꼰머의 보안공부

1. 아이디어

- 기존의 인증은 계정정보(ID/PW)를 사용해 정당한 권한을 지니고 있음을 증명

- 계정정보를 대상으로한 공격의 증가 및 비밀번호 관련 취약점으로 인해 Passwordless 인증방식이 대두

- Passwordless 도입 전 개선사항 및 준비사항이 필요

2. 근거

2.1 비밀번호 생성 규칙

- 『개인정보의 안전성 확보조치 기준』 제5조(접근 권한의 관리)
> 인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다

- 『개인정보의 안전성 확보조치 기준 해설서』
> 당한 접속 권한을 가지지 않은 자가 추측하거나 접속을 시도하기 어렵도록 문자, 숫자 등으로 조합·구성하여야 한다고 규정

- 『개인정보의 기술적·관리적 보호조치 기준』 제4조(접근통제) 제7항. 제8항
> 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
> 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용ㆍ운용하여야 한다.

- 한국인터넷진흥원 패스워드 선택 및 이용 안내서

> 안전한 패스워드란 ① 제3자가 쉽게 추측할 수 없고, ② 공격자가 알아내는데 많은 시간이 요구되며, ③ 대문자, 소문자, 특수문자, 숫자 중 두 종류 이상의 문자구성과 8자리 이상 또는 10자리 이상의 길이로 구성된 문자열을 의미

> 또한 각 사이트별로 상이한 비밀번호를 설정하도록 권고

2.2 비밀번호 인증 방식의 문제점

3. Passwordless

- Passwordless란 사용자들이 비밀번호를 기억하거나 입력하지 않고 시스템에 로그인할 수 있는 인증 방법

> NordPass의 2022년 연구에 따르면 한 사람당 평균적으로 약 100개의 비밀번호를 사용

> 2020년 한국인터넷진흥원의 계정관리 보안실태 설문조사 결과 비밀번호 관리를 위해 여러 방법을 사용

> 메모, 별도 저장장치 이용, 자동저장, 비밀번호 관리 프로그램 이용 등

3.1 동향

3.2 고려사항

4. 기대효과

① 보다 안전한 인증 시스템의 구현 기대

- 관련된 규제 및 표준, 최소요구사항 등을 다방면으로 고려하여 사전에 마련

> 통일화된 시스템으로 보안성을 높일뿐더러 관리의 용이성 및 사용자의 편의성을 함께 충족

② 사용자 신뢰도 향상

- 인증 시스템의 신뢰도는 서비스 제공측 뿐만 아니라 사용자측면에서도 중요

- 새로운 환경으로의 변화에 따른 기술에대한 사용자의 여러 우려가 존재

> Passwordless는 사용자 인증을 위한 기술이기 때문에 더욱 고려해야할 문제

③ 비밀번호 관련 취약점 등 문제점 개선

- 사용자들은 많은 계정 정보를 관리하며, 이전 비밀번호를 재사용하거나, 한 두자를 변경하여 비밀번호 변경

> 공격자들은 특히 비밀번호를 대상으로 잘 알려진 취약점, 사회공학적 공격 등으로 비밀번호 탈취를 시도

- Passwordless는 비밀번호를 사용하지 않는 인증이기 때문에 이러한 문제점을 개선

1. 제1세션: 주요국 사이버안보 전략의 최근 동향

1.1 미국의 사이버안보 전략 [1][2][3]

- 오바마 정부 백악관 주도 근간마련 > 트럼프 정부 CISA 설치 등 부처/기관 대응 중심 > 바이든 정부 ONCD 설립 등 백악관 주도

> 핵심 정부 조직: 국가안전보장회의(NSC), 국토안보부(DHS), 사이버보안 및 인프라보안국(CISA), 국가사이버실(ONCD)

※ 국가사이버실(ONCD) 주요 기능

① 국가/연방 Cybersecurity 정책 수립 및 범정부 조정의 총괄

② 예산관리국(OMB)와 협력하여 Cybersecurity 예산과 자원에 대한 검토 및 결과 평가

③ 부처, 기관, 기업, 파트너, 학계, 비영리단체, 국제 동맹과의 긴밀한 협력 추진

④ 디지털 생태계에 중요한 공공/민간의 Cybersecurity 인재의 체계적인 양성 계획 수립

- 23.03 National Cybersecurity Strategy 및 23.07 National Cybersecurity Strategy Implementation Plan 발표

> Cybersecurity는 대부분의 분야에 필수적이며 공공과 민간의 강력한 협업은 사이버공간 확보에 필수적

⒜ S/Wㆍ시스템 복잡성과 취약점 확대, AI의 보급 및 확산은 신규 위협, 악의적 감시, 조작 등의 위협 증가로 이어짐

⒝ 지적 재산 절도, 중요인프라 및 랜섬웨어 공격 등 악의적인 사이버 활동의 진화

※ 사이버 공간의 복원력을 위해 Cybersecurity에 대한 책임을 효과적이고 공평하게 재조정 하였으며, 장기적 투자를 선호하도록 인센티브를 재편성

※ 23.06.27 백악관은  국가 사이버 보안 전략 5대 전략에 따른 2025 회계연도 예산에 대한 사이버보안 우선순위 지침 발표

1.2 영국의 사이버안보 전략

- 영국은 유럽 사이버공격 전체 사례의 43%로 가장 많은 공격을 받은 국가

> 22년 기업의 39%가 사이버 공격을 받고, 인터넷 사용자당 사이버 범죄 피해자 수가 4,783명으로 전세계에서 가장 많음

- 09년 국가사이버안보전략(NCSC)는 첫 번째 전략 수립을 시작으로 11년부터 5년 주기 전략 수립 및 21년 국가사이버전략(NCS) 명칭 변경

