데이터 유출 또는 데이터 손실은 시간 소모가 극심하고 처리 비용이 막대한 문제로 재정 손실, 부정적인 브랜드 평판, 개인 정보 관련 법에 따른 벌금 등으로 이어질 수 있습니다. 예를 들어, 북미 전기공공기업의 산업 제어 시스템에서 기밀 스마트 그리드 및 계량 R&D 지식 정보가 네트워크 내부에서 시작된 것으로 의심되는 공격을 통해 유출되는 사고가 있었다고 해보죠. 공공기업의 데이터에 대한 무단 액세스 스마트 그리드 손상 또는 정전 사태로 이어질 수 있습니다.
또 다른 예에서는 보안 연구원이 테슬라의 백업 게이트웨이에 대한 알 수 없는(허가 없는) API 엔드포인트가 노출되어 있음을 발견했는데, 데이터를 내보내거나 무단으로 변경하는 데 사용되었을 것으로 보였습니다. 이는 매우 실질적인 결과를 가져올 수도 있었으며, 공격자가 인증되지 않은 API 엔드포인트를 사용하여 배터리 또는 연결되어 있는 전기 그리드를 손상시켰을 수도 있습니다.
이 예는 데이터 유출로부터 네트워크를 보호하는 방법을 고려할 때에는 내부와 외부의 위협을 모두 고려하는 것이 중요하다는 것을 강조합니다. 내부자 위협이라고 해서 반드시 사용자가 위해를 가하려는 의지가 있는 것은 아님을 Fortinet의 2019년 내부자 위협 보고서에서 밝히고 있습니다. 설문에 참여한 조직 중 71%가 우발적인 침해를 유발하는 부주의한 사용자에 대해 우려하고 있다고 답했고, 65%가 악의적인 의도는 없지만 정책을 무시하는 사용자에 대해 우려하고 있다고 답했습니다. 2020년의 트위터 해킹에 성공해 유명인들의 계정에 접근한 공격자도 그 시작은 직원들을 대상으로 한 소셜 엔지니어링 공격이었습니다. 그런 다음, 내부 관리 도구로 방향을 돌려 고객 계정의 설정을 변경하면서 이메일과 2FA를 마음대로 게시하거나 수정하기도 했습니다.
표면적으로는 비트코인 사기처럼 보였을 수도 있지만 공격자는 7개 계정에서 데이터를 다운로드하고 유출시켰습니다. 내부 사용자 계정이 비싱(보이스 피싱 방식의 소셜 엔지니어링 공격) 시도를 통해 손상된 경우, 하드 키를 추가하거나 관리 도구에 대해 세밀한 계정 권한을 구현하면 공격자의 접근을 지연시킬 수 있습니다. 보안 주간 후반에는 계정 탈취 공격과 이를 완화시킨 방법에 대한 관점에서 트위터 해킹 사태를 살펴볼 예정입니다.
데이터 유출에는 정교한 기술이나 무언가 새로운 도구가 필요하지 않습니다. 피싱에 당한 사용자와 계정이 아닌 엔드포인트에 대한 과도한 허용 정책이 결합되면 데이터 유출에 필요한 액세스 권한이 공격자에게 넘어갈 수 있습니다. 이메일 보호 솔루션에서 악의적 도메인을 차단하는 일은 많은 보안 팀이 소셜 엔지니어링 공격에 대응하기 위해 의존하고 있는 단계입니다. 하지만 악의적 리소스가 외부 소스에서 내부 소스로 공유되는 것이 아니라 망 내에서 수평 방향으로 공유된다면 어떻게 될까요? 악의적 도메인은 채팅이나 이메일이 아닌 다른 형태의 커뮤니케이션을 통해 직원 간에 공유될 수 있습니다. 이로 인해 내부 사용자와 데이터를 보호할 때 보안 팀이 불리한 위치에 놓이는 문제가 발생합니다.
우리는 항상 예방 및 모니터링에 대한 다층적 접근 방식을 강조해 왔습니다. 내부 도구의 경우 역할 기반 및 위험 기반 액세스 제어가 마련되어 있습니다. 당사의 애플리케이션들은 인증 위에 추가된 권한 부여 계층 역할을 하는 Access 뒤에 배치됩니다. SaaS 애플리케이션을 Access 뒤에 배치하면 온프레미스든 클라우드든 사용자에게 필요한 애플리케이션에 안전하게 연결할 수 있습니다. 원격 인력이 있는 경우 Access를 통해 위치, 장치 유형, 장치 상태 및 MFA 방식을 기반으로 정책을 구성할 수 있습니다. VPN이 없는 환경으로 이동해 가는 추세 속에서 Access는 보안 터널 역할을 합니다. 당사의 감지 및 대응 팀은 Access 로그와 SaaS 애플리케이션 로그를 모두 모니터링하여 이상 현상을 파악합니다. 곧 SaaS 애플리케이션 내에 Access 로깅 기능을 추가하여 로그를 더욱 풍부하게 만들고 컨텍스트화할 예정입니다.
