개요

SaltTyphoon과 같은 사건은 인프라에 대한 의존성 때문에 기업과 사용자가 침해에 취약할 수 있음을 잘 보여줍니다. 점점 더 분산되는 애플리케이션들이 퍼블릭 클라우드, SAAS, 글로벌 서비스 제공업체를 통해 컴퓨팅, 스토리지, 네트워크 서비스를 받으면서, 공격 표면은 이제 그들이 통제할 수 없는 영역에 있습니다. 그리고 사람들이 말하듯이, 침해는 “언제” 발생할지, “만약” 발생할지의 문제입니다. 이 환경에서 성공하는 가장 명확한 방법은 설계 단계에서 제로 트러스트 원칙을 사용하여 외부 및 내부 공격 표면을 줄이는 것입니다. Unified SASE as a Service를 사용하여 안전한 네트워크 액세스를 보장하는 것은 네트워크 및 보안 벤더 스프롤을 제거하여 운영의 단순성을 제공하는 중요한 진전을 의미합니다. 침해가 발생한 경우 문제를 격리하고, 영향을 최소화하며, 비즈니스 요구 사항을 충족하는 것이 더 중요합니다. SASE는 다양한 보안 기술의 배포를 제어하고 빠른 응답 시간을 제공하여 네트워크 위생을 크게 향상시키고 공격 표면을 줄입니다.

타겟 인프라

스위치와 라우터와 같은 인기 있는 인프라 제품들은 산업에서 널리 사용됩니다. 공장에서 출하되는 기본 비밀번호를 변경하지 않는 경우가 종종 있다는 것은 잘 알려진 사실입니다. Cisco 장비의 보급을 고려할 때, SaltTyphoon이 Cisco 장비를 타겟으로 하는 것은 놀랄 일이 아닙니다. 여러 가지 이유는 다음과 같습니다:

  • 그 보편성과 시장 지배력을 고려할 때, Cisco는 전 세계에서 가장 큰 네트워크 장비 제공업체 중 하나입니다. Cisco 장비는 기업, 서비스 제공업체 및 중요한 인프라에 배치됩니다. Cisco 장비가 침해되면 공격자는 민감하고 가치 있는 정보가 포함된 네트워크에 접근할 수 있게 됩니다.
  • SaltTyphoon은 정부, 군사, 중요한 인프라를 타겟으로 삼는 경우가 많으며, 이러한 장소에는 Cisco 장비가 널리 배치되어 있습니다. 라우터, 스위치, 방화벽과 같은 Cisco 장비는 네트워크 트래픽 관리의 핵심 요소로, 이 장비들은 데이터 가로채기, 데이터 추출 또는 트래픽 조작을 위한 이상적인 지점입니다. Cisco 장비는 정치적 또는 경제적으로 민감한 업무를 관리하는 조직에서 자주 사용되므로, 이는 완벽한 스파이 활동의 타겟이 됩니다. 이러한 장비는 신뢰받는 네트워크 위치를 차지하고 있으며, 이들이 침해되면 보안 조치를 우회하고 운영을 방해할 수 있어 공격자에게 타겟 조직에 대한 영향력을 줄 수 있습니다.
  • 지속적인 접근과 은밀한 운영으로 인해, Cisco 장비는 백도어를 심을 수 있는 강력한 발판을 제공합니다. SaltTyphoon은 Cisco 장비를 타겟으로 네트워크 인프라에 지속적인 악성 코드를 배포하는 경우가 많으며, 이는 감지 시스템을 회피하기 위해 에이전트를 감추고 은밀한 발판을 마련합니다.
  • SaltTyphoon은 패치되지 않은 취약점을 악용하는 것으로 알려져 있으며, Cisco 장비는 여러 차례 주요 취약점과 관련이 있었습니다 (예: Cisco Smart Install, VPN 취약점). Cisco 시스템을 타겟으로 한 고급 악용 기법을 개발하거나 얻는 것은 쉬운 일입니다. Cisco 장비를 전략적 위치에서 악용함으로써 공격자는 공급망 내 여러 하위 조직을 침해할 수 있습니다.

IT 시스템 정리의 어려움

많은 작업이 필요한 주요 이유는 여러 기업이 제공하는 조합된 단편화된 솔루션들입니다. 또한, 가시성이 매우 낮고 모니터링 시스템이 없기 때문에, 악성코드는 인프라의 어느 부분에 숨어 있을지 알 수 없습니다. 따라서 도전 과제는 어떤 시스템이 감염되었는지 파악하고, 이를 수정할 방법을 찾는 것입니다. 기술적 제약 사항을 살펴봅시다:

  • APT는 은밀한 전술 (파일 없는 악성코드, 암호화, 난독화), 지속성 메커니즘 (숨겨진 레지스트리 키, 예약 작업, 펌웨어 수정) 및 맞춤형 도구를 사용하여 감지 및 정리 시도를 회피합니다.
  • 복잡한 환경, 예를 들어 수많은 엔드포인트, 서버 및 클라우드 통합을 포함한 확장된 IT 시스템으로 인해 가시성이 부족하고, 많은 조직이 데이터를 충분히 기록하지 않거나 장기간 보관하지 않아 침해의 범위를 추적하는 것이 어렵습니다.
  • 스킬 격차와 느린 응답 시간으로 인한 인간적인 제약이 공격자에게 강력한 발판을 제공합니다. 많은 조직들이 APT에 대응할 수 있는 전문적인 스킬이나 리소스를 갖추고 있지 않으며, 또한 운영 필요를 보안보다 우선시하여 방어에 공백이 발생합니다.
  • APT가 발견되기 전까지의 시간 지연(거주 시간)이 기여하는 요소이기도 합니다. APT는 몇 달, 심지어 몇 년 동안도 감지되지 않고 지속적으로 활동할 수 있습니다. 이 기간 동안 여러 개의 백도어를 배포하고 다양한 시스템을 침해할 수 있습니다. 공격자들이 발견되었을 때, 그들은 이미 깊숙이 침투했을 수 있습니다.

