코로나19 대유행과 더불어 조직의 디지털 혁신 가속화와 하이브리드 업무 모델 채택으로 공격 대상과 범위가 크게 확대되고 있다. 더욱 크고 다양한 위협 환경에 처한 기업 조직들은 2022년 사이버보안 방어 태세를 어떻게 준비하고 구축해야 할까. 이같은 질문에 트렌드마이크로가 내놓은 답(권고)은 이렇다.

“보안의 기본으로 돌아가, 서버보안 강화와 접근제어를 도입하고, 가시성을 우선순위에 올려놔야 한다. 제로트러스트 모델을 적용해 애플리케이션 환경을 안전하게 유지하고, 올바른 솔루션과 전문성으로 더욱 강력한 보안으로 전환해야 한다.”

한국트렌드마이크로가 20일 온라인으로 가진 간담회에서 최영삼 이사 기술총괄 이사는 이같이 말하며 “글로벌 위협 인텔리전스는 보안 전문성을 강화해 위험을 줄이는 데 필수적이다. 이메일, 서버, 네트워크, 클라우드 워크로드를 포괄하는, 엔드포인트를 넘어서는 솔루션은 환경이 견뎌야 할 위협을 처리하는 데 필요하다”고 강조했다.

이같은 권고만 보면, 사실 트렌드마이크로가 언급한 것과 같이 보안의 기본 중에 기본이라 할 수 있는 것들이다. 몇 년 간 꾸준히 강조되고 회자된 그리 특별하지는 않은 권고사항이다. 하지만 새해를 시작하는 시점에 한 번 더 되새기며 볼만한 올해 보안위협 트렌드 전망과 그에 맞는 대응방안을 함께 살펴보면 느껴지는 바가 좀 다르다 .

최 이사는 트렌드마이크로가 ‘2022 보안 예측 보고서(Toward a new momentum)’에서 예측한 2022년 여섯 가지 보안 트렌드로 ▲지속되는 클라우드 위협 ▲서버와 클라우드를 주요 타깃으로 하는 랜섬웨어 위협 ▲새롭게 발견될 취약점의 신속한 악용 ▲중소기업을 주된 타깃으로 정교해진 상품화된 공격(Attack as a Service) 증가 ▲기업의 데이터 유출 또는 변조로 이어질 수 있는 사물인터넷(IoT) 위협 ▲공급망을 노리는 사중갈취 모델 등의 위협 급증을 제시했다.

클라우드 위협 대응 수칙, ‘보안의 기본으로 돌아가라’

보안의 기본으로 돌아가는 것은 클라우드 보안 위협에 대응하기 위한 보안 권고다.

트렌드마이크로는 공격자들이 기존에 검증된 공격을 계속 사용할 것이며, 이같은 방식이 클라우드를 사용하는 기업들을 혼란에 빠뜨릴 수 있다고 보고 있다. 악의적인 행위자는 여전히 클라우드 애플리케이션과 서비스에 대한 액세스 권한을 얻기 위한 전략을 계속 사용할 것으로 예상하고 있다. 즉 서비스형소프트웨어(SaaS)가 공격자들의 주 타깃으로, 이들 새로운 SaaS 사용자들에게도 기존에 사용해온 애플리케이션과 솔루션에 해온 전술·기술·절차(TTPs; Tactics, Techniques, Procedures)가 여전히 유효한 방법이 될 것이라는 얘기다.

보안의 기본으로 돌아가야 한다는 것의 의미는 “클라우드 서비스 공동 책임 모델을 잘 적용하고, 또 설정 오류 없이 잘 구성된 프레임워크를 사용해야 하며, 데이터는 암호화하고 취약점은 패치해야 하고, 적절한 수준의 전문성을 확보해야 한다는 것”이다. 최 이사는 “이런 부분을 통해 2022년 클라우드 환경을 안전하게 유지할 수 있을 것”이라고 말했다.

랜섬웨어의 주 타깃은 서버, ‘다중계층 보안 위한 OS·서버 하드닝 필요’



트렌드마이크로는 서버가 랜섬웨어 공격의 주 타깃이 될 것으로 전망하고 있다. 그래서 진화하는 랜섬웨어 위협에 대응하기 위해 서버 보안을 강화할 것을 권고했다.

최 이사는 “하이브리드 업무 모델로 공격 대상이 증가하고 대상이 늘어나는 만큼 기업이 랜섬웨어를 방어하는 데 더 어려움을 겪게 될 것이다. 랜섬웨어 공격을 통해 데이터를 유출하거나 마이닝하기 위해 중요한 데이터에 접근하려고 할 것이고 이에 서버가 주요 타깃이 될 것이다. 클라우드를 표적으로 삼는 경우도 더욱 많아질 것”이라며 “보안 권고로 엔드포인트, 서버, 클라우드 워크로드 등 강력한 다중 계층에 대한 대응을 위해 운영체제와 서버 하드닝(server hardening) 가이드라인을 준수해야 한다”고 제안했다.

취약점 악용 증가, 자산관리·보안업데이트·가상패치·격리 등 적용

악의적 행위자들은 계속해서 새로 발견된 취약점을 악용할 것으로 보인다. 이미 지난해인 2021년 제로데이 익스플로잇은 사상 최고치 기록을 경신했다. 작년 말, 올해 초 오픈소스 로그4j의 취약점이 발견돼 크게 이슈화되기도 했다. 취약점 공격은 올해에도 증가할 것으로 트렌드마이크로는 예상하고 있다.

