[Daily IT News] 2023 주요보안위협, 제로트러스트

보안 위협의 경우 기존의 보안 위협보다 점점 지능화 되고, 다양해지고 있는 것이 사실 인데요, 그 중에서도 특히 랜섬웨어와 악성코드 감염이 여전히 가장  위협적으로 이야기 되고 있습니다. 지능화되고 있는 위협에 대해서는 인지를 하고 있어야 함을 물론이고, 대응 솔루션에 대해서도 지속적으로 확인 해야 할 것 같습니다.

금일(2022.12.07. 수) 신문리뷰 입니다

---

● 전자신문

구분	헤드라인	설명
(SE) 2023 주요 보안 위협	SK쉴더스 "2023년, 사이버 공격 지능화 지속...랜섬웨어,IoT, PhaaS등 키워드"	랜섬웨어 위험성이 커지는 가운데 모바일, 사물인터넷(IoT), 탈중앙화금융(디파이) 등 산업 트렌드를 쫓는 사이버 공격이 급증할 전망이다. 각 위협이 서로 연관성을 가지며 공격 수단·경로로 활용되고 있어 철저한 대비가 필요하다는 분석이다. SK쉴더스는 6일 이같은 내용의 2023년 '보안 위협 전망과 대응 전략'을 발표했다. 국내 최대 규모의 화이트해커 전문가 그룹인 SK쉴더스 EQST가 경험한 해킹 사고 사례와 연구 결과를 토대로 내년에 발생할 가능성이 큰 주요 사이버 보안 위협을 선정했다. ◇2022년 세계 사이버 공격 3분의 1은 악성코드 감염 올해 세계 사이버 공격 3분의 1은 랜섬웨어를 비롯한 악성코드 감염으로 나타났다. SK쉴더스에 따르면 악성코드 감염은 전체 공격의 32％를 차지했다. 중요 정보 유출(29％), 피싱·스캠(20％), 시스템 장악(16％), 공급망 공격(3％)이 뒤를 이었다. 업종별로는 국내에서는 제조업을 노린 사이버 공격이 전체의 18％에 이르렀다. 공공·정부(13％), 서비스업(13％), 금융업(11％), 전문기술·정보기술업(10％)도 사이버 위협이 이어졌다. 해외에서는 러시아·우크라이나 전쟁 여파로 공공·정부(21％) 영역에서 공격이 두드러졌다. 서비스업(15％), 금융업(14％), 제조업(13％)에서도 사이버 위협이 이어졌다. ◇2023년 주요 보안 위협 SK쉴더스 EQST는 내년 보안 위협으로 △다변화된 랜섬웨어 △서비스형 피싱 공격(PhaaS) △모바일 보안 위협 고도화 △산업용 사물인터넷(IIoT) 보안 위협 증가 △가상자산 타깃 공격 급증을 손꼽았다. 랜섬웨어는 다변화·지능화하고 교묘해질 것으로 예상했다. 국내 기업 표적형 랜섬웨어가 등장한 이후 데이터 파괴만을 목적으로 하거나 데이터 베이스 서버의 취약점만을 노리는 신변종 랜섬웨어가 증가했다. 랜섬웨어 공격 그룹이 창궐하면서 생존을 위한 공격 방식을 새롭게 변조하고 있어 피해도 늘 것으로 예측했다. 피싱 공격은 서비스 플랫폼 등을 만나 보다 거세질 것으로 예측됐다. 최근 다크웹에서 '카페인'이라는 피싱 판매 사이트가 발견되는 등 PhaaS가 유행할 조짐이다. 다크웹을 통해 피싱 사이트를 제작하는 사례도 표출됐다. 이는 표적을 특정하거나 개별 서비스를 사칭할 수 있어 위험성이 매우 크다. AI 기술을 악용한 스팸 메일 필터링 우회 등 기법도 발견됐다. 피싱을 기반으로 한 산업 생태계가 조성된 모습이다. 하나의 앱으로 다양한 서비스를 이용할 수 있는 슈퍼앱 활성화로 모바일 공격 표면도 확대됐다. 한 개의 앱에 여러 기능을 합치는 과정에서 보안 검증 프로세스가 누락되거나 권한 관리의 허점이 생기며 이를 노린 해킹 공격이 발생할 수 있다. 모바일 기기를 대상으로 이메일 또는 문자 메시지에 포함된 링크를 클릭하지 않아도 악성 코드에 감염될 수 있는 공격인 '제로클릭' 공격도 늘어날 것으로 예상된다. 산업 전반에 확산한 무인화·자동화 기기에 대한 위협도 커지고 있다. IIoT가 적용된 무인화 산업·제조시설은 다양한 장비를 사용하지만 자산 관리는 미흡하다. 보안 위협에 취약한 운영체제를 사용하는 경우가 많아 개인정보 유출이나 랜섬웨어 등 사이버 공격의 대상이 되기 쉽다. 가상자산을 대상으로 한 공격은 DeFi의 등장으로 더욱 활발해질 수 있는 환경이 조성됐다. 이호석 EQST Lab장은 “랜섬웨어, 모바일, IoT, 디파이 등은 모두 사용자 생태계에서 연계돼 공격자도 이를 활용하는 추세가 더욱 뚜렷해 질 것”이라며 “단편적 대응 방안이 아니라 모든 자원, 환경을 아우르는 보안 전략을 수립해야 한다”고 조언했다. 이재우 SK쉴더스 EQST사업그룹장은 “디지털 전환이 가속화되며 사이버 위협이 일상 속으로 깊이 침투해 큰 피해를 불러일으키고 있어 사전 예방부터 대응, 체계적 보안 관리 등이 전 산업 영역에 걸쳐 필요한 시점”이라며 “기업과 사회에 필요한 실질적 보안 대책을 마련하는데 도움이 될 수 있도록 보안 전략 수립과 정보 공유에 앞장설 것”이라고 말했다.

