(on-ramp)를 통합합니다. Cloudflare One을 사용하면 안전한 웹 게이트웨이 및 클라우드 이메일 보안 서비스를 기본적으로 통합하고 원격 브라우저 격리 및 데이터 손실 방지 기능을 통합하여 위협을 방어할 수 있습니다. 플랫폼은 이러한 위협 방어 서비스를 Zero Trust 네트워크 액세스(ZTNA) 및 클라우드 액세스 보안 브로커(CASB), 즉 액세스를 보호하는 서비스와 통합하여 제공합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
현재 사용되는 공격 벡터의 범위
MITRE ATT&CK 매트릭스
멀티 벡터 공격의 완화 과제
통합 플랫폼으로 이러한 과제를 해결하는 방법