클라우드, 빅데이터 및 사물인터넷(IoT) 같은 디지털 기술의 가치와 가능성이 확인되고 비즈니스 변화의 가속화와 경쟁 심화로 디지털 경영 환경으로의 전환 (즉, 디지털 트랜스포메이션)과 디지털 비즈니스 참여는 기업의 필수 선택으로 받아들여지고 있습니다. 이 과정에서 기업의 IT 서비스 영역과 환경도 자연스럽게 기업 외부로 확장되죠.

이 과정에서 사이버 공격과 위협의 크게 증가합니다. Gartner 컨설팅은 디지털 비즈니스에 실패하는 기업들의 80% 정도가 사이버 보안의 대응 실패에서 원인을 찾게 될거라는 분석 보고서도 발표 했습니다. 하지만 사이버 보안은 디지털 트랜스포메이션을 추진하거나 디지털 비즈니스를 운영하는 조직에만 국한된 이야기는 아닙니다. 해커들은 온-프레미스 방식으로 기업 내부에서만 운영되는 IT 시스템과 서비스도 끊임없이 공격을 가하고 있습니다.

관련 블로그 링크: https://blog.naver.com/gowit_sps/221366429761

그래서 오늘 블로그에서는 “침해 보호(방지)”라는 내용을 정리해보았습니다.

기업은 지능화된 사이버 공격으로부터 기업 시스템과 정보 자산을 보호해야 하죠. 이를 위해 기업을 대상으로 일어나는 여러 가지 의심스러운 행위를 미리 탐지할 수 있어야 하고, 탐지된 공격들을 차단하여 발생 가능한 피해를 제거 및 최소화함으로써 보안 위협에 신속히 대응할 수 있어야 합니다. (너무 당연한 이야기죠. 문제는 어떻게? 그리고 얼마나 효과적으로? 이겠죠^^). 나날이 그 종류도 늘어나고 영악 해지는 사이버 공격으로부터 기업을 보호하기 위해서는 사용자 계정 보호, 앱 및 데이터 보호, 디바이스 보호 및 IT 인프라스트럭처 보호 체계, 정책 및 프로세스가 수립되어야 합니다. 마이크로소프트는 다음과 같이 보호-탐지-대응 3단계 절차로 사이버 보안 위협에 대응하고 있는데요.

Microsoft 보안 위협 대응 프로세스

아래는 Microsoft 사이버 디펜스 오퍼레이션 센터의 실제 사진입니다. Protect (보호), Detect (탐지), Respond (대응)이란 단어가 선명하게 보이죠?

보호(Protect): 지능화되는 사이버 공격과 위협으로부터 기업 시스템과 정보 자산을 보호

탐지(Detect): 기업 자산을 대상으로 일어나는 의심스러운 행동 및 시도들을 미리 감지 및 발견

대응(Respond): 감지된 의심 행동 및 위협에 대해 최대한 빠르게 대응

지능화된 사이버 공격으로부터 기업을 보호하기 위해서는 다음의 접근 전략이 필요합니다:

• 사용자 계정을 대상으로 진행되는 행위들을 감지하고 공격을 탐지
  
• 악성 이메일과 관련 파일의 탐지 및 방어
  
• 임직원들이 사용하는 디바이스의 탐지 및 방어
  
• 클라우드 앱 및 서비스를 이용한 보안 공격 탐지 및 방어
  
• 온-프레미스 및 클라우드 환경의 보안 위협 탐지 및 방어
  

우선 사용자 보호 측면에서는 사용자 계정을 대상으로 진행되는 지속적이고 복잡한 공격을 감지해낼 수 있는 보안 체계를 수립해야 합니다. 이 탐지 체계는 탐지의 정확도도 보장해야 합니다. 간단한 예를 들어보죠. Microsoft 계정 (msn.com, outlook.com 및 Hotmail.com 계정을 의미), 페이스북 및 구글 계정 등으로 로그인을 처리하는 서비스 및 앱들이 계속 증가합니다. 그런데 정확도가 떨어지는 탐지 체계는 이런 시도를 해킹 시도나 공격으로 인지하기도 합니다. 탐지 정확도는 일상적 트랜잭션과 사이버 공격을 정확히 가려내어 오류를 최소화하는 것을 의미합니다.

기업이 구현해야 하는 탐지 시스템은 외부에서 들어오는 악성 메일이나 링크를 이용한 공격의 차단, 바이러스 검사 수행 그리고 기업이 허용하지 않았거나 관리되지 않은 앱들의 차단, 공유에 대한 관리 및 위험 탐지를 수행할 수 있어야 합니다.

