1. 공격자보다 한발 앞서라: 사이버 위협 헌팅의 새로운 패러다임
- Threat Hunting
> Red, Blue, Puple Team 구성이 필수적
> 각 보안 솔루션을 개별적이 아닌 상호 연관적으로 운용해야 함
2. AI 혁신의 기회와 위험 관리의 균형 사이, 사이버 보안의 미래는?
- AI를 사용해 공격자들이 더 설득력 있는 피싱 메시지를 작성할 수 있음
> 잘못된 절차, 어색한 문법 등이 줄어들어 직원들이 피싱 메일로 판단/식별하기 어려워짐
> XDR을 활용해 의심스러운 송신자, 헤더와 콘텐츠 등을 분석 및 탐지할 수 있도록하고, 직원 교육 강화
- AI를 사용해 오디오/비디오로 직원을 속일 수 있는 딥페이크를 만들 수 있음
> 오디오/비디오를 활용해 사기, 계정탈취, 데이터 유출 등이 이루어질 수 있음
> 임원들의 비정상 지시에 대해 직원이 검증할 수 있는 권한을 부여하거나, 딥페이크를 탐지하는 기술 등이 필요
- AI를 사용해 데이터 유출 위험이 발생할 수 있음
- AI 혁신과 AI 이니셔티브 보안의 적절한 균형이 필요
> AI를 활용한 오용 및 사기에 대해 미리 대비, 솔루션 활용, 위험 평가, 지속적 모니터링 등
| AI 혁신 | AI 이니셔티브 보안 |
| - 지능형 데이터 분석 및 인사이트 - 자동화된 사기 탐지 및 예방 - 스마트 공공 서비스 등 |
- 민감 데이터 보호 - 공공 신뢰 유지 및 규제 준수 - 사이버 공격 및 제로데이 취약점으로 부터 인프라 보호 등 |
3. 해커들의 새로운 타겟–귀사의 API는 안전하십니까?
- API 보안이 중요한 이유
> 웹 트래픽의 83%는 Digital Transformation을 주도하는데 중요한 API에 기인
> 기업의 72%는 API 인증/인가와 관련된 문제로 인해 새로운 앱 및 서비스 개선사항의 출시가 지연되는 것을 경험
> 기업의 44%는 내/외부 API에서 개인정보 보호 및 데이터 유출과 관련된 보안문제를 경험
> API와 웹 애플리케이션을 대상으로 한 악성 요청의 비율은 2022년 54%에서 2023년 70%로 16% 증가
4. 새로운 패러다임에 대응하는 시스템 보안
- 시스템 접근제어의 시작 : 시스템 접속 권한을 가진 내/외부 사용자에 의한 보안사고가 빈번하게 발생
> 등장 전 : 시스템별로 다양한 사용자가 접근해 접속 이력과 로그 분산, 실수로 인한 시스템 장애, 주요 데이터 유출 등의 가능성이 높았음
> 초기 Gateway 모델 : 모든 시스템에 접속하기 위한 단일 게이트웨이를 구축해 접근 경로를 단일화하고, 로그 통합 관리, 실수로 인한 장애 가능성 최소화, 데이터 보호 등 관리 효율성을 마련
- 패러다임 변화와 개인정보 및 기밀정보 유출 방지를 위해 시스템 접근제어에서 바뀌어야 할 핵심 요소
| 보안 아키텍처 변화 이슈 암묵적 신뢰 -> 비신뢰 (Zero Trust 보안 환경) |
클라우드 전환 시 주요 이슈 On-Premise -> Cloud (TCO 비용 절감과 호환성) |
위협 대응 주요 이슈 Rule -> 행위 기반 (예측 기반 사전 대응 체계) |
| - ID 기반 접근 제어 - MFA - 리소스별 보안 환경 - 최소 권한 및 세분화 - 지속적인 감시 및 검증 |
- 도입, 전환, 운영 비용절감 - 클라우드 전환 용이성 - 클라우드 보안 책임 이슈 |
- 실시간 분석 대응시간 단축 - 위협 예측 사전 대응 |
5. 사이버 위협 대응 관점에서 바라보는 개인정보 유출 사고 방지 방안
- 경계 중심 보안에서 복원을 위해 중요자산을 보호하는 대응중심으로 IT 환경 변화
- 이기종 보안 솔루션 운영
- XDR(eXtended Detection & Rseponse)
> 위협 이벤트를 자동으로 수집하고 상호 연결하는 탐지 & 대응 플랫폼