> 국가안전보장회의(NSC) 주도로 발간하며, 내각부외 정부 보안그룹(GSG)은 사이버보안 전략 실행을 위한 재정지원 프로그램인 NCSP 관리와 조정을 담당

> 미국과 지속적으로 사이버공격에 대한 공동귀속, 제재 부과 등의 활동 수행 및 집단안보 강화를 위해 공세적 대응 지원

1.3 일본의 사이버안보 전략

- 사이버 전략은 아베 내각이 추진한 포괄적 안보개혁의 핵심 영역

> 디지털 사회의 발전보다 선행했던 사이버 전략은 아베 내각 이후 안보개혁과 연계되어 본격 추진

> 사이버 공간은 디지털 플랫폼, 유무선 네트워크, 기술변화에 따른 사회경제적인 영향력에 따라 안보문제로 담론화

> 사이버 공간의 안보화: (1) 정보보호, 범죄예방 (2) 사이버 공간의 안보화 (3) 사이버 공간의 군사화

1.4 공통점

- 각 국가별 사이버안보 정책에 따른 공통점은 다음과 같은 것으로 판단됨

① 주요기반시설 등 국민의 생활과 밀접히 관련된 사이버공간의 회복력, 지속력 강조

② 사이버위험 세력에 대한 합법적 법위 내 선제적ㆍ공세적 대응

③ 국제 공조를 통한 사이버위험 세력 제재 및 국제 협력을 통한 표준, 규제, 가이드라인 등 마련

④ 사이버공간에서 기술적 우위를 선점하기 위한 규제, 예산, 인력, 기술 확보를 위한 각 국가별 노력

⑤ 양자암호, AI 등 신기술에 따른 새로운 사이버위험에 대한 대응 강조 등

2. 제2세션: 우리나라의 새로운 국가사이버안보전략 수립 방향

2.1 우리나라 국가사이버안보전략 동향

- 2019년 문재인 정부에서 최초로 국가사이버안보전략 발간 [7]

> 국가사이버안보전략은 사이버안보 정책의 최상위 지침서

① 어떠한 사이버위협에도 국민 생활에 밀접한 서비스를 중단 없이 제공할 수 있도록 국가운영 시스템의 생존성과 복원력을 강화한다.
② 우리의 사이버공간을 쉽게 침해할 수 없도록 대비태세를 강화하고 불의의 사고 발생시 신속하게 대응할 수 있는 역량을 확충하는 등 국가 사이버위협 대응역량을 지속적으로 고도화한다.
③ 민(民)·관(官)·군(軍) 간 신뢰와 협력을 바탕으로 사이버안보 수행체계를 확립하고 사이버안보의 핵심역량이 되는 기술, 인력, 산업 경쟁력 향상을 위한 성장기반을 확충한다.
④ 국민 모두가 사이버안보 중요성을 인식하고 실천하는 안전한 사이버 문화를 정착하고, 사이버안보 관련 국제규범 형성을 주도하는 등 사이버안보 선도국가로서 리더십을 확대한다.

> 이에 따라, 범부처 차원 '국가사이버안보 기본계획(’19~’22)'을 수립·시행 [8]

※ 6대 전략과제 및 100개의 세부 과제

- 윤석열 대통령의 사이버안보 관련 대선 공략 [9]

> 이에 따라, 22.11.08 국정원은 국가사이버안보 기본법 제정(안) 입법예고 [10]

> 한미 정상회담에서 '전략적 사이버안보 협력 프레임워크' 채택
> 아시아 최초 NATO 사이버방위 협력센터 가입
> 국제사이버훈련장 개소 예정 및 우리나라 주도 국제 사이버훈련을 기획 및 시행할 예정 등

3. 참고

[1] https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/
[2] https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/13/fact-sheet-biden-harrisadministration-publishes-thenational-cybersecurity-strategyimplementation-plan/
[3] https://iq.govwin.com/neo/marketAnalysis/view/OMBs-Cybersecurity-Priorities-for-Agency-FY-2025-Budgets/7312?researchTypeId=1&researchMarket=
[4] https://gbr.mofa.go.kr/gb-ko/brd/m_8388/view.do?seq=1261233&srchFr=&srchTo=&srchWord=&srchTp=&multi_itm_seq=0&itm_seq_1=0&itm_seq_2=0&company_cd=&company_nm=
[5] https://inss.re.kr/publication/bbs/js_view.do?nttId=410488
[6] https://www.boannews.com/media/view.asp?idx=120430&kind=2&search=title&find=%BB%E7%C0%CC%B9%F6%BE%C8%BA%B8 

[7] https://www.kisa.or.kr/401/form?postSeq=2372&lang_type=KO&page=#fndoDocumentPreview
[8] https://www.mois.go.kr/frt/bbs/type010/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000008&nttId=72708
[9] https://www.peoplepowerparty.kr/news/data_pledge
[10] https://www.moleg.go.kr/lawinfo/makingInfo.mo?lawSeq=70698&lawCd=0&&lawType=TYPE5&mid=a10104010000

