꼰머의 보안공부

1. 네이버 개인정보보호 리포트

- 네이버는 2012년부터 개인정보 보호 활동을 엮어 '네이버 개인정보보호 리포트' 발행 [1]

> 2015년부터 '이용자 프라이버시 보호'에 대한 전문 연구 수행결과를 모아 'Privacy Whitepaper' 발행

2. Privacy Whitepaper

2.1 자동화된 결정 규정의 해석과 바람직한 운영 및 개선방안

- 자동화된 결정: 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보를 처리하여 이루어지는 결정 (개보법)

- 프로파일링: 자연인의 개인적인 특정 측면을 평가하기 위하여 행해지는 모든 형태의 자동화된 개인정보 처리 (GDPR)

> 인간의 존엄성, 프라이버시와 자유, 민주주의, 공정성 문제

> 문제를 어떻게 해결할 것인가: 개보법제, 차별금지법제, 인공지능 규제 법제, 행정 법제

> 여러 상황, 맥락 등에 따라 다양한 한계가 존재

- 자동화된 결정에 대한 대응권 규정의 해석 비교

> 거부권의 요건 강화

> 거부권의 법적 성격이 정보주체의 권리임을 명확히 함 등

- 개선방안

2.2 개인정보의 제3자 제공을 둘러싼 몇 가지 쟁점에 대하여

- 개인정보보호법의 제3자 제공에 관한 규정

> 수집, 이용에 관한 제15조, 제3자 제공에 관한 제17조

> 목적 외 이용 및 목적 외 제공에 관한 제18조가 병렬적으로 나열되어 혼란 유발

> 체적으로 ‘처리’에 관한 규정으로 통합 or 법 제17조와 제18조를 통합하는 방안 고려 필요

- 제3자 제공 관련 해외 법제 개요

- 개인정보보호법상 관련 규정 검토

3. 기타

- 경제성, 예측 가능성에 비추어 현재 제시된 법률의 내용 보강 필요

- 개인정보 활용을 위한 법제에 비해 시장에서 데이터 활용에 대한 활성화가 이루어지지 않음

> 여러 규제(EU AI Act 등)가 개보법에 포함되며 활용이 제약될 수 있음

- 제3자 제공, 공동 이용 등의 모호성의 명확화

> 계약 사항 이행을 위해 필요한 부분들이 별도 규정되어 있음

> 계약 사항 이행 목적임에도 재동의 필요

> 공동 이용시 책임소재 명확화 필요

> 제3자 제공 관련 최초 이관자의 의도 파악이 중요

- 현재 동의 받는 방식의 습관화와 개인정보 보호의 관련성 고려 필요

- 알고리즘 통제자와 개인정보처리자의 불일치 문제의 해결 필요

- 개인정보처리자의 재량이나 판단 기준에 대해 해설서에 충분한 반영 필요

- 권리 행사의 예외가 되는 정당한 사유에 대한 구체화

※ 부족한 내용은 참고사이트 확인 바랍니다.

4. 참고

[1] https://privacy.naver.com/protection_activity/personal_information_report?menu=protection_activity_report_personal_information
[2] https://privacy.naver.com/protection_activity/privacy_white_paper?menu=protection_activity_report_privacy_whitepaper

[3] https://www.boannews.com/media/view.asp?idx=125712

1. 시큐리티 트렌드와 XDR

- 업무 환경의 변화에 따른 관리 포인트 증가로 보안 아키텍처 변화 필요

> 지금까지 경계 중심 보안: 내외부로 나눠 탐지, 대응에 집중

> 경계 중심 보안에도 지속된 침해로 위협의 예방, 완화 및 복원력 확보를 위해 보안 아키텍처 변화 필요

- 업무 환경의 변화로 탐지 및 대응의 어려움 증가_단말의 증가, 업무 과부하, 가시성 저하 등

> 자산의 외부 반출/개인 자산 업무 활용

> 내부 정보 이동/정보 연계

> 내부의 중요정보 이동 등

- XDR 핵심 제공 요소

> 일반적으로 여러 보안 솔루션을 운영하며, 위협이 격리되지 않을 가능성 多_다양한 영역의 보안 로그 연계분석 必

> 여러 벤더의 보안 솔루션을 사용_Third-Party의 통합 必

> 발생 이벤트 대비 분석 인력 부족_우선 순위 지정과 필요시 추가 조사 및 자동화 된 대응이 必

※ 위험의 우선순위를 제공해 위험도를 지속적으로 관리 및 낮춰야 함

2. 논리적 망분리시스템을 통한 중요정보 유출방지 및 침해사고 대응방안 제시

- 2023 상반기 보안 이슈

> 전년 상반기 대비(473건) 침해사고 신고 건수 40% 증가(664건)

> 서버해킹과 악성코드 감염 각각 48%, 23% (초기 침투 전문 브로커(IAB) 활동 증가, 랜섬웨어, 디페이스 공격, DDoS 등)