> 분리되어 있던 위험 인자를 단일 플랫폼으로 통합 및 연결
> 복수의 알림을 하나의 침해로 도출
> 자동화된 대응을 바탕으로 보안의 효율성과 생산성 개선
> EDR, 네트워크 탐지, 위협 인텔리전스로 구성
6. 트랜잭션 및 실시간 수집 데이터의 비식별처리 기술
- 트랜잭션 데이터 : 일종의 반정형 데이터로 하나의 데이터 셀 내에 여러 아이템들이 집합으로 구성되어 있는 비정형 데이터
- 실시간 수집 데이터 : 송신 모듈을 통해 즉시 전달되어 지속적으로 생성/수집되는 데이터
| 구분 | 설명 | |
| 삭제기술 | 삭제 (Suppression) |
- 원본 데이터에서 식별자 컬럼을 단순 삭제하는 기법으로, 원본데이터에서 식별자 또는 민감정보를 삭제 - 남아있는 정보 그 자체로도 분석의 유효성을 가져야 함과 동시에 개인을 식별할 수 없어야 하며, 인터넷 등에 공개되어 있는 정보 등과 결합하였을 경우에도 개인을 식별할 수 없어야 함 |
| 마스킹 (Masking) |
- 특정 항목의 일부 또는 전부를 공백 또는 문자(*) 등이나 전각 기호로 대체 처리 하는 기법 | |
| 암호화 | 양방향 암호화 (Two-way encryption) |
- 특정 정보에 대해 암호화와 암호화된 정보에 대한 복호화가 가능한 암호화 기법 - 암호화 및 복호화에 동일 비밀키로 암호화하는 대칭키 방식을 이용 - 알고리즘 : AES, ARIA, SEED 등 |
| 일방향 암호화-암호학적 해시함수 (One-way encryptionCryptographic hash function) |
- 원문에 대한 암호화의 적용만 가능하고, 암호문에 대한 복호화 적용이 불가능한 암호화 기법 (해시값으로부터 원래의 입력값을 찾기가 어려운 성질을 갖는 암호 화) - 암호화 해시처리된 값에 대한 복호화가 불가능하고, 동일한 해시 값과 매핑되는 2개의 고유한 서로 다른 입력값을 찾는 것이 계산상 불가능하여 충돌가능성이 매우 적음 - 알고리즘 : SHA, HMAC 등 |
|
| 무작위화 기술 및 차분 프라이버시 |
순열(치환) (Permutation) |
- 분석시 가치가 적고 식별성이 높은 열 항목에 대해 대상 열 항목의 모든 값을 열 항목 내에서 무작위로 개인정보를 다른 행 항목의 정보와 무작위로 순서를 변경 하여 전체정보에 대한 변경없이 특정 정보가 해당 개인과 순서를 변경하여 식별 성을 낮추는 기법 |
| 차분 프라이버시 (Differential privacy) |
- 프라이버시를 정량적으로 모델화하여 프라이버시 보호 정도를 측정할 수 있는 기술 또는 방법론으로 데이터의 분포 특성을 유지하여 데이터의 유용성은 유지 하면서도 개인정보를 보호하기 위해 잡음을 추가하는 기법 - 프라이버시를 일부 희생하면서 원본 데이터와 마찬가지로 높은 정확성을 갖는 특성을 갖도록 데이터를 익명화시키는 것이 중요 |
|
7. 공격표면관리(ASM)와 위협인텔리전스(TI)
- 공격표면관리 (ASM, Attack Surface Management)
> 전 세계 모든 IP에 접속하여 기업의 자산을 탐지하는 사전 예방 목적
> 수집된 자산들이 어떤 취약점, 보안문제를 가지고 있는지 분류, 탐지
> Gartner : AMS은 조직이 인식하지 못할 수 있는 인터넷 연결 자산 및 시스템에서 오는 위험을 식별하는데 도움을 주는 새로운 솔루션이다. 최근 기업에 대한 성공적인 공격의 1/3 이상이 외부와 연결된 자산으로부터 시작되며 ASM은 CIO. CISO에게 필수의 과제가 될 것이다.
> FORRESTER : 조직은 ASM을 통해 평균적으로 30% 이상의 아려지지 않은 외부 자산을 발견한다. 일부는 알려진 자산의 몇 배나 더 많은 자산을 발견하기도 한다.
