조직의 공격 표면은 해커가 네트워크나 민감한 데이터에 무단으로 액세스하거나 사이버 공격을 수행하는 데 사용할 수 있는 취약성, 경로 또는 방법의 합계를 말하며, 공격 벡터라고도 합니다.
클라우드 서비스와 하이브리드(온프레미스/재택근무) 업무 모델을 도입하는 기업이 늘어나면서 네트워크 및 관련 공격 표면이 날이 갈수록 더 커지고 복잡해지고 있습니다. Randori의 The State of Attack Surface Management 2022(ibm.com 외부 링크)(Randori는 IBM Corp.의 자회사임)에 따르면 67%의 조직에서 지난 2년 동안 공격 표면의 크기가 커졌습니다. 산업 분석 기관인 Gartner는 공격 표면 확장을 2022년 최고의 순위 보안 및 리스크 관리 트렌드(ibm.com 외부 링크)로 꼽았습니다.
보안 전문가는 공격 표면을 디지털 공격 표면, 물리적 공격 표면, 소셜 엔지니어링 공격 표면이라는 3개의 하위 표면으로 나눕니다.
디지털 공격 표면은 인터넷 연결을 통해 조직의 클라우드 및 온프레미스 인프라를 해커에게 노출시킬 가능성이 있습니다. 조직의 디지털 공격 표면의 일반적인 공격 벡터는 다음과 같습니다.
취약한 비밀번호: 추측하기 쉽거나 무차별 대입 공격(brute-force attack)을 통해 알아내기 쉬운 비밀번호는 사이버 범죄자가 사용자 계정을 손상시켜 네트워크에 액세스하고, 민감한 정보를 훔치고, 멀웨어를 확산시키고, 그렇지 않으면 인프라에 손상시킬 수 있는 리스크를 높입니다. IBM의 2021년 데이터 유출 비용 보고서에 따르면 손상된 자격 증명이 2021년에 가장 흔하게 악용된 초기 공격 벡터였습니다.
잘못된 구성: 부적절하게 구성된 네트워크 포트, 채널, 무선 액세스 지점, 방화벽 또는 프로토콜은 해커의 진입점 역할을 합니다. 예를 들어, 중간자 공격(man-in-the-middle attack)은 메시지 전달 채널의 약한 암호화 프로토콜을 활용하여 시스템 간 통신을 가로챕니다.
소프트웨어, 운영 체제(OS) 및 펌웨어 취약성: 해커와 사이버 범죄자는 타사 앱, OS, 기타 소프트웨어 또는 펌웨어의 코딩 오류 또는 실행 오류를 활용하여 네트워크에 침입하거나 사용자 디렉토리에 액세스하거나 멀웨어를 심을 수 있습니다. 예를 들어, 2021년에 사이버 범죄자들은 Kaseya의 VSA(Virtual Storage Appliance) 플랫폼의 결함을 활용(ibm.com 외부 링크)하여 Kaseya 고객에게 시스템 업데이트라고 속이고 랜섬웨어를 배포했습니다.
인터넷 대면 자산: 공용 인터넷에 연결되는 웹 애플리케이션, 웹 서버 및 기타 리소스는 내재적으로 공격에 취약합니다. 예를 들어, 해커는 보안이 취약한 API로 악성 코드를 주입하여 관련 데이터베이스의 민감한 정보를 부적절하게 누설하거나 심지어 파괴하도록 할 수 있습니다.
공유 데이터베이스 및 디렉토리: 해커는 시스템과 디바이스 간에 공유되는 데이터베이스와 디렉토리를 악용하여 민감한 리소스에 무단으로 액세스하거나 랜섬웨어 공격을 실행할 수 있습니다. 2016년, 여러 디바이스가 액세스하는 협업 파일 폴더를 감염시킨 Virlock 랜섬웨어 확산(ibm.com 외부 링크) 사례가 그 예입니다.
구식이거나 더 이상 사용되지 않는 디바이스, 데이터 또는 애플리케이션: 업데이트 및 패치를 지속적으로 적용하지 않으면 보안 리스크가 발생합니다. 주목할 만한 예 중 하나는 WannaCry 랜섬웨어입니다. 이 랜섬웨어는 당시에 패치가 제공되었던 Microsoft Windows 운영 체제 취약성을 악용(ibm.com 외부 링크)하여 확산되었습니다. 마찬가지로, 더 이상 사용하지 않는 엔드포인트, 데이터 세트, 사용자 계정, 앱을 적절하게 설치 해제, 삭제 또는 폐기하지 않으면 사이버 범죄자가 쉽게 악용할 수 있는 모니터링되지 않는 취약성을 유발합니다.