 

● 보안 뉴스

구분	헤드라인	설명
(SE) 제로트러스터	2022년 보안 분야 핫 키워드 '제로트러스트', ABC 원칙이 중요한 이유	제로트러스트라는 용어가 등장한 것은 2010년 포레스터 리서치의 존 킨더버그(John Kindervag) 수석 애널리스트가 발표한 ‘No More Chewy Centers : Introducing The Zero Trust Model of Information Security’ 보고서였다. 존 킨더버그는 “정보보안에 대한 오래된 격언 중에 ‘겉은 바삭(Crunchy)하지만 속은 쫀득(Soft Chewy)’하다는 말이 있다”면서, “하지만 이제 사이버 범죄자들은 현재 보안을 뚫어내는 공격 방법을 개발했고, 손쉽게 쫀득한 내부로 들어올 수 있기 때문에 새로운 보안모델, 즉 제로 트러스트 모델이 필요해졌다”고 밝힌 바 있다. 하지만 제로트러스트의 의미는 새로운 것은 아니다. 최초로 등장한 것은 1994년 S.P. March의 ‘Formalising Thrust as a Computational Concept’ 보고서였고, 2003년 제리코 포럼(Jericho Forum)의 ‘조직 IT시스템 경제 정의’와 2009년 구글의 제로트러스트 환경 ‘BeyoundCorp’ 등에서 이미 제로트러스트 관련 내용이 언급됐다. 그렇다면 제로트러스트의 정확한 의미는 무엇일까? 존 킨더버그는 최초 ‘아무것도 믿지 말자’는 의미로 제로트러스트를 주장했다. 이는 결국 내부에 공격자가 있을 수 있다는 의미로 애초에 내부에 공격자가 있거나, 다른 구성원이 모르게 내부로 침투해 있을 수 있다는 것을 의미한다. 이 때문에 구글은 ‘BeyondCorp’에서 ①강력한 기기/사용자 식별 ②네트워크의 제로트러스트화 ③기기/사용자 신뢰도 추론 및 접근 제어 등 세 가지를 강조했다. 한국인터넷진흥원 심재홍 단장은 “제로트러스트는 제품이 아닌 접근통제 강화와 최소 권한 부여의 개념에 기반한 보안원칙”이라면서, “기업 내부의 보안체계를 100% 신뢰하지 말고, 항상 검증하며, 최소한의 권한만 부여하고, 보안사고가 이미 진행 중이라는 가정 하에 원칙을 준수해야 한다”고 설명했다. 앞서 나간 미국, 중국은 화웨이 등 글로벌 기업 중심으로 적용 미국에서는 2016년 9월 미연방 인사관리처(OPM)에서 발생한 개인정보 유출사고에 대한 미국 하원 감독개혁위원회 보고서에서 ‘제로트러스트 모델’을 적용하자는 언급이 나온 이후 본격적으로 논의되기 시작했다. 미국표준기술연구소(NIST)는 2020년 8월 SP 800-207 보고서에서 ‘Zero Trust Architecture’를 소개하면서, 내부 사용자가 한 번 뚫리면 연쇄적으로 공격당하는 것을 막을 수 있는 방법을 제안했다. SP 800-207 보고서 이후 미국 연방정부와 의회는 제로트러스트 도입에 팔을 걷었다. 2021년 5월 바이든 대통령은 ‘국가 사이버보안 개선을 위한 행정 명령(Executive Order 14028)’을 발표했고, 2021년 6월 미국 사이버보안 전담기관 CISA는 제로트러스트 성숙도 모델(Pre-decisional Draft)을 발간했다. 7월에는 NIST가 ‘행정명령(EO-14028)’ 관련 주요 소프트웨어에 대한 보안성 관련 지침을 발표했고, 미국백악관관리예산처(OMB)는 제로트러스트 사이버 보안 원칙을 향한 미 연방정부 전략에 관한 각서를 발표했다. 다음 해인 2022년 5월 NIST는 제로트러스트 아키텍처 계획 : 연방 관리자를 위한 계획수립 지침 백서 ‘CSWP 20’을 발간했으며, 같은 해 8월 제로트러스트 아키텍처 구현(SP-1800-35A~D, Preliminary Draft)을 발간했다. 