2023 CONCERT FORECAST

1. 2023년 사이버 위협과 CERT 대응전략

- COVID-19에 따른 디지털 테라포밍 (환경변화)

> 사이버 공격 우려↑: 자동화 및 디지털화로 단기간 내 급격한 프로세스 변화 발생

> 기업의 디지털 전환이 7년 앞당겨 졌다 => 사이버 위협 역시 7년 앞당겨지는 결과 초래

 

- 2023년의 위협들

> 랜섬웨어: 콜로니얼 파이프라인 랜섬웨어 사건

> CaaS (Crime-as-a-Service): 사이버 범죄 서비스화

> 공급방 공격: 가장 약한 고리 공격 ex. 솔라윈즈 사태

> Cyber war: 우크라이나-러시아 전쟁

> Inflation: 보안투자(비용 측면) ↓ + 공격표면(보안이 필요한 중요데이터 외 기타 데이터의 관리) ↑

- 대응 전략

> 국내외 보안동향 모니터링

> 랜섬웨어:제로트러스트

    디지털 공간의 신뢰 인프라 구성이 필요한 장기전

> 사고 시 법류에 따른 대응절차 준수&준비

    사후 대응 절차에 의한 처벌이 다수

    망법 개정에 따라 침해사고에 대한 자료요구 권한 확대

제48조의2(침해사고의 대응 등)
① 과학기술정보통신부장관은 침해사고에 적절히 대응하기 위하여 다음 각 호의 업무를 수행하고, 필요하면 업무의 전부 또는 일부를 한국인터넷진흥원이 수행하도록 할 수 있다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>
1. 침해사고에 관한 정보의 수집ㆍ전파
2. 침해사고의 예보ㆍ경보
3. 침해사고에 대한 긴급조치
4. 그 밖에 대통령령으로 정하는 침해사고 대응조치

② 다음 각 호의 어느 하나에 해당하는 자는 대통령령으로 정하는 바에 따라 침해사고의 유형별 통계, 해당 정보통신망의 소통량 통계 및 접속경로별 이용 통계 등 침해사고 관련 정보를 과학기술정보통신부장관이나 한국인터넷진흥원에 제공하여야 한다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>
1. 주요정보통신서비스 제공자
2. 집적정보통신시설 사업자
3. 그 밖에 정보통신망을 운영하는 자로서 대통령령으로 정하는 자

③ 한국인터넷진흥원은 제2항에 따른 정보를 분석하여 과학기술정보통신부장관에게 보고하여야 한다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>

④ 과학기술정보통신부장관은 제2항에 따라 정보를 제공하여야 하는 사업자가 정당한 사유 없이 정보의 제공을 거부하거나 거짓 정보를 제공하면 상당한 기간을 정하여 그 사업자에게 시정을 명할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.>

⑤ 과학기술정보통신부장관이나 한국인터넷진흥원은 제2항에 따라 제공받은 정보를 침해사고의 대응을 위하여 필요한 범위에서만 정당하게 사용하여야 한다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>

⑥ 과학기술정보통신부장관이나 한국인터넷진흥원은 침해사고의 대응을 위하여 필요하면 제2항 각 호의 어느 하나에 해당하는 자에게 인력지원을 요청할 수 있다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.> [전문개정 2008. 6. 13.]

 

Issue 1. 클라우드 보안

- 클라우드 도입으로 구조와 도구의 변화: 추상화, 간편화

 

- 지능적/구조적 헛점을 고려하여, 상시 또는 최종 단계에서 검증과 대응 수행

> 클라우드 포탈 계정과 동일한 SNS 계정을 사용할 경우 계정 탈취로 접근 가능

> 개인 저장소에 내부 자료 저장

> 개인 PC로 업무망 접속 등의 보안문제

> 기존 업무망과 클라우드 인프라 운영을 위한 비용 문제

 