- 위협 인텔리전스 (TI, Threat Intelligence)
> 공격에 사용된 IP/URL 등에 대한 관련 정보(과거 공격 이력 또는 연관성 등)를 제공하는 대응 목적
8. 생성형 AI 보안 위협과 안전한 생성형AI 운용 방안
- Deepfake, 아동 성 학대 사진 생성/유포 등 생성형 AI를 사용한 새로운 위협이 등장
- OWASP Top 10 for LLM Appliocations 2025
> LLM01 2025:Prompt Injection : 사용자입력(프롬프트)을 악의적으로 조작하여 LLM의 행동이나 출력 결과를 의도와 다르게 변경하는 취약점
> LLM02 2025:Sensitive Information Disclosure : LLM이 민감한 개인 정보, 기밀 데이터 또는 독점 알고리즘 정보를 의도치 않게 노출하는 취약점
> LLM03 2025:Supply Chain : LLM 개발 및 운영에 사용되는 서드파티 구성 요소, 데이터셋 및 사전 학습 모델에서 발생하는 공급망 취약점
> LLM04 2025:Data and Model Poisoning : 학습 데이터나 모델 파라미터를 악의적으로 변조하여 취약점을 주입하는 공격
> LLM05 2025:Improper Output Handling : LLM의 출력이 충분히 검증, 정제, Sandboxing 되지 않을 경우 발생하는 문제
> LLM06 2025:Excessive Agency : LLM이 지나치게 자율적인 행동을 수행하도록 허용. 인간의 직접적인 통제 없이 예기치 않은 결과나 악의적 행동 발생
> LLM07 2025:System Prompt Leakage : LLM이 내부 지시사항이나 운영 설정 정보를 의도치 않게 외부에 공개하는 취약점
> LLM08 2025:Vector and Embedding Weaknesses : Retrieval-Augmented Generation(RAG) 시스템에서 사용되는 벡터 표현 및 임베딩 기법의 결함으로 인한 문제. 부정확한 검색 결과, 조작된 문맥, 또는 민감 데이터 노출 발생
> LLM09 2025:Misinformation : LLM이사실과다른,또는왜곡된정보를생성하여잘못된결정을유도하는취약점 환각(hallucination)및학습데이터의편향등이주요원인으로작용하며,법적,평판,안전문제를야기
> LLM10 2025:Unbounded Consumption : LLM이과도하고통제되지않은요청을처리함으로써시스템자원(메모리,CPU,비용등)이고갈되는취약점
- 가장 중요하게 뵈야할 문제 : LLM01 2025:Prompt Injection
> AI에 악의적인 프롬프트를 주입하여 공격자가 의도하는 동작으로 유도
> Direct Injection (생성형 AI에 공격자가 직접 프롬프트 주입) or Indirect Injection (공격자가 데이터에 프롬프트 주입하여 접근하는 AI감염)
> 멀웨어 생성 및 개선, 유해 컨텐츠 생성, 데이터 유출, 모욕, 시스템 프롬프트 유출 등이 발생할 수 있음
| 공격 유형 | 설명 | 예시 |
| Content Manipulation Attacks (콘텐츠 조작 공격) |
프롬프트의 텍스트를 조작하여 모델의 응답을 조종하거나 톤을 변경 | 단어 대체/삽입/삭제, 문법 및 철자 수정, 공격적인 문구 추가 |
| Context Manipulation Attacks (맥락 조작 공격) |
대화 또는 상황적 맥락을 조작하여 모델의 응답을 유도 | 대화 가로채기, 사용자 사칭, 모델의 가정된 맥락 변경 |
| Code/Command Injection (코드/명령어 삽입 공격) |
실행 가능한 코드 또는 명령어를 프롬프트에 삽입하여 모델 및 상호 작용하는 시스템을 손상 | 코드 스니펫 삽입, API 호출, 시스템/쉘 명령 실행 |
| Data Exfiltration (데이터 유출 공격) |
민감한 데이터(개인 정보, API 키, 패스워드 등)를 유출시키는 프롬프트 제작 | 모델이 훈련된 데이터를 유추하여 반환하도록 유도 |
| Obfuscation (난독화 공격) |
필터링 및 보안 장치를 우회하기 위해 복잡한 난독화 기법 활용 | 동형문자(Homoglyphs), 유니코드 트릭, 보이지 않는 문자 삽입 |
| Logic Corruption (논리 훼손 공격) |
논리적 모순이나 오류를 삽입하여 모델이 잘못된 출력을 생성유도 | 논리적 역설, 거짓 전제, 통계적 오류 삽입 |
- 대부분은 Prompt Injection은 Jailbreaking 기법을 사용
> AI의 제한(가드레일)이나 안전 필터를 우회 하거나 완화하기 위한 방법
> Context Ignoring, 참조 usal Suppression, Style Injection, Virtualization, Obfuscation 등의 패턴
9. 제로트러스트 가이드라인 2.0 주요 내용 및 향후 방향
- 제로트러스트 도입 과정을 보다 구체화하고 도입 수준을 분석할 수 있는 방안 제시
> 미국 CISA, NSA 등 문서 발간에 맞추어 성숙도 모델을 4단계 수준으로 정의 및 성숙도를 토대로 체크리스트 구현
> 도입 절차에 대한 방향성 구체화 및 조직 내 역할 및 목표 설정 방안 제시
> 보안 수준 평가 방법 제공
- 향후방향
> 각 산업 분야 및 기업 도메인 특성을 반영한 맞춤형 도입 전략 및 로드맵 제시 필요
> 우리나라에서도 글로벌 제로트러스트 도입 흐름을 적극 반영하여, ZT 아키텍처 도입 정책을 수립하고 관련 기술 개발 가속화 필요
> 제로트러스트 도입 후 발생하는 문제를 해결하기 위한 방안 마련과 지속적인 연구가 필요
> NIST 1800-35, 800-53, ISMS-P, 금융보안원 취약점 점검 리스트를 토대로 새로운 형태의 체크리스트 구현 중
'대외활동' 카테고리의 다른 글
| PASCON 2024 (1) | 2024.09.11 |
|---|---|
| 코리아 핀테크 위크 2024 (5) | 2024.09.01 |
| 제13회 정보보호의 날 기념식 (0) | 2024.07.11 |
| RSAC2024 글로벌보안트렌드 (0) | 2024.06.13 |
| 2024 상반기 침해사고 정보공유 세미나 (0) | 2024.06.11 |