> 국내 기준 제조업 겨냥 정보유출 시도가 지속되었으며, 기사화되지 않은 많은 사고 발생

- 망분리 필요성

> 기존의 다수 보안 솔루션으로는 근본적 문제 해결 불가 / 한 PC내 인터넷 파일과 업무 파일의 공존 등

> 외부 위협으로부터 내부 시스템 보호 및 중요정보 유출 방지를 위해 업무망-인터넷망 분리시켜 원천적 보안강화 필요

※ 망분리 정의: 내부 업무망과 인터넷 망을 각각 분리 운용하는 방식으로, 외부에서 침입을 하더라도 내부 업무망에 접근하지 못하게 하여 안전한 데이터 및 서비스를 운영 목적

- 망분리 종류 및 방식

> CBC, SBC, DaaS 방식 비교

1. '제로트러스트 가이드라인 1.0'으로 바라본 제로트러스트 구현 전략

- 정보보안 영역에서의 패러다임 대전환으로 제로트러스트가 주목받음

> 비대면ㆍ디지털 전환 가속화: '언제 어디서든 누구나' 사이버 위협이 가능하며, 관리 대상의 증가

> 新환경ㆍ보안위협: 지능화 기술 확산으로 사이버 공격 은밀화ㆍ고도화

> 보안산업 외연 확대: 일상생활 전반에 정보보호 내재화 및 정보보호산업 육성을 위한 국가 차원 전략 마련

> 기존 경계 기반 보안모델의 한계: 최근 해킹 및 랜섬웨어 사례로 경계 기반 보안모델의 한계 부각

∴ 더 세밀한 인증체계, 보호 대상을 각각 분리ㆍ보호하고, 모든 접근 요구를 정확하게 제어하여 최소 권한을 부여할 수 있는 보안 체계 필요

- 제로트러스트

> NIST: 이미 침투당했다는 관점에서 정확한, 최소 권한의, 세션 단위 접근 결정을 강제하여 불확실성을 최소화하기 위해 설계된 개념과 아이디어의 집합

> DoD: 정적ㆍ네트워크 기반 경계로부터 사용자ㆍ자산ㆍ리소스에 중점을 둔 방어로 이동ㆍ진화하는 사이버 보안 패러다임의 집합

> 단순히 제품이나 기술의 구입ㆍ도입만으로는 달성할 수 없으며, 현재 환경의 객관적인 파악과 평가가 선행되어야 함

- 제로트러스트 가이드라인 1.0

> 22.10월 산ㆍ학ㆍ연ㆍ관 전문가들이 참여하는 '한국제로트러스트포럼' 구성

> 23.06월 국내외 기술동향 분석, 토론회 등 전문가 의견을 모아 제로트러스트 가이드라인 1.0 발간

- 제로트러스트 도입

> 많은 자원, 시간, 소요예산 등이 필요한 작업으로 충분한 검토 및 체계적인 준비가 필요하며, 도입 계획 수립 필요

> 보유 자원에 대한 보안 위협을 줄이기 위한 절차로 위험 관리 프레임워크(NIST)와 연계하여 검토 가능

2. 제로 트러스트 아키텍처의 핵심 솔루션 ‘Micro Segmentation’

- 제로트러스트 도입 근거

> 현대화된 Hybrid Cloud Infrastructure: On-Prem 환경에서 Cloud 환경으로 이전 또는 혼용

> 확인되지 않는 Attack 시퀀스: 공격의 지능화 및 고도화로 공격의 순서도를 파악하기 어려움

- 제로트러스트 관련 솔루션

> Micro Segmentation: East-West Traffic 보호

> ZTNA(ZeroTrust Network Access): North-South Traffic 보호

> MFA: 다중인증 

> SWG(Secure Web Gateway): Internet Access 보호

- Micro Segmentation

> 제로트러스트의 핵심 솔루션으로, 랜섬웨어 확산 방지의 장점을 지님

> Gartner: 제로트러스트 구축시 가장 초기 단계 중 하나로 워크로드 세그먼테이션 강조

> Forrester: 마이크로세그멘테이션은 제로트러스트 필수 요소

> 과학기술정보통신부: 제로트러스 구현 핵심원칙으로 마이크로 세그멘테이션 강조

※ 단계 예시

① Environment Segmentation (망분할)

② Critical Application Ring-Fencing (중요 어플리케이션 분할)

③ Critical Application Micro Segmentation (어플리케이션 자체 분할)

④ Third-Party Access Control (협력사)

⑤ Identity-Based Access Control (사용자)

※ Micro Segmentation 구현을 위한 Forrester 5단계

① Sensitive Data 식별: 중요 데이터 식별

② Sensitive Data Flow의 도식화: 데이터 흐름 시각화

③ Zero Trust 마이크로 경계 설계: 최적의 경계 설계

④ 보안분석을 통한 Zero Trust 생태계의 지속적인 모니터링: 설계된 경계에서 발생하는 보안 인벤트 모니터링

⑤ Security 자동화 및 오케스트레이션 수용: Third-Party 연동

> 도입효과

① 기술적 관점: 대부분의 보안 사고(85%)는 내부에서 발생 (Cisco 연구 조사 결과)