- 안전한 클라우드 네트워크 보안 적용 방안

> 다중 통신 제어 체계: 단계별 통신제어 및 권한 분리

> 다중 보안관제 체계: 단계별 침입 탐지 및 대응 체계

> 컨테이너 네트워크 보안: 컨테이너 네트워크 대응 체계 수립

> 사고 예방 및 컴플라이언스 대응: 경계영역(DMZ, 사설망 등) 보안 적용 및 관리, 망분리 요건 대응 및 보안관리

 

- 클라우드 네트워크 구조, 형태, 동향 상 문제점을 확인하고 대응 방안을 직접 분석하는 것이 필요

 

Issue 2. EDR, MDR, XDR

2.1 EDR! 랜섬웨어와 사이버 위협 선제 방어를 위한 최적의 해법일까?

- EDR

> 마치 CCTV처럼 PC내의 거의 모든 악성 행위 정보를 수집해 실기간으로 위협을 다양한 방식으로 탐지하고,

> 로그 및 행위를 확인/분석하여 프로세스 종료, 파일 격리 등의 지능적 대응

> IOC, ML(머신러닝), XBA(행위기반), 사용자 정의 룰 기반

> 가트너 정의

엔드포인트 레벨의 동작을 기록 및 저장하고 의심스러운 시스템 동작을 탐지하고 상황에 맞는 정보를 제공하며, 악성활동을 차단하고 영향을 받는 시스템을 복원하기 위한 개선 제안을 제공하는 다양한 데이터 분석 기술을 사용하는 솔루션 

 

- 도입 배경 및 필요성

① 배경

> 성능과 보안성 문제

> 다양한 방식의 랜섬웨어 유입&감염 사례

> 알려지지않은 새로운 보안위협 증가와 공격 시나리오의 복장성 증가

 

② 필요성
> 다변화, 고도화 되고 있는 사이버 공격을 모두 막는 것은 불가능

> 기존 보안 장비의 한계점

   시그니처 기반, 정책 관리 문제, PC 감염 후 동작, SIEM 운영시 연동 문제, 확장자 변환 등에 따른 가시성 확보 문제

- 도입 시 주요 검토사항

> 알려지지 않은 위협 탐지: 샘플링 후 PoC 진행을 통한 검증 1차 제조사 자체 검증 & 2차 환경 구성 후 테스트

> 최근 2~3년간 다양해진 EDR 중 솔루션 선택 문제 : 주어진 환경(예산, 규모, 상황 등) 다각적 검토

> 설치된 타 보안 프로그램 및 업무 프로그램 차단, 충돌 : 검토 및 구축단계에서 테스트를 통한 충돌, 프로세스 차단 여부 검증 후 예외 처리

> 솔루션 적용에 따른 에이전트 배포와 PC 성능 문제 : 모니터링

- 활용

> 대시보드를 통한 모티터링 및 고도화

> 스토리라인/타임라인을 통한 악성코드 실행 및 확산 범위 파악

> 랜섬웨어 피해 대응을 위한 VSS 서비스(Volume Shadow Copy Services_복원, 백업과 밀접한 관계가 있는 서비스) 관리

- 향후 운영 방안

> Muti-Level 앤드포인트 대응체계 구축: 탐지 결과 가시성확보, 단계적 악성 위협 대응

> 관제시스템 연동을 통한 분석 체계 고도화: SIEM, SOAR 연동으로 네트워크의 이상 행위(트래픽 증가 등)와 앤드포인트 악성행위와의 연관성 확인