1. 사이버 위협 전망으로 살펴보는 엔드포인트 위협 시나리오 및 대응 전략

- 사이버 보안 전망

① 랜섬웨어

> 최소 공격으로 최대 수익 창출 전략

> 신속한 정보 수집과 파악이 필요

② 기생형 공격 - APT 공격

> 기업 내 인프라 장악 목표

> 시스템 전반에 걸친 통합 보안체계 구축 및 모니터링 필요

③ 파급력 높은 취약점

> Log4j, ZeroDay, BYOVD, 다크웹 등에서 활발히 거래되는 중

④ 공급망 공격

> PC 영역에서 모바일 영역으로 확대되는 중 ex) 인증서 탈취

> 개발/배포 단계에서 보안을 반드시 고려해야 함

- 엔드포인트 위협 과정: 유포 > 감염 > 권한 상승 > 내부 이동 > 정보 탈취

- 엔드포인트 대상 관제 범위 확대 필요성

> 공격 기법의 정교화: 철저한 사전 분석을 거친 타깃형 악성코드 제작

> 정상 파일 악용 보안제품 우회: 윈도우 정상 파일 또는 정상 도구들을 사용

> 파일리스 악성코드의 증가: 웹 브라우저 취약점을 악용한 파일리스 형태의 악성코드 증가

> 네트워크 기반 보안 관제 한계: 정상 인증 기반의 초기 침투 및 엔드포인트 대상의 정교화된 공격 대응 한계

> 내부 이동 공격의 가시성 제약: 내부-내부 또는 내부-외부의 방향성에 대한 가시성 문제

> 침해사고 인지의 어려움: 다양한 방식으로 지속성을 유지하는 APT의 경우 침투 부터 데이터 탈취까지 인지하기 어려움

- 엔드포인트 보안 강화를 위한 필수 솔루션

① TIP (Threat Intelligence Platform)

> 여러 소스 및 형식에서 위협 인텔 데이터를 수집, 집계 및 구성하는 기술 솔루션

> 최신 위협 정보 수집을 통해 정보유출 및 최신 공격 트렌드에 빠르게 대응

> 위협 정보 수집 및 연관성 확인 > 피해 우려 시 탐지 정책 적용 및 대응 > 최신 위협 대응

② EDR (Endpoint Detection & Response)

> 엔드포인트의 보안 강화 목적으로 구축되어 표적형 공격이나 랜섬웨어 등에 의한 사이버 공격을 탐지, 대응을 위해 사용하는 엔드포인트 보안 솔루션

> 엔드포인트 대상 행위 모니터링을 통한 위협 가시성 확보

> 위협 행위정보 수집 및 저장 > 위협 가시성 확보 > 상시 위협 모니터링

③ HIPS (Host Based IPS)

> 호스트에서 감사 기록이나 들어오는 패킷 등을 검사해 침입을 탐지 및 감염 차단을 수행하는 시스템

> 서버 OS 대상 취약점 관리, 클라우드 환경 탐지/대응, 행위 기반 위협 탐지 및 대응이 가능

- 중소 규모의 경우  SOAR Basic 사용 가능

> 모니터링 인력의 부재 or SOC 전담 부서의 부재 or 보안 업무의 자동화 or SIEM 활용의 어려움 = SOAR Basic

2. 2023년 최신 클라우드 보안 위협과 대응 방안

- 공격자가 클라우드 환경을 노리는 이유

> 해킹의 용이성: 허술한 계정 관리, 다양한 접속 경로, 빠른 탐지의 어려움 등

> 확산의 용이성: 내부 이동을 통한 계정 장악 용이

> 민감 데이터 다수 보유

- 클라우드 이용 유형에 따라 다양한 운영 환경이 존재

> 각 환경별로 적합한 보안을 구축해야할 필요성

> On-Premise 환경 대비 취약성 증가: 멀티 클라우드 운영 + 제로 트러스트 보안 + 다양한 접속 경로...

- 클라우드 보안 위협 7가지

> 데이터 유출

> 계정 탈취

> 내부자 위협

> 사용자 설정 오류

> 클라우드 보안 아키텍처 미흡

> 불안정한 인터페이스 및 API

> 신원, 엑세스 관리 미흡

> 대부분의 클라우드 보안 사고의 원인은 "최종 사용자 오류 또는 부주의" 즉, 인적자원에 인한 발생

> 팔로알토 네트웍스 조사 결과 99%가 60일동안 사용하지 않은 "과잉 권한(부적절한 권한 설정)" 부여

- 클라우드 보안 패러다임의 변화

> 개발자 중심에서 비즈니스 중심으로

> 탄력적인 적응형 시스템으로 신속한 피해 최소화

> 개발 및 운영 전반에 걸친 보안 관리의 필요

- 클라우드 위협 대응 전략 및 대응 방안

> 네트워크 위협 탐지, 취약점 탐지, 이상행위 탐지의 선행이 필요

> 최소 권한 접근 제어를 통해 제로 트러스트 보안 강화

> 클라우드 내, 외부 모두 보안 강화 필요

> 클라우드 설정 오류 방지

1. 2023년 사이버 위협과 CERT 대응전략

- COVID-19에 따른 디지털 테라포밍 (환경변화)