② 비즈니스적 관점: 공격 표면 감소, 비용 절감, 일관된 정책 구축, 비즈니스 연속성 보장, 운영 효율성 향상, 안전한 디지털 전환

1. 아이디어

- 기존의 인증은 계정정보(ID/PW)를 사용해 정당한 권한을 지니고 있음을 증명

- 계정정보를 대상으로한 공격의 증가 및 비밀번호 관련 취약점으로 인해 Passwordless 인증방식이 대두

- Passwordless 도입 전 개선사항 및 준비사항이 필요

2. 근거

2.1 비밀번호 생성 규칙

- 『개인정보의 안전성 확보조치 기준』 제5조(접근 권한의 관리)
> 인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다

- 『개인정보의 안전성 확보조치 기준 해설서』
> 당한 접속 권한을 가지지 않은 자가 추측하거나 접속을 시도하기 어렵도록 문자, 숫자 등으로 조합·구성하여야 한다고 규정

- 『개인정보의 기술적·관리적 보호조치 기준』 제4조(접근통제) 제7항. 제8항
> 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
> 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용ㆍ운용하여야 한다.

- 한국인터넷진흥원 패스워드 선택 및 이용 안내서

> 안전한 패스워드란 ① 제3자가 쉽게 추측할 수 없고, ② 공격자가 알아내는데 많은 시간이 요구되며, ③ 대문자, 소문자, 특수문자, 숫자 중 두 종류 이상의 문자구성과 8자리 이상 또는 10자리 이상의 길이로 구성된 문자열을 의미

> 또한 각 사이트별로 상이한 비밀번호를 설정하도록 권고

2.2 비밀번호 인증 방식의 문제점

3. Passwordless

- Passwordless란 사용자들이 비밀번호를 기억하거나 입력하지 않고 시스템에 로그인할 수 있는 인증 방법

> NordPass의 2022년 연구에 따르면 한 사람당 평균적으로 약 100개의 비밀번호를 사용

> 2020년 한국인터넷진흥원의 계정관리 보안실태 설문조사 결과 비밀번호 관리를 위해 여러 방법을 사용

> 메모, 별도 저장장치 이용, 자동저장, 비밀번호 관리 프로그램 이용 등

3.1 동향

3.2 고려사항

4. 기대효과

① 보다 안전한 인증 시스템의 구현 기대

- 관련된 규제 및 표준, 최소요구사항 등을 다방면으로 고려하여 사전에 마련

> 통일화된 시스템으로 보안성을 높일뿐더러 관리의 용이성 및 사용자의 편의성을 함께 충족

② 사용자 신뢰도 향상

- 인증 시스템의 신뢰도는 서비스 제공측 뿐만 아니라 사용자측면에서도 중요

- 새로운 환경으로의 변화에 따른 기술에대한 사용자의 여러 우려가 존재

> Passwordless는 사용자 인증을 위한 기술이기 때문에 더욱 고려해야할 문제

③ 비밀번호 관련 취약점 등 문제점 개선

- 사용자들은 많은 계정 정보를 관리하며, 이전 비밀번호를 재사용하거나, 한 두자를 변경하여 비밀번호 변경

> 공격자들은 특히 비밀번호를 대상으로 잘 알려진 취약점, 사회공학적 공격 등으로 비밀번호 탈취를 시도

- Passwordless는 비밀번호를 사용하지 않는 인증이기 때문에 이러한 문제점을 개선

1. 제1세션: 주요국 사이버안보 전략의 최근 동향

1.1 미국의 사이버안보 전략 [1][2][3]

- 오바마 정부 백악관 주도 근간마련 > 트럼프 정부 CISA 설치 등 부처/기관 대응 중심 > 바이든 정부 ONCD 설립 등 백악관 주도

> 핵심 정부 조직: 국가안전보장회의(NSC), 국토안보부(DHS), 사이버보안 및 인프라보안국(CISA), 국가사이버실(ONCD)

※ 국가사이버실(ONCD) 주요 기능

① 국가/연방 Cybersecurity 정책 수립 및 범정부 조정의 총괄

② 예산관리국(OMB)와 협력하여 Cybersecurity 예산과 자원에 대한 검토 및 결과 평가

③ 부처, 기관, 기업, 파트너, 학계, 비영리단체, 국제 동맹과의 긴밀한 협력 추진

④ 디지털 생태계에 중요한 공공/민간의 Cybersecurity 인재의 체계적인 양성 계획 수립

- 23.03 National Cybersecurity Strategy 및 23.07 National Cybersecurity Strategy Implementation Plan 발표

> Cybersecurity는 대부분의 분야에 필수적이며 공공과 민간의 강력한 협업은 사이버공간 확보에 필수적

⒜ S/Wㆍ시스템 복잡성과 취약점 확대, AI의 보급 및 확산은 신규 위협, 악의적 감시, 조작 등의 위협 증가로 이어짐

⒝ 지적 재산 절도, 중요인프라 및 랜섬웨어 공격 등 악의적인 사이버 활동의 진화

※ 사이버 공간의 복원력을 위해 Cybersecurity에 대한 책임을 효과적이고 공평하게 재조정 하였으며, 장기적 투자를 선호하도록 인센티브를 재편성