Cloudflare를 사용한 엔드포인트 보호에는 정책을 시행하는 데 사용되는 클라이언트도 포함됩니다. 게이트웨이 방화벽 규칙을 Access와 함께 사용하여 L4(네트워크) 및 L7 계층(HTTP)에서 보다 전체적인 접근 방식을 취할 수 있습니다. 당사는 Gateway 위치를 사용하여 DNS 쿼리를 악의적 도메인으로 제한합니다.
직원들이 원격으로 작업하기 때문에 회사는 회사 사무실 송신 지점에서 네트워크 정책을 시행할 수가 없습니다. 사용자 엔드포인트에서 Gateway와 함께 WARP 데스크톱 클라이언트를 사용함으로써 보안 팀은 개인 정보를 보호하면서 한때 기업 사무실에서 사용할 수 있었던 정책을 시행할 수 있는 기능을 통해 DNS 로그에 대한 가시성을 확보할 수 있습니다. Gateway는 기업 장치에서 DNS 확인자 역할을 합니다. 이를 통해 팀은 사고에 대응하고 근본 원인을 보다 효율적으로 식별할 수 있을 뿐만 아니라 악의적 도메인을 방문한 손상된 시스템을 식별하여 예방에 나설 수 있습니다. WARP는 DNS 트래픽이 암호화되도록 하여 사용자의 개인 정보를 보호합니다.
브라우저 격리 도구는 사용자에게 가장 가깝고 사용자가 클라우드 기반 애플리케이션에 액세스하는 데 대부분의 시간을 할애하는 계층에서 보호 기능을 제공합니다. 이 방식은 예방과 대응 모두에 효과적이죠. 이 도구를 이용하면 특정 SaaS 앱에 대한 액세스를 제거하고, 사용자의 복사/붙여넣기를 방지하고, 인쇄를 제한하고, 파일 다운로드를 차단할 수 있습니다. 즉, 클라우드 서비스에서 호스팅되는 데이터가 여러 중요 지점에서 보호되고, 이는 데이터 유출을 더 어렵게 만들게 되죠. 브라우저 격리는 정책을 통해 개별 도메인, 사용자 또는 광범위한 웹사이트 범주에 대해 구성할 수 있습니다. 또한, 브라우저 격리를 이용하면 알려진 악의적 도메인을 방문하거나 브라우저를 통해 특정 파일을 다운로드하여 이미 손상되었을 수 있는 엔드포인트를 신속하게 식별할 수 있습니다.
바로 이 시나리오에서 Zero Trust 모델이 적용됩니다. 아직 관련 내용을 잘 모르신다면 소개 페이지를 권해 드립니다. Cloudflare Access는 조직이 네트워크에 Zero Trust 모델을 구현하는 데 도움을 주는 Cloudflare One 도구 세트의 중요 요소입니다. 당사는 Cloudflare Access를 이용하여 내부 리소스에 대한 정책을 일관되게 관리할 수 있습니다. 전사적인 액세스 변경이 불가피한 사고에 대응하는 감지 및 대응 팀의 보안 엔지니어로서 Cloudflare Access 및 SaaS 애플리케이션용 Cloudflare Access는 당사가 애플리케이션 수준 변경에 대한 걱정 없이 정책을 효율적으로 시행하고 우선순위가 더 높은 사항에 집중할 수 있도록 해줍니다. 애플리케이션에 대한 액세스를 중앙 위치에서 관리하면 일일이 개별적으로 관리할 때와 비교해 대응 시간을 크게 개선할 수 있습니다.
API 계층으로 이동해 보면, Cloudflare의 API Shield가 API의 보안 제어를 관리하는 기본 지점 역할을 합니다. 테슬라의 Gateway와 같은 수많은 API를 통해 노출되는 IoT 장치들을 떠올려 보세요. API Shield는 우발적인 데이터 노출을 방지하기 위해 다계층 접근 방식을 제공합니다. 예를 들어, 스키마를 검증하여 예상치 못한 입력에 의해 다운스트림 시스템이 손상될 가능성을 최소화할 수 있고, 엔드포인트에 대한 요청을 유효한 클라이언트 SSL/TLS 인증서를 보유한 클라이언트로 제한할 수 있고, Open SOCKS 프록시와 같은 소스에서 나오는 노이즈를 API가 통신하지 않아야 하는 장치 또는 지역에서 나오는 요청과 함께 필터링할 수 있죠. 오늘 발표에는 새로운 데이터 난독화 기능이 포함되며, 이번 주 후반에는 보안 팀이 인식하지 못할 수도 있는 "섀도우" API를 발견하고 비정상적인 통화 활동을 발견하는 방법도 발표할 예정입니다.
감지 및 대응 엔지니어로서 보안 문제로 인해 이러한 시스템에 대한 액세스가 현장에서 어떻게 이루어지는지를 이해해야 하는 수많은 사건을 접했는데요. 다양한 시스템이 다양하게 관리되고 있고, 모든 역할이 항상 일관되게 정의되어 있는 것도 아닙니다. 이로 인해 즉각적인 대응이 매우 어려웠고, 대부분의 경우 액세스 방식을 더 잘 이해하기 위해서는 시스템 관리자와 따로 대화를 나눠야 했습니다. Cloudflare One, 브라우저 격리 및 API Shield가 제공하는 다계층 보호를 사용하면 보안 팀이 사고가 발생한 후의 대응보다는 예방에 더 집중할 수 있습니다.