> 사이버 공격 우려↑: 자동화 및 디지털화로 단기간 내 급격한 프로세스 변화 발생

> 기업의 디지털 전환이 7년 앞당겨 졌다 => 사이버 위협 역시 7년 앞당겨지는 결과 초래

- 2023년의 위협들

> 랜섬웨어: 콜로니얼 파이프라인 랜섬웨어 사건

> CaaS (Crime-as-a-Service): 사이버 범죄 서비스화

> 공급방 공격: 가장 약한 고리 공격 ex. 솔라윈즈 사태

> Cyber war: 우크라이나-러시아 전쟁

> Inflation: 보안투자(비용 측면) ↓ + 공격표면(보안이 필요한 중요데이터 외 기타 데이터의 관리) ↑

- 대응 전략

> 국내외 보안동향 모니터링

> 랜섬웨어:제로트러스트

    디지털 공간의 신뢰 인프라 구성이 필요한 장기전

> 사고 시 법류에 따른 대응절차 준수&준비

    사후 대응 절차에 의한 처벌이 다수

    망법 개정에 따라 침해사고에 대한 자료요구 권한 확대

제48조의2(침해사고의 대응 등)
① 과학기술정보통신부장관은 침해사고에 적절히 대응하기 위하여 다음 각 호의 업무를 수행하고, 필요하면 업무의 전부 또는 일부를 한국인터넷진흥원이 수행하도록 할 수 있다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>
1. 침해사고에 관한 정보의 수집ㆍ전파
2. 침해사고의 예보ㆍ경보
3. 침해사고에 대한 긴급조치
4. 그 밖에 대통령령으로 정하는 침해사고 대응조치

② 다음 각 호의 어느 하나에 해당하는 자는 대통령령으로 정하는 바에 따라 침해사고의 유형별 통계, 해당 정보통신망의 소통량 통계 및 접속경로별 이용 통계 등 침해사고 관련 정보를 과학기술정보통신부장관이나 한국인터넷진흥원에 제공하여야 한다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>
1. 주요정보통신서비스 제공자
2. 집적정보통신시설 사업자
3. 그 밖에 정보통신망을 운영하는 자로서 대통령령으로 정하는 자

③ 한국인터넷진흥원은 제2항에 따른 정보를 분석하여 과학기술정보통신부장관에게 보고하여야 한다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>

④ 과학기술정보통신부장관은 제2항에 따라 정보를 제공하여야 하는 사업자가 정당한 사유 없이 정보의 제공을 거부하거나 거짓 정보를 제공하면 상당한 기간을 정하여 그 사업자에게 시정을 명할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.>

⑤ 과학기술정보통신부장관이나 한국인터넷진흥원은 제2항에 따라 제공받은 정보를 침해사고의 대응을 위하여 필요한 범위에서만 정당하게 사용하여야 한다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>

⑥ 과학기술정보통신부장관이나 한국인터넷진흥원은 침해사고의 대응을 위하여 필요하면 제2항 각 호의 어느 하나에 해당하는 자에게 인력지원을 요청할 수 있다. <개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.> [전문개정 2008. 6. 13.]

Issue 1. 클라우드 보안

- 클라우드 도입으로 구조와 도구의 변화: 추상화, 간편화

- 지능적/구조적 헛점을 고려하여, 상시 또는 최종 단계에서 검증과 대응 수행

> 클라우드 포탈 계정과 동일한 SNS 계정을 사용할 경우 계정 탈취로 접근 가능

> 개인 저장소에 내부 자료 저장

> 개인 PC로 업무망 접속 등의 보안문제

> 기존 업무망과 클라우드 인프라 운영을 위한 비용 문제

- 안전한 클라우드 네트워크 보안 적용 방안

> 다중 통신 제어 체계: 단계별 통신제어 및 권한 분리

> 다중 보안관제 체계: 단계별 침입 탐지 및 대응 체계

> 컨테이너 네트워크 보안: 컨테이너 네트워크 대응 체계 수립

> 사고 예방 및 컴플라이언스 대응: 경계영역(DMZ, 사설망 등) 보안 적용 및 관리, 망분리 요건 대응 및 보안관리

- 클라우드 네트워크 구조, 형태, 동향 상 문제점을 확인하고 대응 방안을 직접 분석하는 것이 필요

Issue 2. EDR, MDR, XDR

2.1 EDR! 랜섬웨어와 사이버 위협 선제 방어를 위한 최적의 해법일까?

- EDR

> 마치 CCTV처럼 PC내의 거의 모든 악성 행위 정보를 수집해 실기간으로 위협을 다양한 방식으로 탐지하고,

> 로그 및 행위를 확인/분석하여 프로세스 종료, 파일 격리 등의 지능적 대응

> IOC, ML(머신러닝), XBA(행위기반), 사용자 정의 룰 기반

> 가트너 정의

엔드포인트 레벨의 동작을 기록 및 저장하고 의심스러운 시스템 동작을 탐지하고 상황에 맞는 정보를 제공하며, 악성활동을 차단하고 영향을 받는 시스템을 복원하기 위한 개선 제안을 제공하는 다양한 데이터 분석 기술을 사용하는 솔루션 