※ 23.06.27 백악관은  국가 사이버 보안 전략 5대 전략에 따른 2025 회계연도 예산에 대한 사이버보안 우선순위 지침 발표

1.2 영국의 사이버안보 전략

- 영국은 유럽 사이버공격 전체 사례의 43%로 가장 많은 공격을 받은 국가

> 22년 기업의 39%가 사이버 공격을 받고, 인터넷 사용자당 사이버 범죄 피해자 수가 4,783명으로 전세계에서 가장 많음

- 09년 국가사이버안보전략(NCSC)는 첫 번째 전략 수립을 시작으로 11년부터 5년 주기 전략 수립 및 21년 국가사이버전략(NCS) 명칭 변경

> 국가안전보장회의(NSC) 주도로 발간하며, 내각부외 정부 보안그룹(GSG)은 사이버보안 전략 실행을 위한 재정지원 프로그램인 NCSP 관리와 조정을 담당

> 미국과 지속적으로 사이버공격에 대한 공동귀속, 제재 부과 등의 활동 수행 및 집단안보 강화를 위해 공세적 대응 지원

1.3 일본의 사이버안보 전략

- 사이버 전략은 아베 내각이 추진한 포괄적 안보개혁의 핵심 영역

> 디지털 사회의 발전보다 선행했던 사이버 전략은 아베 내각 이후 안보개혁과 연계되어 본격 추진

> 사이버 공간은 디지털 플랫폼, 유무선 네트워크, 기술변화에 따른 사회경제적인 영향력에 따라 안보문제로 담론화

> 사이버 공간의 안보화: (1) 정보보호, 범죄예방 (2) 사이버 공간의 안보화 (3) 사이버 공간의 군사화

1.4 공통점

- 각 국가별 사이버안보 정책에 따른 공통점은 다음과 같은 것으로 판단됨

① 주요기반시설 등 국민의 생활과 밀접히 관련된 사이버공간의 회복력, 지속력 강조

② 사이버위험 세력에 대한 합법적 법위 내 선제적ㆍ공세적 대응

③ 국제 공조를 통한 사이버위험 세력 제재 및 국제 협력을 통한 표준, 규제, 가이드라인 등 마련

④ 사이버공간에서 기술적 우위를 선점하기 위한 규제, 예산, 인력, 기술 확보를 위한 각 국가별 노력

⑤ 양자암호, AI 등 신기술에 따른 새로운 사이버위험에 대한 대응 강조 등

2. 제2세션: 우리나라의 새로운 국가사이버안보전략 수립 방향

2.1 우리나라 국가사이버안보전략 동향

- 2019년 문재인 정부에서 최초로 국가사이버안보전략 발간 [7]

> 국가사이버안보전략은 사이버안보 정책의 최상위 지침서

① 어떠한 사이버위협에도 국민 생활에 밀접한 서비스를 중단 없이 제공할 수 있도록 국가운영 시스템의 생존성과 복원력을 강화한다.
② 우리의 사이버공간을 쉽게 침해할 수 없도록 대비태세를 강화하고 불의의 사고 발생시 신속하게 대응할 수 있는 역량을 확충하는 등 국가 사이버위협 대응역량을 지속적으로 고도화한다.
③ 민(民)·관(官)·군(軍) 간 신뢰와 협력을 바탕으로 사이버안보 수행체계를 확립하고 사이버안보의 핵심역량이 되는 기술, 인력, 산업 경쟁력 향상을 위한 성장기반을 확충한다.
④ 국민 모두가 사이버안보 중요성을 인식하고 실천하는 안전한 사이버 문화를 정착하고, 사이버안보 관련 국제규범 형성을 주도하는 등 사이버안보 선도국가로서 리더십을 확대한다.

> 이에 따라, 범부처 차원 '국가사이버안보 기본계획(’19~’22)'을 수립·시행 [8]

※ 6대 전략과제 및 100개의 세부 과제

- 윤석열 대통령의 사이버안보 관련 대선 공략 [9]

> 이에 따라, 22.11.08 국정원은 국가사이버안보 기본법 제정(안) 입법예고 [10]

> 한미 정상회담에서 '전략적 사이버안보 협력 프레임워크' 채택
> 아시아 최초 NATO 사이버방위 협력센터 가입
> 국제사이버훈련장 개소 예정 및 우리나라 주도 국제 사이버훈련을 기획 및 시행할 예정 등

3. 참고

[1] https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/
[2] https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/13/fact-sheet-biden-harrisadministration-publishes-thenational-cybersecurity-strategyimplementation-plan/
[3] https://iq.govwin.com/neo/marketAnalysis/view/OMBs-Cybersecurity-Priorities-for-Agency-FY-2025-Budgets/7312?researchTypeId=1&researchMarket=
[4] https://gbr.mofa.go.kr/gb-ko/brd/m_8388/view.do?seq=1261233&srchFr=&srchTo=&srchWord=&srchTp=&multi_itm_seq=0&itm_seq_1=0&itm_seq_2=0&company_cd=&company_nm=
[5] https://inss.re.kr/publication/bbs/js_view.do?nttId=410488
[6] https://www.boannews.com/media/view.asp?idx=120430&kind=2&search=title&find=%BB%E7%C0%CC%B9%F6%BE%C8%BA%B8 