통합된 보호 조치로서 Unified SASE as a Service

Unified SASE as a Service는 Aryaka의 주요 솔루션으로, SaltTyphoon과 같은 고급 지속적 위협(APT)과 싸우는 데 중요한 역할을 합니다. 그 proactive 및 reactive 방어는 고급 공격을 피할 수 있도록 설계되어, 모든 조직의 보안 전략에서 필수적인 요소입니다.

  • 최소 권한 원칙을 시행하는 것은 APT와의 전투에서 중요한 단계입니다. 조직은 ZTNA를 사용하여 세밀한 접근 제어를 구현해야 하며, 이를 통해 사용자, 장치 및 애플리케이션이 역할에 필요한 특정 리소스와만 상호작용할 수 있도록 해야 합니다. 이는 APT가 광범위한 피해를 일으킬 가능성을 크게 줄여주므로 중요한 방어 전략이 됩니다.
  • 위치, 시간, 행동을 고려하는 아이덴티티 및 컨텍스트 인식 정책은 APT와의 전투에서 매우 중요합니다. 사용자의 신원과 장치의 지속적인 확인을 통해, 공격자가 정당한 사용자를 가장할 가능성을 크게 줄일 수 있습니다. 이를 통해 보안 조치에 대한 신뢰를 형성하며, 이는 조직의 방어 전략에서 중요한 부분이 됩니다.
  • Unified SASE as a Service는 네트워크 내에서 워크로드, 애플리케이션 및 장치를 격리하는 마이크로 세그멘테이션을 사용하여 격리 기능을 제공합니다. 이 전략은 APT의 측면 이동을 제한하고, 공격자가 처음 발판을 얻었더라도 추가 시스템을 침해하지 못하도록 합니다.
  • Unified SASE as a Service를 사용하면, 조직은 네트워크 및 보안 계층에서 모니터링과 가시성을 향상시켜 이상을 감지하고 지표를 상호 연관시켜 APT 활동을 조기에 식별하고 대응할 수 있습니다. 또한, SWG, FwaaS, IPS, 파일 스캔 등의 보안 기능은 의심스러운 활동에 대해 실시간 경고 및 자동 응답을 제공하여 조직이 빠르게 APT의 행동을 감지하고 격리할 수 있도록 돕습니다.
  • APT가 타겟 네트워크에서 민감한 데이터 및 지적 재산을 탈취하는 것은 널리 알려져 있습니다. 공격자는 그 데이터를 원격 위치로 외부로 반출해야 합니다. Unified SASE as a Service는 CASB, DLP 및 ML/AI 기반 보안 엔진을 사용하여 데이터 유출 및 전송 중의 이상을 감지할 수 있습니다.

일반적인 권장 사항

하나 중요한 고려사항은 운영의 단순성입니다. 이러한 프로세스는 상당한 부담을 추가할 수 있으며, 지속적으로 유지하기 어려울 수 있습니다. 보안 정책 및 절차를 작성하고 관리할 책임을 명확히 정의하는 것이 매우 도움이 됩니다. 조직은 CISA와 FBI가 제시한 것보다 더 많은 조치를 취할 수 있습니다. 아래에 몇 가지 권장 사항을 제시합니다:

  • 모든 접근 요청에 대해 인증 및 승인을 요구하는 제로 트러스트 아키텍처를 구현하여 “절대 신뢰하지 않고, 항상 검증한다”는 원칙을 따릅니다. 이를 통해 조직은 수평 이동을 제한하고 침해의 영향을 줄일 수 있습니다.
  • 적극적인 위협 헌팅은 APT를 가능한 빨리 찾아내는 데 중요한 역할을 합니다. 정기적으로 알려진 APT 관련 지표(IOCs)인 악성 IP, 파일 해시, 도메인 등을 검색해야 하며, APT의 의도 및 전술을 탐지하는 공격 지표(IOA)도 주의 깊게 찾아야 합니다.
  • 고급 보안 및 네트워킹 기술을 활용합니다. 첫째, 네트워크를 세분화하여 작은 구역으로 나누어 위협을 포함하고 공격자의 이동을 제한합니다. 둘째, 허니팟과 같은 기만 기술을 사용하여 공격자의 행동을 탐지하고 연구할 수 있습니다. 셋째, AI 기반 자동화를 활용하여 APT 활동을 더 빠르게 탐지하고, 분류하며 대응합니다.
  • 조직은 정기적으로 테이블탑 훈련을 수행하여 APT 시뮬레이션 및 일반적인 공격 시나리오에 대한 공격 시나리오를 포함한 대응 계획(IR)의 효과를 확인해야 하며, 백업을 자주 테스트하여 기능이 정상적으로 작동하고 빠르게 복구할 수 있는지 확인해야 합니다.

Unified SASE as a Service의 힘을 활용함으로써 조직은 APT가 공격 생애 주기에서 조사, 악용 및 데이터 탈취를 포함한 모든 단계에서 끊임없는 장벽을 직면하는 고도의 탄력적인 환경으로 네트워크를 변모시킬 수 있습니다.