- 도입 배경 및 필요성

① 배경

> 성능과 보안성 문제

> 다양한 방식의 랜섬웨어 유입&감염 사례

> 알려지지않은 새로운 보안위협 증가와 공격 시나리오의 복장성 증가

② 필요성
> 다변화, 고도화 되고 있는 사이버 공격을 모두 막는 것은 불가능

> 기존 보안 장비의 한계점

   시그니처 기반, 정책 관리 문제, PC 감염 후 동작, SIEM 운영시 연동 문제, 확장자 변환 등에 따른 가시성 확보 문제

- 도입 시 주요 검토사항

> 알려지지 않은 위협 탐지: 샘플링 후 PoC 진행을 통한 검증 1차 제조사 자체 검증 & 2차 환경 구성 후 테스트

> 최근 2~3년간 다양해진 EDR 중 솔루션 선택 문제 : 주어진 환경(예산, 규모, 상황 등) 다각적 검토

> 설치된 타 보안 프로그램 및 업무 프로그램 차단, 충돌 : 검토 및 구축단계에서 테스트를 통한 충돌, 프로세스 차단 여부 검증 후 예외 처리

> 솔루션 적용에 따른 에이전트 배포와 PC 성능 문제 : 모니터링

- 활용

> 대시보드를 통한 모티터링 및 고도화

> 스토리라인/타임라인을 통한 악성코드 실행 및 확산 범위 파악

> 랜섬웨어 피해 대응을 위한 VSS 서비스(Volume Shadow Copy Services_복원, 백업과 밀접한 관계가 있는 서비스) 관리

- 향후 운영 방안

> Muti-Level 앤드포인트 대응체계 구축: 탐지 결과 가시성확보, 단계적 악성 위협 대응

> 관제시스템 연동을 통한 분석 체계 고도화: SIEM, SOAR 연동으로 네트워크의 이상 행위(트래픽 증가 등)와 앤드포인트 악성행위와의 연관성 확인

> 랜섬웨어 대응 체계 강화: 안티 랜섬웨어를 연계하여 실시간 랜섬웨어 탐지 및 백업, 복원

> 매체제어/유통 통제 및 악성코드 전파 가시성 확보

- EDR 도입 시 고려해야 할 문제

> 알려지지 않은 위협에 대한 가시성 확보 문제

> EDR 위협 정보 확인과 처리

> 오탐 이벤트 분석과 처리

> 지속적인 정책 업데이트

> 최신 업데이트와 관련된 정기/수시 공조체계 활용

> 기존 보안 솔루션과 중복되는 부분에대한 효율적 운용

2.2 혼동스러운 EDR / NDR / XDR 마켓 트렌드, 기술적 정의 및 고려사항

- EDR (Endpoint Detection &  Response): 엔드포인트 탐지 및 대응 솔루션

- NDR (Network Detection &  Response): 네트워크 탐지 및 대응 솔루션

- XDR ( eXtended Detection &  Response): 확장 탐지 및 대응 솔루션, 플랫폼

- SOAR (Security Orchestration, Automation & Response): 보안 운영 자동화 및 대응 솔루션, 플랫폼

- MDR (Managed Detection &  Response): 매니지드 탐지 및 대응 서비스

Issue 3. 제로 트러스트

3.1 기업환경에서 제로 트러스트 도입시 준비 및 고려사항

- 현재의 보안은 경계 보안(Perimeter Security): 방벽을 통해 외부의 위협을 철저히 방어하는 것이 목표

> 내부의 공격자나 방벽을 넘어선 위협은 대응 불가

> 사용자의 이동성 문제: 재택근무

> 클라우드 서비스 도입

> 내부망 점거

> 다양한 접속 단말

- NIST 800-207 Core Zero Trust Logical Components

> Zero Trust의 핵심이자 기본은 인증

> 우리나라 망분리 환경과 상극

     Zero Trust - 어디에서든 접근하더라도 보안 정책을 만족하면 접속가능

     국내 망분리: 신뢰된 위치에서의 접속 필요

> 사용자 인증: (다중인증을 통한) 등록된 사용자 여부

       사용자 인증 통합 데이터베이스 구축

       단일 IDP(Identity Provider) 사용

       전사 SSO 인증 체계 구축, 다중 인증 (MFA) 필수 - 한 계정의 권한을 모든 전사 시스템에 적용해야 하기 때문에 가장 어려운 문제 / 자체 기술 보다는 표준(FIDO 등)을 이용해 구축이 효율적

> 단말기: (접속 단말기의) 사내 보안 기준 만족 여부, 기업 소유 단말 여부

       기업 소유 기기 데이터베이스 구축, 보안 현황 모니터링

       접근 정책 적용시 디바이스 정보 활용

> 접근통제: 과도한 권한 부여 여부, 접근 경로의 안전성 여부, 올바른 응용 프로그램 접근 권한 소유 여부

       동적인 검증이 가장 중요

- 제로 트러스트 환경으로 전환이 어려운 이유

> 사용자 측면: 변화에 대한 사용자들의 거부감

> 기술 측면: 다단계 방어 기법(Defense-in-Depth) 운영, 접근 주체의 보안성 점검은 다양한 속성 검증 필요, 확장 가능한 자동화 시스템 운영

> 네트워크 접근 측면: 기기별 보안 등급 차등 부여, 많은 권한 = 많은 검증, 응용 계층 검사

3.2 40년전에 만들어진 IP 통신의 문제점, 해결에서 시작하는 제로 트러스트 아키텍처 도입 방안

- 제로 트러스트란

> 사용 여부와 관계없이 연결된 초연결 시대로 인증 없이 누구나 부여 받는 IP - IP 통신환경은 보안이 고려되지 않은 환경

> IP 네트워크에 연결된 대상은 기본적으로 신뢰할 수 없다는 가정하기 때문에 "제로 트러스트"로 정의

- 제로 트러스트 도입 단계

> 통신 대상 접속 제어 환경 구현: 필요에 따라 끊을 수 있는 접속 제어 기술 적용

> 통신 대상 식별 환경 구현: IP 주소 및 세션 식별 방식이 아닌 실질적인 통신 대상 식별이 가능하도록

> 이벤트 중심 위험 탐지 환경 구현: 통신 시점에 발생하는 이벤트에 대응

1. 아이디어

- 개인정보 제공 서비스 및 기간 조회
- 개인정보를 제공한 서비스를 시각화하여 사용자들의 개인정보 자기결정권 보장

2. 필요성

- 플랫폼 다양화 > 서비스 다양화
- 자주 사용하지 않는 서비스 > 제공한 개인정보의 항목 & 제공한 사실 망각
- 사용자는 개인정보가 유출되었는지에 대해서도 인지하지 못함