[7] https://www.kisa.or.kr/401/form?postSeq=2372&lang_type=KO&page=#fndoDocumentPreview
[8] https://www.mois.go.kr/frt/bbs/type010/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000008&nttId=72708
[9] https://www.peoplepowerparty.kr/news/data_pledge
[10] https://www.moleg.go.kr/lawinfo/makingInfo.mo?lawSeq=70698&lawCd=0&&lawType=TYPE5&mid=a10104010000

1. 사이버 위협 전망으로 살펴보는 엔드포인트 위협 시나리오 및 대응 전략

- 사이버 보안 전망

① 랜섬웨어

> 최소 공격으로 최대 수익 창출 전략

> 신속한 정보 수집과 파악이 필요

② 기생형 공격 - APT 공격

> 기업 내 인프라 장악 목표

> 시스템 전반에 걸친 통합 보안체계 구축 및 모니터링 필요

③ 파급력 높은 취약점

> Log4j, ZeroDay, BYOVD, 다크웹 등에서 활발히 거래되는 중

④ 공급망 공격

> PC 영역에서 모바일 영역으로 확대되는 중 ex) 인증서 탈취

> 개발/배포 단계에서 보안을 반드시 고려해야 함

- 엔드포인트 위협 과정: 유포 > 감염 > 권한 상승 > 내부 이동 > 정보 탈취

- 엔드포인트 대상 관제 범위 확대 필요성

> 공격 기법의 정교화: 철저한 사전 분석을 거친 타깃형 악성코드 제작

> 정상 파일 악용 보안제품 우회: 윈도우 정상 파일 또는 정상 도구들을 사용

> 파일리스 악성코드의 증가: 웹 브라우저 취약점을 악용한 파일리스 형태의 악성코드 증가

> 네트워크 기반 보안 관제 한계: 정상 인증 기반의 초기 침투 및 엔드포인트 대상의 정교화된 공격 대응 한계

> 내부 이동 공격의 가시성 제약: 내부-내부 또는 내부-외부의 방향성에 대한 가시성 문제

> 침해사고 인지의 어려움: 다양한 방식으로 지속성을 유지하는 APT의 경우 침투 부터 데이터 탈취까지 인지하기 어려움

- 엔드포인트 보안 강화를 위한 필수 솔루션

① TIP (Threat Intelligence Platform)

> 여러 소스 및 형식에서 위협 인텔 데이터를 수집, 집계 및 구성하는 기술 솔루션

> 최신 위협 정보 수집을 통해 정보유출 및 최신 공격 트렌드에 빠르게 대응

> 위협 정보 수집 및 연관성 확인 > 피해 우려 시 탐지 정책 적용 및 대응 > 최신 위협 대응

② EDR (Endpoint Detection & Response)

> 엔드포인트의 보안 강화 목적으로 구축되어 표적형 공격이나 랜섬웨어 등에 의한 사이버 공격을 탐지, 대응을 위해 사용하는 엔드포인트 보안 솔루션

> 엔드포인트 대상 행위 모니터링을 통한 위협 가시성 확보

> 위협 행위정보 수집 및 저장 > 위협 가시성 확보 > 상시 위협 모니터링

③ HIPS (Host Based IPS)

> 호스트에서 감사 기록이나 들어오는 패킷 등을 검사해 침입을 탐지 및 감염 차단을 수행하는 시스템

> 서버 OS 대상 취약점 관리, 클라우드 환경 탐지/대응, 행위 기반 위협 탐지 및 대응이 가능

- 중소 규모의 경우  SOAR Basic 사용 가능

> 모니터링 인력의 부재 or SOC 전담 부서의 부재 or 보안 업무의 자동화 or SIEM 활용의 어려움 = SOAR Basic

2. 2023년 최신 클라우드 보안 위협과 대응 방안

- 공격자가 클라우드 환경을 노리는 이유

> 해킹의 용이성: 허술한 계정 관리, 다양한 접속 경로, 빠른 탐지의 어려움 등

> 확산의 용이성: 내부 이동을 통한 계정 장악 용이

> 민감 데이터 다수 보유

- 클라우드 이용 유형에 따라 다양한 운영 환경이 존재

> 각 환경별로 적합한 보안을 구축해야할 필요성

> On-Premise 환경 대비 취약성 증가: 멀티 클라우드 운영 + 제로 트러스트 보안 + 다양한 접속 경로...