> 랜섬웨어 대응 체계 강화: 안티 랜섬웨어를 연계하여 실시간 랜섬웨어 탐지 및 백업, 복원

> 매체제어/유통 통제 및 악성코드 전파 가시성 확보

- EDR 도입 시 고려해야 할 문제

> 알려지지 않은 위협에 대한 가시성 확보 문제

> EDR 위협 정보 확인과 처리

> 오탐 이벤트 분석과 처리

> 지속적인 정책 업데이트

> 최신 업데이트와 관련된 정기/수시 공조체계 활용

> 기존 보안 솔루션과 중복되는 부분에대한 효율적 운용

2.2 혼동스러운 EDR / NDR / XDR 마켓 트렌드, 기술적 정의 및 고려사항

- EDR (Endpoint Detection &  Response): 엔드포인트 탐지 및 대응 솔루션

- NDR (Network Detection &  Response): 네트워크 탐지 및 대응 솔루션

- XDR ( eXtended Detection &  Response): 확장 탐지 및 대응 솔루션, 플랫폼

- SOAR (Security Orchestration, Automation & Response): 보안 운영 자동화 및 대응 솔루션, 플랫폼

- MDR (Managed Detection &  Response): 매니지드 탐지 및 대응 서비스

 

Issue 3. 제로 트러스트

3.1 기업환경에서 제로 트러스트 도입시 준비 및 고려사항

- 현재의 보안은 경계 보안(Perimeter Security): 방벽을 통해 외부의 위협을 철저히 방어하는 것이 목표

> 내부의 공격자나 방벽을 넘어선 위협은 대응 불가

> 사용자의 이동성 문제: 재택근무

> 클라우드 서비스 도입

> 내부망 점거

> 다양한 접속 단말

- NIST 800-207 Core Zero Trust Logical Components

> Zero Trust의 핵심이자 기본은 인증

> 우리나라 망분리 환경과 상극

     Zero Trust - 어디에서든 접근하더라도 보안 정책을 만족하면 접속가능

     국내 망분리: 신뢰된 위치에서의 접속 필요

> 사용자 인증: (다중인증을 통한) 등록된 사용자 여부

       사용자 인증 통합 데이터베이스 구축

       단일 IDP(Identity Provider) 사용

       전사 SSO 인증 체계 구축, 다중 인증 (MFA) 필수 - 한 계정의 권한을 모든 전사 시스템에 적용해야 하기 때문에 가장 어려운 문제 / 자체 기술 보다는 표준(FIDO 등)을 이용해 구축이 효율적

> 단말기: (접속 단말기의) 사내 보안 기준 만족 여부, 기업 소유 단말 여부

       기업 소유 기기 데이터베이스 구축, 보안 현황 모니터링

       접근 정책 적용시 디바이스 정보 활용

> 접근통제: 과도한 권한 부여 여부, 접근 경로의 안전성 여부, 올바른 응용 프로그램 접근 권한 소유 여부

       동적인 검증이 가장 중요

- 제로 트러스트 환경으로 전환이 어려운 이유

> 사용자 측면: 변화에 대한 사용자들의 거부감

> 기술 측면: 다단계 방어 기법(Defense-in-Depth) 운영, 접근 주체의 보안성 점검은 다양한 속성 검증 필요, 확장 가능한 자동화 시스템 운영

> 네트워크 접근 측면: 기기별 보안 등급 차등 부여, 많은 권한 = 많은 검증, 응용 계층 검사

3.2 40년전에 만들어진 IP 통신의 문제점, 해결에서 시작하는 제로 트러스트 아키텍처 도입 방안

- 제로 트러스트란

> 사용 여부와 관계없이 연결된 초연결 시대로 인증 없이 누구나 부여 받는 IP - IP 통신환경은 보안이 고려되지 않은 환경

> IP 네트워크에 연결된 대상은 기본적으로 신뢰할 수 없다는 가정하기 때문에 "제로 트러스트"로 정의

- 제로 트러스트 도입 단계

> 통신 대상 접속 제어 환경 구현: 필요에 따라 끊을 수 있는 접속 제어 기술 적용

> 통신 대상 식별 환경 구현: IP 주소 및 세션 식별 방식이 아닌 실질적인 통신 대상 식별이 가능하도록

> 이벤트 중심 위험 탐지 환경 구현: 통신 시점에 발생하는 이벤트에 대응