가천대학교 이석준 교수는 “미국이 연방정부를 중심으로 제로트러스트 아키텍처의 적극적이면서도 구체적인 도입 계획을 수립했다면 일본과 영국 등 다른 나라는 설계 원칙과 가이드라인 위주로 개발하고 있다”면서, “특히, 미국 정부의 움직임을 관망하며 도입 여부를 검토하는 중이기 때문에 우리나라도 빠르게 제로트러스트를 준비하면 결코 늦은 편이 아니”라고 설명했다. 또한, 국가보안기술연구소 주미리 박사에 따르면 뉴질랜드는 코로나 이후 재택근무 환경 증가에 따라 사이버 공격에 대비하기 위해 제로트러스트 아키텍처를 도입 및 구현해 배포하고 있으며, 싱가포르는 새로운 사이버보안 전략을 발표하면서 제로트러스트 원칙 정부 GTBA(Goverment Trust-Based Architecture) 구현을 통해 애플리케이션 및 시스템 보안을 강화하겠다고 밝힌 상태다. 중국은 통신 분야 대표기업인 화웨이 등 기업을 중심으로 제로트러스트 개념을 보안문화로 정착시키는데 각별한 노력을 기울이고 있다. 화웨이의 ABC 원칙, 제로트러스트 구현 모델로 ‘주목’ 그렇다면 민간기업들은 어떨까? 앞서 설명한 것처럼 구글은 2014년 공개한 ‘BeyondCorp’을 통해 제로트러스트 전략을 구사하고 있다. BeyondCorp은 제로트러스트 네트워크를 생성하는 제로트러스트 컴퓨터 보안 개념을 구현한 것으로 구글 클라우드에 적용해 구현하고 있다. MS 역시 애저(Azure), 팔로알토와 시스코 역시 네트워크에 제로트러스트를 구현하고 있다. 통신 분야 글로벌 기업 화웨이(HUAWEI) 역시 제로트러스트를 구현하고 있다. 한국화웨이 이준호 CSO는 “화웨이는 소프트웨어 보안과 개인정보보호의 강화를 위해 많은 노력을 기울이고 있는데, 대표적인 것이 바로 ABC 원칙”이라며 이를 소개했다. 화웨이의 ABC 원칙은 △Assume Nothing 아무것도 가정하지 말고 △Believe No one 어느 누구도 믿지 말며 △Check Everything 모든 것을 확인하라를 말한다. 국내에서는 한 게임 개발사가 ‘Work From Anyware’, 글로벌화, 퍼블릭 클라우드, 재택근무 등 새로운 보안모델의 적용 필요성이 대두하면서, 기존 IT 환경을 고려해 제로트러스트 아키텍처를 수립한 후 기기·사용자·서비스로 분리해 단계별로 추진하고 있다. 제로트러스트는 미국을 중심으로 이제 막 시작된 만큼 많은 보안전문가들은 우리도 빠르게 제로트러스트 개념을 도입해야 한다고 강조한다. 다행이 우리 정부도 2022년 6월 ‘디지털플랫폼정부’의 정의 및 관련체계 구축을 위한 TF를 결성했으며, 같은 해 10월 ‘제로트러스트·공급망보안 포럼’을 발족하며 제로트러스트 도입 확대에 나섰다. 국가보안기술연구소 주미리 박사는 “제로트러스트는 단순히 기술이나 솔루션, 제품의 도입으로 단기간 구현할 수 있는 기술이 아니”라면서, “기술 진화에 대응해 유연하게 재검토 할 수 있는 체계와 운영방법이 필요하다”고 조언했다.

---

금일 주목할 기사는 제로트러스트 관련 기사입니다.

최근에 제로트러스트와 관련한 이야기들이 많이 나오게 되면서 보안에 기본적인 정책, 철학 처럼 이야기 되고 있는데요, 그만큼 미리 예방하여 모든 것을 막는 것은 힘든 작업이 아닌가 하는 생각이 듭니다. 이에 제로트러스트라는 구조를 미국을 비롯한 다양한 국가에서 구축 지원을 하고 있는데요, 얼마 있지 않아서는 제로트러스트가 기본 구조가 되지 않을까 생각이 듭니다.