- 클라우드 보안 위협 7가지

> 데이터 유출

> 계정 탈취

> 내부자 위협

> 사용자 설정 오류

> 클라우드 보안 아키텍처 미흡

> 불안정한 인터페이스 및 API

> 신원, 엑세스 관리 미흡

> 대부분의 클라우드 보안 사고의 원인은 "최종 사용자 오류 또는 부주의" 즉, 인적자원에 인한 발생

> 팔로알토 네트웍스 조사 결과 99%가 60일동안 사용하지 않은 "과잉 권한(부적절한 권한 설정)" 부여

- 클라우드 보안 패러다임의 변화

> 개발자 중심에서 비즈니스 중심으로

> 탄력적인 적응형 시스템으로 신속한 피해 최소화

> 개발 및 운영 전반에 걸친 보안 관리의 필요

- 클라우드 위협 대응 전략 및 대응 방안

> 네트워크 위협 탐지, 취약점 탐지, 이상행위 탐지의 선행이 필요

> 최소 권한 접근 제어를 통해 제로 트러스트 보안 강화

> 클라우드 내, 외부 모두 보안 강화 필요

> 클라우드 설정 오류 방지

1. 2023년 사이버 위협과 CERT 대응전략

- COVID-19에 따른 디지털 테라포밍 (환경변화)

> 사이버 공격 우려↑: 자동화 및 디지털화로 단기간 내 급격한 프로세스 변화 발생

> 기업의 디지털 전환이 7년 앞당겨 졌다 => 사이버 위협 역시 7년 앞당겨지는 결과 초래

- 2023년의 위협들

> 랜섬웨어: 콜로니얼 파이프라인 랜섬웨어 사건

> CaaS (Crime-as-a-Service): 사이버 범죄 서비스화

> 공급방 공격: 가장 약한 고리 공격 ex. 솔라윈즈 사태

> Cyber war: 우크라이나-러시아 전쟁

> Inflation: 보안투자(비용 측면) ↓ + 공격표면(보안이 필요한 중요데이터 외 기타 데이터의 관리) ↑

- 대응 전략

> 국내외 보안동향 모니터링

> 랜섬웨어:제로트러스트

    디지털 공간의 신뢰 인프라 구성이 필요한 장기전

> 사고 시 법류에 따른 대응절차 준수&준비

    사후 대응 절차에 의한 처벌이 다수

    망법 개정에 따라 침해사고에 대한 자료요구 권한 확대

제48조의2(침해사고의 대응 등)
① 과학기술정보통신부장관은 침해사고에 적절히 대응하기 위하여 다음 각 호의 업무를 수행하고, 필요하면 업무의 전부 또는 일부를 한국인터넷진흥원이 수행하도록 할 수 있다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>
1. 침해사고에 관한 정보의 수집ㆍ전파
2. 침해사고의 예보ㆍ경보
3. 침해사고에 대한 긴급조치
4. 그 밖에 대통령령으로 정하는 침해사고 대응조치

② 다음 각 호의 어느 하나에 해당하는 자는 대통령령으로 정하는 바에 따라 침해사고의 유형별 통계, 해당 정보통신망의 소통량 통계 및 접속경로별 이용 통계 등 침해사고 관련 정보를 과학기술정보통신부장관이나 한국인터넷진흥원에 제공하여야 한다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>
1. 주요정보통신서비스 제공자
2. 집적정보통신시설 사업자
3. 그 밖에 정보통신망을 운영하는 자로서 대통령령으로 정하는 자

③ 한국인터넷진흥원은 제2항에 따른 정보를 분석하여 과학기술정보통신부장관에게 보고하여야 한다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>

④ 과학기술정보통신부장관은 제2항에 따라 정보를 제공하여야 하는 사업자가 정당한 사유 없이 정보의 제공을 거부하거나 거짓 정보를 제공하면 상당한 기간을 정하여 그 사업자에게 시정을 명할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.>

⑤ 과학기술정보통신부장관이나 한국인터넷진흥원은 제2항에 따라 제공받은 정보를 침해사고의 대응을 위하여 필요한 범위에서만 정당하게 사용하여야 한다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>

⑥ 과학기술정보통신부장관이나 한국인터넷진흥원은 침해사고의 대응을 위하여 필요하면 제2항 각 호의 어느 하나에 해당하는 자에게 인력지원을 요청할 수 있다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.> [전문개정 2008. 6. 13.]