그리고 기업 임직원이 사용하는 디바이스를 통해 공격을 방지하면서 최적화된 통제를 할 수 있어야 합니다. 그리고 지속적 보안 평가 작업으로 위험성 높은 공간의 취약점을 제거함과 동시에 직원들이 조직이 정한 보안 규정을 지키도록 해야 합니다. 하지만 모든 사이버 공격을 100% 막을 수는 없다는 점, 잘 아시죠? 보안 사고는 언제든 일어날 수 있다고 가정하고 대비를 해야 합니다.

의심스러운 행동을 탐지하기 위해 Microsoft Advanced Threat Analytics (고급침해분석) 기능을 활용해 사용자 계정 대상의 비정상적인 시도나 작업 그리고 악성코드 공격들을 찾아낼 수 있습니다. 예를 들어, MS ATP 기능을 적용하면, 한 명의 사용자가 여러 대 컴퓨터에 접근해서 특정 IT 시스템이나 서비스에 접근하려는 시도를 탐지해 낼 수 있죠. 마이크로소프트 클라우드 앱 보안(Cloud App Security)는 클라우드 환경에서 운영되는 앱의 위험도를 평가하고, 해당 앱을 통해 실행되는 비정상적 동작 및 이상 항목들을 자동으로 감지하는 기능을 수행합니다. 이 기능은 머신 러닝 기반의 행위 학습 (Behavior Learning)을 이용해 구현됩니다.

오피스 365 보안 위협 분석(Threat Intelligence) 기능은 악성코드를 가진 이메일 및 관련 파일의 활동에 대한 모니터링과 분석을 통해 보안 관리자에게 가시성을 제공합니다. 기업 내,외부에서 처리되는 수 많은 메시지와 URL을 추적한 데이터를 토대로 만든 보고서와 조직이 가진 사이버 보안 위협 상황에 대한 내용과 현재 누가 공격을 받고 있는지 등의 자세한 정보를 제공합니다.

윈도우 디펜더(Windows Defender) ATP는 사용자 디바이스에서 일어나는 비정상적 행위를 탐지하는 기능입니다. 더불어, 고급 공격과 제로데이 공격도 찾아내죠. 지난 6개월의 디바이스 데이터를 검색해서 어떻게 보안 공격이 진행되어 왔는지를 분석해 보여줌으로써 관리자와 사용자가 보안 공격의 패턴과 경로를 이해하고 효과적으로 방어를 할 수 있는 컨설턴트의 역할을 하는 것이죠.

마지막으로 MS애저 보안 센터(Azure Security Center)를 이용해 클라우드 및 온-프레미스 그리고 하이브리드 클라우드 환경에서 존재하는 사이버 보안 위험 요소들을 탐지해야 합니다. MS애저 보안 센터의 주요 기능은 다음과 같습니다:

• 온-프레미스와 클라우드에서 운영되는 서비스의 보안 모니터링
• 보안 기준 및 컴플라이언스 (규정) 준수를 위한 정책 적용
• 보안 위험성을 탐지와 수정
• 악의적 공격 및 악성코드 차단을 위한 접근 및 애플리케이션 통제
• 보안 공격 탐지를 위한 지능형 & 고급 분석 작업
• 단기적 보안 공격에 대응하기 위한 긴급 보안 조사

탐지된 위협에 대한 효과적 대응은 무엇일까요?

위에 설명된 마이크로소프트 보안 기능 및 서비스를 이용해 위험 요소들을 탐지했다면, 자동화된 패치 적용 및 관련된 보안 정책 배포 등의 적절한 대응 조치와 방어가 이뤄져야겠죠. 만약, 기업 사용자 계정을 목표로 한 비정상적 행위가 탐지되었다면, 마이크로소프트 고급침해분석(Advanced Threat Analytics)기능을 통해 적절한 권장사항 및 대응조치를 안내 받아 검토한 후에 정책을 만들어서 배포를 해야 합니다. 탐지된 악성 앱이나 데이터는 클라우드 앱 보안 (Cloud App Security)를 이용해 탐지된 공격에 대한 대응 조치 및 권장 사항을 진행하게 됩니다. 윈도우 디펜더(Windows Defender) ATP에 탐지된 디바이스 공격은 바로 치료를 하고 재발 방지를 위한 조치들을 취해야 합니다. 손상된 IT 인프라는 MS애저 보안센터 (Azure Security Center)로 보안 공격 내용을 확인하고 방어를 위한 권장 작업들을 진행해야 합니다.

다음에는 이번 블로그의 내용을 그림으로 정리해서 요약해 드리겠습니다. 보안! 아무리 강조해도 지나침이 없습니다. 클라우드 전문기업 고우아이티가 같이 도와 드리겠습니다.

클라우드 도입 및 서비스 지원 문의
고우아이티 컨설팅 담당 이은주 부장  
02-462-5365 | gocloud@gowit.co.kr  
https://cloud.gowit.co.kr
GowIT는 기업 환경에 최적화된 클라우드 서비스와 지원을 제공합니다.