- 기업은 사용자들의 개인정보를 보호하기 위해 다양한 솔루션들을 검토&도입 > 최근 증가한 사회공학적 해킹 기법으로 기술적 보안 솔루션의 한계
- 사회공학적 기법 등으로 해킹한 개인정보 > 부당 이득 or 2차피해 有

- 따라서 기업의 보안 솔루션 이전에, 사용자에게 보다 객관적인 정보를 제공 必

3. 특징

① 개인정보 자기결정권 행사

- 주체의 요구가 있을 경우에만 개인정보 자기결정권에 따라 정보주체의 권리를 보장 > 서비스 사용 빈도별 관심 차이 발생 > 개인정보 자기결정권을 행사할 수 없음
- 관련된 정보(제공한 개인정보 항목 및 서비스 등)를 하나로 통합해 시각화 > 사용중인 서비스 파악 > 제공, 열람, 정지, 정정, 삭제 등 개인정보 자기결정권 보다 정확히 행사

② 제3자 제공 데이터 파악

- 개인정보보호법 제17조(개인정보의 제공)에 따라 제3자에게 개인정보를 제공할 시 개인정보의 분산 저장방식이 문제가 발생할 수 있음 > 시각화 데이터를 사용해 관련 정보 파악

③ 기타

- 하나의 기업에서 제공하는 다수 서비스 이용 > 트리구조 or 디렉터리 구조로 표현

- 사용자-인증기관의 정당성 확인 문제 > 기업에서 사용자에 대한 인증 값 생성 및 제공 > 기업-인증기관 사전 인증 채널을 통해 사용자 키값 공유 > 키값을 통해 사용자-인증기관 간 정당성 확인

4. 기대효과

- 사용자들은 회원가입 또는 개인정보 제공 시 약관을 읽지 않고 동의함을 체크한 후 다음 단계로 진행하는 경우가 多 > 개인정보에 대한 사용자의 무관심을 반증

- 이는, 개인정보가 유출되더라도 본인의 개인정보가 관련되었는지 또는 인지하지 못해 2차 피해로 이어지는 결과로 이어질 수 있음

∴ 사용자들에게 시각화된 정보를 제공함으로써 불필요한 서비스를 탈퇴하고 개인정보 유출을 최소화하여 개인정보 자기결정권을 최대한 보장 및 사용자 인식 제고와 관심 유발

1. Global Privacy Trend

개요  

> 최근 디지털 흐름 방해 요소 多 : 팬데믹, 전쟁, 공급망 이슈 등 => 새로운 서비스모델과 디지털 혁신 증가

> 현 상황과 변화에 대한 평가가 필요 : 미래 신규 위협을 예측하고 대응하기 위해 활용가능한 데이터의 유무

> 신뢰 ∝ 기술혁신 : 기업에 대한 신뢰, 기술에 대한 신뢰, 소비자들의 신뢰

> 신뢰 ∝ 책임 : 신뢰와 책임이 더 큰 위협으로 부터 대응하고, 탈출 할 수 있는 원동력

> 서비스에 대한 사용자들의 다양한 요구 ↑ : 사용자들의 강력한 프라이버시 보호 요구ㆍ프라이버시에 대한 관심 ↑

본론

> 개인들의 디지털 기술 활용 : 개인 데이터 활용 => 개인 프라이버시 보호 문제 ↑

> 오프라인 => 온라인 전환 : 온라인 의존성 ↑ => 개인 데이터 사용 ↑ => 프라이버시 보호 문제 ↑

                                                 개인 데이터 중 다수는 사용자의 동의없이 수집되는 개인 정보

                                                 사내 환경 대비 약 85% 공격 위협 증가 (랜섬웨어 급증)

> 디지털 무역 ↑ : 국경간 데이터 흐름 => 각 국가간 프라이버시 규제가 데이터 흐름을 방해하지 않도록 상호협력

                               ex) EU-한국 GDPR 협정, EU-US Safe-Harbor

> AI 도입 : 서비스 향상 vs 기술 격차 => 특정 기업이나 소수가 독점하지 않고, 기술 격차가 발생하지 않도록 도입ㆍ발전

> 프라이버시 보호 기술 : 익명화, 동형암호, 연합학습, 차등 프라이버시,데이터 처리 내 규제 준수 여부(특히 기밀성)