Issue 1. 클라우드 보안

- 클라우드 도입으로 구조와 도구의 변화: 추상화, 간편화

- 지능적/구조적 헛점을 고려하여, 상시 또는 최종 단계에서 검증과 대응 수행

> 클라우드 포탈 계정과 동일한 SNS 계정을 사용할 경우 계정 탈취로 접근 가능

> 개인 저장소에 내부 자료 저장

> 개인 PC로 업무망 접속 등의 보안문제

> 기존 업무망과 클라우드 인프라 운영을 위한 비용 문제

- 안전한 클라우드 네트워크 보안 적용 방안

> 다중 통신 제어 체계: 단계별 통신제어 및 권한 분리

> 다중 보안관제 체계: 단계별 침입 탐지 및 대응 체계

> 컨테이너 네트워크 보안: 컨테이너 네트워크 대응 체계 수립

> 사고 예방 및 컴플라이언스 대응: 경계영역(DMZ, 사설망 등) 보안 적용 및 관리, 망분리 요건 대응 및 보안관리

- 클라우드 네트워크 구조, 형태, 동향 상 문제점을 확인하고 대응 방안을 직접 분석하는 것이 필요

Issue 2. EDR, MDR, XDR

2.1 EDR! 랜섬웨어와 사이버 위협 선제 방어를 위한 최적의 해법일까?

- EDR

> 마치 CCTV처럼 PC내의 거의 모든 악성 행위 정보를 수집해 실기간으로 위협을 다양한 방식으로 탐지하고,

> 로그 및 행위를 확인/분석하여 프로세스 종료, 파일 격리 등의 지능적 대응

> IOC, ML(머신러닝), XBA(행위기반), 사용자 정의 룰 기반

> 가트너 정의

엔드포인트 레벨의 동작을 기록 및 저장하고 의심스러운 시스템 동작을 탐지하고 상황에 맞는 정보를 제공하며, 악성활동을 차단하고 영향을 받는 시스템을 복원하기 위한 개선 제안을 제공하는 다양한 데이터 분석 기술을 사용하는 솔루션 

- 도입 배경 및 필요성

① 배경

> 성능과 보안성 문제

> 다양한 방식의 랜섬웨어 유입&감염 사례

> 알려지지않은 새로운 보안위협 증가와 공격 시나리오의 복장성 증가

② 필요성
> 다변화, 고도화 되고 있는 사이버 공격을 모두 막는 것은 불가능

> 기존 보안 장비의 한계점

   시그니처 기반, 정책 관리 문제, PC 감염 후 동작, SIEM 운영시 연동 문제, 확장자 변환 등에 따른 가시성 확보 문제

- 도입 시 주요 검토사항

> 알려지지 않은 위협 탐지: 샘플링 후 PoC 진행을 통한 검증 1차 제조사 자체 검증 & 2차 환경 구성 후 테스트

> 최근 2~3년간 다양해진 EDR 중 솔루션 선택 문제 : 주어진 환경(예산, 규모, 상황 등) 다각적 검토

> 설치된 타 보안 프로그램 및 업무 프로그램 차단, 충돌 : 검토 및 구축단계에서 테스트를 통한 충돌, 프로세스 차단 여부 검증 후 예외 처리

> 솔루션 적용에 따른 에이전트 배포와 PC 성능 문제 : 모니터링

- 활용

> 대시보드를 통한 모티터링 및 고도화

> 스토리라인/타임라인을 통한 악성코드 실행 및 확산 범위 파악

> 랜섬웨어 피해 대응을 위한 VSS 서비스(Volume Shadow Copy Services_복원, 백업과 밀접한 관계가 있는 서비스) 관리

- 향후 운영 방안

> Muti-Level 앤드포인트 대응체계 구축: 탐지 결과 가시성확보, 단계적 악성 위협 대응

> 관제시스템 연동을 통한 분석 체계 고도화: SIEM, SOAR 연동으로 네트워크의 이상 행위(트래픽 증가 등)와 앤드포인트 악성행위와의 연관성 확인

> 랜섬웨어 대응 체계 강화: 안티 랜섬웨어를 연계하여 실시간 랜섬웨어 탐지 및 백업, 복원

> 매체제어/유통 통제 및 악성코드 전파 가시성 확보

- EDR 도입 시 고려해야 할 문제

> 알려지지 않은 위협에 대한 가시성 확보 문제

> EDR 위협 정보 확인과 처리

> 오탐 이벤트 분석과 처리

> 지속적인 정책 업데이트

> 최신 업데이트와 관련된 정기/수시 공조체계 활용

> 기존 보안 솔루션과 중복되는 부분에대한 효율적 운용

2.2 혼동스러운 EDR / NDR / XDR 마켓 트렌드, 기술적 정의 및 고려사항

- EDR (Endpoint Detection &  Response): 엔드포인트 탐지 및 대응 솔루션

- NDR (Network Detection &  Response): 네트워크 탐지 및 대응 솔루션

- XDR ( eXtended Detection &  Response): 확장 탐지 및 대응 솔루션, 플랫폼

- SOAR (Security Orchestration, Automation & Response): 보안 운영 자동화 및 대응 솔루션, 플랫폼

- MDR (Managed Detection &  Response): 매니지드 탐지 및 대응 서비스

Issue 3. 제로 트러스트

3.1 기업환경에서 제로 트러스트 도입시 준비 및 고려사항

- 현재의 보안은 경계 보안(Perimeter Security): 방벽을 통해 외부의 위협을 철저히 방어하는 것이 목표

> 내부의 공격자나 방벽을 넘어선 위협은 대응 불가

> 사용자의 이동성 문제: 재택근무

> 클라우드 서비스 도입

> 내부망 점거

> 다양한 접속 단말

- NIST 800-207 Core Zero Trust Logical Components

> Zero Trust의 핵심이자 기본은 인증

> 우리나라 망분리 환경과 상극

     Zero Trust - 어디에서든 접근하더라도 보안 정책을 만족하면 접속가능

     국내 망분리: 신뢰된 위치에서의 접속 필요

> 사용자 인증: (다중인증을 통한) 등록된 사용자 여부

       사용자 인증 통합 데이터베이스 구축

       단일 IDP(Identity Provider) 사용

       전사 SSO 인증 체계 구축, 다중 인증 (MFA) 필수 - 한 계정의 권한을 모든 전사 시스템에 적용해야 하기 때문에 가장 어려운 문제 / 자체 기술 보다는 표준(FIDO 등)을 이용해 구축이 효율적