섀도우 IT: "섀도우 IT"는 직원이 IT 부서에 알리거나 승인을 받지 않고 사용하는 소프트웨어, 하드웨어 또는 디바이스를 말하며, 무료 또는 널리 사용되는 앱, 휴대용 스토리지 디바이스, 보안이 설정되지 않은 개인용 모바일 디바이스 등이 있습니다. 섀도우 IT는 IT 팀 또는 보안 팀에서 모니터링하지 않으므로 해커가 악용할 수 있는 심각한 취약성을 초래할 수 있습니다.
물리적 공격 표면은 일반적으로 조직의 물리적 사무실 또는 엔드포인트 디바이스(서버, 컴퓨터, 노트북, 모바일 디바이스, IoT 디바이스, 운영 하드웨어)에 대한 액세스 권한이 있는 사용자만 액세스할 수 있는 자산과 정보를 노출합니다.
악의적인 내부자: 불만을 품었거나 뇌물을 받은 직원 또는 악의적인 의도를 가진 다른 사용자가 액세스 권한을 사용하여 중요한 데이터를 훔치거나, 디바이스를 비활성화하거나, 멀웨어를 심거나, 더 나쁜 상황에 처할 수 있습니다.
디바이스 도난: 범죄자들은 조직의 건물 내부로 침입하여 엔드포인트 디바이스를 훔치거나 이러한 디바이스에 액세스할 수 있습니다다. 하드웨어를 확보한 후 해커는 이러한 디바이스에 저장된 데이터와 프로세스에 액세스할 수 있습니다. 또한, 디바이스의 ID와 권한을 사용하여 다른 네트워크 리소스에 액세스할 수도 있습니다. 원격 사용자가 사용하는 엔드포인트, 직원의 개인용 디바이스, 부적절하게 폐기된 디바이스는 대표적인 도난 대상입니다.
베이팅(Baiting): 베이팅은 사용자가 디바이스를 컴퓨터에 연결하거나 의도하지 않게 멀웨어를 다운로드하길 바라며 해커가 공공 장소에 멀웨어에 감염된 USB 디바이스를 두고 가는 공격을 말합니다.
소셜 엔지니어링은 사람들을 조종하여 공유해서는 안 되는 정보를 공유하거나, 다운로드하면 안 되는 소프트웨어를 다운로드하거나, 방문해서는 안 되는 웹사이트를 방문하거나, 범죄자에게 돈을 보내거나, 개인이나 조직의 자산 또는 보안을 손상시키는 기타 실수를 저지르게 합니다.
소셜 엔지니어링 공격은 기술적 취약성 또는 디지털 시스템의 취약성이 아니라 인간의 약점을 악용하기 때문에 '인간적 해킹(human hacking)'이라고도 불립니다.
한 조직의 소셜 엔지니어링 공격 표면은 기본적으로 소셜 엔지니어링 공격에 대비하지 않고 있거나 이에 취약한 권한 있는 사용자의 수와 같습니다.
피싱은 가장 잘 알려져 있고 가장 만연한 소셜 엔지니어링 공격 벡터입니다. 피싱 공격에서 사기 범죄자들은 이메일, 문자 메시지 또는 음성 메시지를 보내 수신자를 조종하여 민감한 정보를 공유하거나, 악성 소프트웨어를 다운로드하거나, 금전이나 자산을 악의적 수취인에게 이전하거나, 다른 피해가 가는 행동을 하도록 시도합니다. 사기 범죄자들은 널리 이용되는 소매업체, 정부 기관 또는 심지어 개인적 지인 등 신뢰할 수 있는 조직 또는 개인이 보낸 것처럼 가장하면서 피싱 메시지를 작성합니다.
IBM의 2021년 데이터 유출 비용 보고서에 따르면 소셜 엔지니어링이 데이터 유출의 두 번째 주요 원인이었습니다.
공격 표면 관리(Attack Surface Management, ASM)는 조직의 공격 표면에 대한 해커의 관점이나 접근 방식을 취하는 프로세스와 기술을 의미합니다. 즉, 조직을 표적으로 삼는 해커가 보고 악용하려고 하는 자산 및 취약성을 발견하고 지속적으로 모니터링하는 것을 말합니다. ASM은 일반적으로 다음과 같은 활동을 수반합니다.