결론

> 실요성 있는, 수평적인 정책 필요

> 프라이버시는 규제 당국 뿐 아니라 다수의 이해관계자 간 면밀한 협력이 필요

> 기관들은 보호와 관련된 노력 입증 必 : 각종 지침서 등

> 데이터 흐름의 이해 = 데이터 흐름의 자유 : 관련 규제 이해, 국가간 규제의 차이, 국가간 신뢰ㆍ협력 必

∴ 프라이버시는 중요한 문제 : 프라이버시 보호를 이해하고, 관련된 문제를 예측하고 대응

2. 데이터 밸런스

> 국내 개인정보보호 흐름 : 개보법 최초 재정 = 개보법을 판단하고 분석하는데 "합리적 판단" 부재 =>혼란 가중

                                                대규모 데이터 유출 = 2014 카드 3사 데이터 유출   => 개보법 "징벌적 손해" 명시

                                                데이터 3법 개정 = 데이터 경쟁력 강화 목적

> 국제적으로 데이터 보호와 데이터 활용 간 견해 차이는 감소하는 추세

> 데이터 밸런스와 관련된 국내 문제점 : "활용 < 보호"의 정책과 처리 흐름

                                                                   ① 타국가 대비 제한적인 합법적 개인정보처리가 가능한 범위

                                                                   ② 합리적 관점을 통한 법리해석 미흡

                                                                   ③ 익명정보에 가까운 가명정보의 처리

> 보호의 목적 : 개인정보의 안전한 활용 <=균형=> 개인정보처리자의 법 준수 및 합립적 접근, 그에 따른 보상책

3. Track B. 가명정보 활용 사례 및 전망

> 가명정보 : 데이터 가치 최대한 유지 + 개인정보 일부 또는 전부를 대체ㆍ삭제 = 추가정보 없이 특정 개인 식별 불가한 정보

> 가명정보의 활용 : 통계작성, 과학적 연구, 공익적 기록 보존 등의 목적 내에서 정보주체의 동의없이 활용 가능

> 가명처리 절차 : 목적 설정 등 사전 준비 => 위험성 검토 => 가명처리 => 적정성 검토 => 안전한 관리

> 가명정보 결합 절차 : 서로 다른 개인정보처리자간 가명정보 결합 시

                                        결합 신청 => 결합키관리기관+결합전문기관 or 데이터전문기관 => 결합 가명정보 반출

                                         ※ 개보법 기준 : 결합키관리기관 = KISA, 결합전문기관 = 보호위원회 등이 지정

                                         ※ 신용정보법 기준 : 데이터전문기관 = 금융위원회가 지정하는 결합ㆍ적정성 평가 수행 기관  

> 가명정보 처리 시 준수 사항 : 제3자 제공 시 특정 개인을 식별할 수 있는 정보가 포함되면 안됨

                                                     가명정보 활용과 관련된 모든 안전조치 적용

                                                     결합전문기관에서 가명처리 결합

                                                     특정 개인을 알아보기 위한 가명정보 처리 금지

                                                     가명처리 전일 경우 개인정보가 가명정보로 처리되지 않도록 제외 요청 가능

> 기존의 수기 설문ㆍ연구와 달리 검증된 데이터를 사용하여 정확하고 명확한 결론 도출 가능

4. Track C. 재택근무 환경 사례 공유

> 재택근무 : 회사의 구조/사업특성과 임직원 업무 유형 파악이 선행 되어야 함

> 위험요소 : 원격 디바이스의 네트워크 환경 & 실 사용자의 모호성

> 환경 구축 : Zero-Trust 관점에서 MFA, 접근통제 적용 + 임직원 업무적 특성을 고려한 망 구성 및 접근 통제

> 위협 모델링 : 기존의 공개 솔루션(VPN,VDI 등) 위주 모델링에서 가능한 모든 케이스에 대한 모델링 必

> 임직원 인식 개선 : 재택근무 환경을 고려한 다양한 교육방식

                                     ex) PC 팝업, 모바일 앱, 컨텐츠 재작 등

5. Track C. 다크웹 내 정보를 활용한 랜섬웨어 범죄 동향

> 딥/다크 웹 : 4% 일반 웹 환경 + 96% 딥/다크 웹 환경

> 범죄의 비즈니스화 : Enablers(자금 조달자) + Offenders(공격그룹) + Monetization(자금 세탁자)

> IAB(Initial Access Broker) : Enablers 중 개인정보를 판매하는 조직 ex) 랩서스

> 전년 대비 다크 웹 기반 랜섬웨어 급증 : Enablers 역할ㆍ비중 증가

> 랜섬웨어 조직 구성 : Master(지도자) + Coordinator(조정자) + Developer(개발자) + Pentester(공격자) +

                                        Recruiter(채용자) + Infra(기반시설) + Money Laundry(자금세탁)

> 랜섬웨어 조직 협력자 : Botnet Owner + Affiliates(파트너사) + RaaS

> "콜로얼 파이프라인" 랜섬웨어 공격 : 다크 웹에서 RaaS를 제공하는 공격 그룹 "다크사이드"

                                                                 랜섬웨어 대응책 변경 = 선제적 대응(공격자 서버 해킹 등)을 통한 무력화

> 데이터 유출 경로 : 내부자 포섭, 환경설정 미흡으로 외부에 공개된 서버, 외주 업체에 의한 유출 등 다양

> 다양한 공격 표면에 대한 분석 必 : 모니터링, 내부자산 목록화, 자동화 도구 활용 => 식별되지 않은 자산 존재 확인

> 유출되어 있는 데이터에 대한 가시성 확보 => 원인 파악 => 수시 점검 등 대응 프로세스 정립

1. 아이디어

- 피싱문자를 통한 개인정보 유출을 노리는 사회공학 공격을 예방

- 시용자 배너를 통한 입력 값 선택 후 선택 정보와 사용자 정보를 통해 핑거프린트 생성 

- 핑거프린트 전송 및 입력 값에 따른 페이지 생성, 응답

2. 근거

2.1) 피해 사례 지속 발생

- 21.04.15 금감원에서 공개한 "20년 보이스피싱 피해 현황"에서 메신저 피싱의 피해가 증가하고 있음을 확인 가능

- 해당 문서를 통해 5~60대가 전체 피해의 85.8%를 차지하며, 전반적으로 4~60대의 피해가 높음

2.2) 보안 교육

- 피싱 사이트에 대한 피해를 예방하기 위해 시행하는 보안 교육 중 "출처가 불분명한 URL 접근하지 않거나 주의"가 다수.