> 단말기: (접속 단말기의) 사내 보안 기준 만족 여부, 기업 소유 단말 여부

       기업 소유 기기 데이터베이스 구축, 보안 현황 모니터링

       접근 정책 적용시 디바이스 정보 활용

> 접근통제: 과도한 권한 부여 여부, 접근 경로의 안전성 여부, 올바른 응용 프로그램 접근 권한 소유 여부

       동적인 검증이 가장 중요

- 제로 트러스트 환경으로 전환이 어려운 이유

> 사용자 측면: 변화에 대한 사용자들의 거부감

> 기술 측면: 다단계 방어 기법(Defense-in-Depth) 운영, 접근 주체의 보안성 점검은 다양한 속성 검증 필요, 확장 가능한 자동화 시스템 운영

> 네트워크 접근 측면: 기기별 보안 등급 차등 부여, 많은 권한 = 많은 검증, 응용 계층 검사

3.2 40년전에 만들어진 IP 통신의 문제점, 해결에서 시작하는 제로 트러스트 아키텍처 도입 방안

- 제로 트러스트란

> 사용 여부와 관계없이 연결된 초연결 시대로 인증 없이 누구나 부여 받는 IP - IP 통신환경은 보안이 고려되지 않은 환경

> IP 네트워크에 연결된 대상은 기본적으로 신뢰할 수 없다는 가정하기 때문에 "제로 트러스트"로 정의

- 제로 트러스트 도입 단계

> 통신 대상 접속 제어 환경 구현: 필요에 따라 끊을 수 있는 접속 제어 기술 적용

> 통신 대상 식별 환경 구현: IP 주소 및 세션 식별 방식이 아닌 실질적인 통신 대상 식별이 가능하도록

> 이벤트 중심 위험 탐지 환경 구현: 통신 시점에 발생하는 이벤트에 대응

1. 아이디어

- 개인정보 제공 서비스 및 기간 조회
- 개인정보를 제공한 서비스를 시각화하여 사용자들의 개인정보 자기결정권 보장

2. 필요성

- 플랫폼 다양화 > 서비스 다양화
- 자주 사용하지 않는 서비스 > 제공한 개인정보의 항목 & 제공한 사실 망각
- 사용자는 개인정보가 유출되었는지에 대해서도 인지하지 못함

- 기업은 사용자들의 개인정보를 보호하기 위해 다양한 솔루션들을 검토&도입 > 최근 증가한 사회공학적 해킹 기법으로 기술적 보안 솔루션의 한계
- 사회공학적 기법 등으로 해킹한 개인정보 > 부당 이득 or 2차피해 有

- 따라서 기업의 보안 솔루션 이전에, 사용자에게 보다 객관적인 정보를 제공 必

3. 특징

① 개인정보 자기결정권 행사

- 주체의 요구가 있을 경우에만 개인정보 자기결정권에 따라 정보주체의 권리를 보장 > 서비스 사용 빈도별 관심 차이 발생 > 개인정보 자기결정권을 행사할 수 없음
- 관련된 정보(제공한 개인정보 항목 및 서비스 등)를 하나로 통합해 시각화 > 사용중인 서비스 파악 > 제공, 열람, 정지, 정정, 삭제 등 개인정보 자기결정권 보다 정확히 행사

② 제3자 제공 데이터 파악

- 개인정보보호법 제17조(개인정보의 제공)에 따라 제3자에게 개인정보를 제공할 시 개인정보의 분산 저장방식이 문제가 발생할 수 있음 > 시각화 데이터를 사용해 관련 정보 파악

③ 기타

- 하나의 기업에서 제공하는 다수 서비스 이용 > 트리구조 or 디렉터리 구조로 표현

- 사용자-인증기관의 정당성 확인 문제 > 기업에서 사용자에 대한 인증 값 생성 및 제공 > 기업-인증기관 사전 인증 채널을 통해 사용자 키값 공유 > 키값을 통해 사용자-인증기관 간 정당성 확인

4. 기대효과

- 사용자들은 회원가입 또는 개인정보 제공 시 약관을 읽지 않고 동의함을 체크한 후 다음 단계로 진행하는 경우가 多 > 개인정보에 대한 사용자의 무관심을 반증

- 이는, 개인정보가 유출되더라도 본인의 개인정보가 관련되었는지 또는 인지하지 못해 2차 피해로 이어지는 결과로 이어질 수 있음

∴ 사용자들에게 시각화된 정보를 제공함으로써 불필요한 서비스를 탈퇴하고 개인정보 유출을 최소화하여 개인정보 자기결정권을 최대한 보장 및 사용자 인식 제고와 관심 유발