회사측에 따르면, 제로데이 취약점은 이제 공표된 직후, 거의 실시간으로 공격에 악용되기 시작한다. 또한 공격자들은 이미 발표된 취약점 패치를 IT 인프라의 버그를 신속하게 찾아내고 새로운 취약점을 빠르게 악용하는데 사용한다. 아울러 계속해서 알려진 취약점을 이용해 권한 상승 취약점을 알려진 다른 결함과 결합하는 혼합 공격을 지속할 것이다.

이에 대한 대응으로 기업은 자산 관리를 실행하고, 보안 업데이트를 적용하는 것은 물론, 가상 패치나 시스템 격리를 통해 보안 격차(gap)를 좁힐 수 있는 지원과 리소스로 보안팀의 역량을 강화해야 한다.

상품화된 공격 다양화…SMB가 주 대상 ‘주의’

서비스형랜섬웨어(RaaS)처럼 상품화된 공격(commodity attack, 지하경제 시장에서 거래되는 상품으로서의 공격)은 더욱 정교해질 것으로 전망된다. 트렌드마이크로는 공격자들은 중소기업(SMB)를 대상으로 RaaS 등 상품화된 공격을 더욱 많이 수행할 것으로 예측했다. 또 클라우드 기반 및 사물인터넷(IoT) 플랫폼을 모두 손상시킬 수 있는 새로운 BaaS(Botnet as a Service)를 도입할 가능성이 높다고 보고 있다.

최 이사는 “SMB는 구매하고자 하는 스마트 장치라든지, 클라우드 서비스 공급업체에 대해 더 분별력을 갖고 제품이나 서비스에 대해 견고한 패치 기록이 있는지를 확인하고 그에 맞는 적합한 제조업체를 선택해야 한다”고 권장사항을 설명했다.

IoT 위협 증가, 네트워크 활동 모니터링 지원 솔루션 필요



IoT 위협은 이미 커졌다. IoT 관련 정보(data)들은 사이버범죄 지하 시장에서 인기 있는 상품들이 돼 기업을 위협하고 있다. 특히 트렌드마이크로는 스마트제조산업 분야를 넘어 테슬라와 같은 자동차 제조업체의 스마트 카(car) 데이터 수익화는 사이버범죄 지하세계에서 불법 데이터 필터와 운전 데이터를 조작할 수 있는 해커들로부터 수요를 유발할 것이라고 내다봤다. 때문에 이러한 데이터를 보유하는 기업에서 클라우드를 도입한 조직은 클라우드 트래픽을 면밀히 모니터링하고 가상 사설 클라우드(VPC) 환경에 대한 방어를 강화해야 한다고 트렌드마이크로는 경고했다.

최 이사는 “이를 위한 보안 권고로는 침입방지시스템(IPS)과 침입탐지시스템(IDS), 네트워크 포렌직 도구, 네트워크 동작 이상 탐지(NBAD), 그리고 네트워크 탐지·대응(NDR) 도구같은 네트워크 활동을 모니터링하는 데 필요한 보안 솔루션으로 적용하는 것”이라고 말했다.

공급망공격 ‘4중 갈취 모델’ 증가 예상, 제로트러스트 보안 정책 필수

솔라윈즈 사건처럼 공급망공격으로 인한 대형 보안사고는 계속 벌어지고 있다.

트렌드마이크로는 공격자들의 공급망의 대규모 혼란을 이용하고 악화시키기 위해 4중 갈취 모델을 시킬 것으로 예측하고 있다. 4중 갈취 기법은 ▲첫째, 피의자의 중요 데이터를 획득해 몸값을 요구하는 행위 ▲둘째, 데이터를 유출하겠다고 위협하는 행위 ▲셋째, 침해 사실을 공개하고 피해자의 고객을 대상으로 추가적인 행위를 하겠다는 위협 행위 ▲마지막 넷째, 피해자의 공급망이나 공급업체를 공격하는 행위다. 그리고 공급망은 AaaS(Access as a Service) 브로커에 초점이 될 수 있다는 점도 지적했다. 취약점을 가진 제품 제조업체와 공급업체를 통해 자신도 모르게 보안 위험에 노출될 수 있다는 것이다.

공급망을 안전하게 유지하기 위해서는 제로트러스트 보안 접근방식을 보안 정책에 적용해야 한다는 게 트렌드마이크로의 얘기다. 제로트러스트 정책을 적용을 해 공급망에서 이뤄지는 모든 접근에 대해 검증하고 허용 여부를 결정하는 접근방식이 필요하다는 말이다.

김진광 한국트렌드마이크로 지사장은 “보안 책임자(CISO)와 보안관제센터(SOC)는 코로나19 환경에서 다양하고 광범위해진 사이버공격 대상(Attack Surface)과 취약점에 대응하기 위한 전략으로 공격 대상 위험관리 라이프사이클을 고려해야 한다”며 “위협이 될 수 있는 공격 대상을 빠르게 파악할 수 있는 높은 가시성 확보 및 신속한 취약점 패치, 교육과 솔루션의 적용이 선제적으로 실행돼야 하고, 클라우드 설정·관리로 인한 보안 유출대상의 랜섬웨어, 민감 데이터 탈취 등의 잠재 위협을 분석해야 한다”고 강조했다.

김 지사장은 특히 “더욱 광범위해진 공격 접점과 보안 위협 증가 상황에서 위협 요소를 사전에 파악하고 선제 대응하기 위해서는 엔드포인트·클라우드·네트워크 보안 솔루션과 더불어 확장 위협 탐지·대응(XDR)까지 연계된 통합 보안 플랫폼이 필수적”이라고 밝혔다.

트렌드마이크로는 이같은 통합 사이버보안 플랫폼으로 ‘트렌드마이크로 원(Trend Micro One)’을 제공하고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network