- 단순히 사용자의 주의를 요하는 형태로 볼 수 있으며, 관련된 피해가 발생하고 있음

2.3) 실질적인 피해가 발생하는 지점은 일반 사용자 단말

 - 사내 환경은 보안 솔루션을 통해 보안성이 보장되나, 사용자 단말(PC, 휴대폰, 태블릿 등)은 비교적 보안성이 낮음

- 실질적으로 피싱 사이트 등을 이용한 사회공학 공격의 피해가 발생하는 지점은 사용자 단말임

- 사용자에게 접속한 사이트가 피싱 사이트인지 정상 사이트인지 직관적으로 판단하기 위한 정보가 부재함.

3. 흐름도

4. 기대효과

4.1) 공격준비의 어려움

- 기존의 사회공학 공격은 사용자만을 속이면 개인정보를 손 쉽게 탈취할 수 있음.

- 해당 프로세스의 경우 공격자는 인증기관, 기업에게 각각의 주체인 것처럼 속여야 함.

- 또한, 공격자는 사용자 배너를 통해 선택한 입력값이 무엇인지, 어떤 입력 값을 선택하였는지 알 수 없음.

4.2) 사용자에게 좀 더 직관적인 정보 제공 및 개인정보 유출 최소화

- 사용자는 접속한 사이트가 피싱 사이트인지 정상 사이트인지 명확히 구분하기 어려움

- 해당 프로세스의 경우 사용자가 생성한 핑거프린트 정보를 인증기관이 인증하고, 기업이 재검증함.

- 검증 후 최종 페이지를 인증기관을 거쳐 응답하므로, 사용자에게 정당한 페이지라는 것을 입증할 수 있음.

4.3) 기업에 대한 신뢰도 상승

- 사용자들이 신뢰하는 혹은 이용하는 서비스를 제공하는 기업을 사칭하여 개인정보 입력 유도.

- 해당 프로세스를 통해 사용자들에게 기업에 대한 인식과 신뢰도를 유지하거나 향상될 수 있음.

1. 네이버 PER(Privacy Enhancement Reward) 제도

- 네이버에서 제공하고 있는 서비스들에 대해 프라이버시 및 개인정보 영역에서의 개선점에 대해 제보를 받고, 이에 대해 적절히 사례 및 보상을 하는 제도

2. 아이디어 및 근거

2.1) 아이디어

- 비밀번호 변경 시 이전 비밀번호와 유사도를 검사하여 유사도에 따른 비밀번호 사용주기 결정

2.2) 근거

개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제) 
⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.
1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

- 사용자들은 다수의 서비스를 사용하고 있으며, 각 서비스별로 서로 유사하거나 동일한 비밀번호를 사용

- 비밀번호 설정 규칙, 이전 비밀번호 기억 등의 조치를 취하고 있으나, 여러 방법으로 이를 회피하여 비밀번호 재사용

- 비밀번호를 재사용하거나 일부분만을 변경하여 크리덴셜 스터핑, 무차별 대입 공격에 취약한 환경 생성

크리덴셜 스터핑 (Credential Stuffing) : 일종의 무차별 대입 공격(Brute Force Attack) 기법이지만, 데이터 침해에서 입수한 알려진 유효 인증 정보의 목록을 이용
무차별 대입 공격 (Brute Force Attack) : 무작위 혹은 미리 준비한 사전 등 가능한 모든 값을 반복적으로 대입하여 계정정보를 탈취하는 방식

- 즉, 동일하거나 유사한 비밀번호를 사용함으로써, 비밀번호 변경 의미 퇴색, 비밀번호 재사용으로 인한 취약성 증가 등의 문제가 예상

3. 한계점

3.1) 일방향 암호화

- 비밀번호는 일방향 암호화(ex. 해시 함수) 적용 후 저장됨

개인정보 보호법 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)
① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.
4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치
가. 비밀번호의 일방향 암호화 저장

- [캡쳐 2]를 통해 단 한 글자의 변화만으로도 전혀 다른 결과 값이 출력되는 것을 알 수 있음.

3.2) 사용자 부담 증가

- 비밀번호 설정 시 높은 복잡도(=비밀번호 유사도)를 추가하는 것이 사용자 부담을 증가시켜 오히려 보안성이 하락하는 문제점이 발생 가능.

- NIST의 Digital Identity Guidelines에 비밀번호 복잡성과 관련된 내용이 확인되는데 요약하면 다음과 같음.

"비밀번호 설정과 관련하여 복잡한 조건들을 추가하는 것이
오히려 사용자들이 비밀번호를 제대로 관리하지 않게되는 결과를 낳게되고,
이러한 결과로 인해 보안성이 떨어지며 이용자 보호 측면에서의 실익이 없다"
- Authentication and Lifecycle Management P.68 -