취약할 수 있는 자산을 지속적으로 검색, 목록 작성 및 모니터링. 모든 ASM 이니셔티브는 온프레미스 및 클라우드 자산을 포함하여 조직의 인터넷 대면 IT 자산에 대한 완전한 목록을 작성하고 지속적으로 업데이트하는 것부터 시작해야 합니다. 해커의 접근 방식을 따르면 알려진 자산뿐만 아니라 섀도우 IT(위의 내용 참조), 버려졌지만 삭제 또는 비활성화 처리되지 않은 애플리케이션 또는 디바이스(고아 IT(orphaned IT)), 해커 또는 멀웨어가 심은 자산(비인가 IT(rougue IT)) 등 기본적으로 해커 또는 사이버 위협이 악용할 수 있는 모든 자산을 검색할 수 있습니다.
이러한 자산이 검색되면, 잠재적 공격 벡터로서 자산의 리스크를 높이는 변경 사항이 있는지 실시간으로 지속적으로 모니터링해야 합니다.
공격 표면 분석, 리스크 평가 및 우선 순위 지정. ASM 기술은 취약성과 보안 리스크에 따라 자산에 점수를 매기고, 위협 대응 또는 문제 해결을 위해 이러한 자산에 우선 순위를 지정합니다.
공격 표면 감소 및 문제 해결. 보안 팀은 공격 표면 분석 결과를 적용하고 공격 표면을 줄이기 위해 다양한 단기적 조치를 취하는 레드 팀을 결성할 수 있습니다. 이러한 조치의 예로는 더 강력한 비밀번호 설정, 더 이상 사용되지 않는 애플리케이션 및 엔드포인트 디바이스 비활성화, 애플리케이션 및 OS 패치 적용, 피싱 사기를 인식하도록 사용자 교육, 사무실 출입을 위해 생체 액세스 제어 조치 도입 또는 소프트웨어 다운로드 및 미디어 제거와 관련된 보안 조치와 정책 수정 등이 있습니다.
또한 조직은 공격 표면 관리 이니셔티브의 일부로 또는 이러한 이니셔티브와 독립적으로 공격 표면 감소를 위해 구조적 또는 장기적 보안 조치를 취할 수도 있습니다. 예를 들어, 2단계 인증(2FA) 또는 다단계 인증(MFA)을 구현하면 취약한 비밀번호 또는 열악한 비밀번호 위생과 관련된 잠재적 취약성을 줄이거나 제거할 수 있습니다.
더 넓은 범위에서는 제로 트러스트 보안 접근 방식을 취하면 조직의 공격 표면을 상당히 줄일 수 있습니다. 제로 트러스트 접근 방식을 따르려면 네트워크 외부 또는 내부의 모든 사용자가 애플리케이션과 데이터에 대한 액세스를 얻고 이를 유지하기 위해 인증을 받고, 권한을 획득하고, 지속적으로 검증을 받아야 합니다. 지속적인 검증, 최소 권한 액세스, 지속적 모니터링, 네트워크 마이크로세그멘테이션 등 제로 트러스트 원칙과 기술을 활용하면 많은 공격 벡터를 줄이거나 제거할 수 있으며, 지속적 공격 표면 분석을 위한 귀중한 데이터를 얻을 수 있습니다.
디지털 발자국의 확장을 관리하고 거짓 긍정을 줄여 목표를 달성하여 조직의 사이버 복원력을 빠르게 개선할 수 있습니다.
툴을 연결하고, 보안 운영 센터(SOC)를 자동화하며, 가장 중요한 과제에 전념할 수 있는 시간을 확보합니다.
가장 중요한 자산을 노출시킬 수 있는 결함을 식별하고 우선 순위를 지정하며 그 해결 방법을 관리하는 취약성 관리 프로그램을 도입합니다.
소셜 엔지니어링은 기술적 해킹이 아닌 심리적 조종을 통해 개인 또는 엔터프라이즈의 보안을 침해합니다.
멀웨어는 컴퓨터 또는 네트워크를 손상 또는 파괴하거나 컴퓨터, 네트워크, 데이터에 대한 무단 액세스를 제공하기 위해 작성된 소프트웨어 코드입니다.
제로 트러스트 접근 방식을 따르려면 네트워크 외부 또는 내부의 모든 사용자가 애플리케이션과 데이터에 대한 액세스를 얻고 이를 유지하기 위해 인증을 받고, 권한을 획득하고, 지속적으로 검증을 받아야 합니다.
내부자 위협은 회사의 자산에 대한 액세스 권한이 있는 사용자가 의도적으로 또는 실수로 자산을 침해하는 경우에 발생합니다.
클라우드 컴퓨팅 환경 및 워크로드를 보안을 위한 가이드입니다.
데이터 보안은 라이프사이클 전체에서 도난, 손상 또는 무단 액세스로부터 디지털 정보를 보호하는 활동입니다.