​

클라우드: 대세가 된 클라우드를 지키는 방법

이제 클라우드 시대가 도래했다는 주장은 진부하게 느껴질 정도로 클라우드 도입이 보편화되었다. 많은 기업들이 유연성, 편의성 등 다양한 이유로 클라우드를 도입했고, 두 가지 이상의 퍼블릭 클라우드를 사용하는 ‘멀티 클라우드’, 퍼블릭 클라우드와 온프레미스(혹은 프라이빗 클라우드)를 혼합한 하이브리드 클라우드 등 다양한 형태로 클라우드를 사용하고 있다. 이번 AhnLab ISF 2020 Virtual Conference에서는 클라우드 도입이 급증하면서 자연스럽게 사용자들이 보안에도 많은 관심을 기울인다는 사실을 확인할 수 있었다.

　

[사진 1] 클라우드 보안 (출처: Shutterstock)

Q: 클라우드 도입 시, 보안은 클라우드 회사에서 제공하는가?

이 질문은 ‘클라우드 사용 환경에서 사고가 발생했을 때, 누구에게 책임 있느냐’에서 출발해야 한다. 기존의 온프레미스 환경에서는 사용자인 기업이 모든 책임을 진다. 하지만, 클라우드 환경에서는 클라우드 서비스 제공자(Cloud Service Provider: CSP)와 기업이 범위를 나눠 보안을 책임진다. 이를 '공동 책임 모델(Shared Responsibility Model)'이라고 한다.

예를 들면 아마존웹서비스(Amazon Web Services: AWS)의 IaaS(Infrastructure as a Service) 환경에서 하드웨어, 네트워크, 호스트 등 인프라에 대한 보안은 AWS가 책임진다. 고객은 애플리케이션과 같이 인프라 위에서 직접 관리하는 영역의 보안을 담당하게 된다. 기업은 클라우드 도입 시, 자신들이 책임을 져야하는 영역에 대해 사전에 명확히 인지하고 클라우드를 설계 및 관리해야 한다.


Q: 클라우드 도입 시, 클라우드 제공업체에서 제공하는 보안만으로는 부족한가?

CSP들은 다양한 형태의 보안 프로그램을 직접 개발해서 서비스하는 경우가 많다. 이는 해당 클라우드의 구성 및 운영에 최적화되어 있지만, 초기에는 기능 측면에서 부족한 부분이 있었다. 현재는 지속적인 업데이트를 통해 많은 부분에서 개선을 이뤄냈다. 기업 환경에 따라 다르지만, CSP가 제공하는 보안을 사용하는 것도 좋은 방법이 될 수 있다. 예를 들어, AWS Web Application Firewall(WAF)의 경우, 설치의 간편함이나 운영 편의성을 고려할 때 우수한 보안 솔루션이다.

다만, 클라우드 제공업체를 하나만 사용하는 단일 클라우드 환경이라면 무방하지만 멀티 클라우드나 하이브리드 클라우드 환경의 경우, 각 환경마다 다른 보안 솔루션을 사용하게 되면서 관리 리소스가 많이 소요되고 운영상 어려움이 발생한다.

보안 전문 업체가 제공하는 솔루션의 경우, 다양한 클라우드 환경에 대한 단일 매니지먼트 역량을 제공해 관리 리소스를 절약할 수 있으며, 동일한 사용자 경험을 갖고 운영할 수 있다. 또, 보안 전문 업체의 솔루션은 다양한 기능을 제공하고 문제가 발생할 경우 즉각적인 고객 지원을 받을 수 있다는 장점이 있다.


Q. 정보 보안이 완벽하게 구축된 온프레미스 환경을 두고 클라우드로 이전 시, 구축 전략이 궁금하다.

인프라를 처음부터 클라우드 상에 구축하지 않은 기업들의 경우, 일반적으로 MSP(Managed Service Provider)라 불리는 파트너들의 도움을 받아 클라우드로의 이전을 시작하게 된다.

기업들이 온프레미스 환경에서 이미 보안 솔루션을 사용하고 있고 또 견고한 보안을 구축하고 있다면 기존의 보안 환경이 그대로 클라우드에서도 구현되기를 원한다. 하지만 이내, 이것이 어렵다는 사실을 바로 깨닫게 된다. MSP들은 온프레미스 환경에서 클라우드로의 마이그레이션에 경험이 풍부하지만, 대부분 서비스, 애플리케이션, 데이터베이스 등 인프라 구성에 중점을 두고 있다.

결국, 보안을 고려한 인프라를 구성하지 않고 마이그레이션에만 초점을 맞춰 클라우드 도입을 진행하게 된다. 인프라 이전을 완료한 상태에서 보안을 적용하고자 하지만, 클라우드 환경의 차이와 제약으로 인해 원하는 수준의 보안을 구성하기 어렵게 되는 것이다. 따라서, 마이그레이션 초기부터 보안을 충분히 고려해 인프라를 구성해야 한다. 만약 MSP의 보안 전문성이 부족하다면, 풍부한 경험을 바탕으로 클라우드 보안 인프라를 제안할 수 있는 보안 업체와 협력하는 것이 좋다.


언택트: 코로나19로 급격히 늘어난 원격 근무

코로나19 대유행이 야기한 가장 큰 변화 중 하나는 언택트(비대면) 트렌드의 등장이다. 기업에서도 코로나19 확산을 막기 위해 출근과 원격 업무를 상황에 맞게 병행하는 추세이다. 다만, 대다수의 기업들이 원격 근무 시스템을 처음 도입하면서 다양한 어려움을 겪었고, 이번 행사에서도 안전한 원격 근무 환경 조성을 위한 질문들이 많이 접수되었다.

​
[사진 2] 원격 근무 (출처: Shutterstock)

Q: 언택트 시대를 맞아 변화된 환경 속에서 기업은 보안을 위해 무엇을 어떻게 준비해야 하나?

언택트 시대를 맞아 많은 부분이 달라진 것이 사실이다. 하지만, 업무 환경과 방식이 달라진 것일 뿐 지속 가능한 성장과 생산성 향상이라는 기업의 목표 자체는 변하지 않았다. 보안은 기업의 지속 가능한 성장을 위해 존재하는 것이며, 기업의 목표가 달라지지 않았기 때문에 보안의 중요성과 개념은 이전과 같다고 보는 것이 맞다.

다만, 보안의 방법론에는 변화가 필요하다. 언택트 환경이 장기화될 것으로 전망되는 가운데, 언택트 환경에서의 보안이 이제 임시방편이 아닌 필수 대응체제로 자리잡아야 한다. 하지만, 새로운 환경이라고 해서 무조건 새로운 솔루션을 도입하는 것이 능사는 아니다.

우선, 언택트 시대에 보호할 자산의 가치 우선순위를 정해 기존 솔루션을 최적화하고, 보안 방법론과 정책들을 재배치하는 작업을 선행해야 한다. 지금까지 효과적으로 운영해온 보안 솔루션을 하드닝하고 가이드라인을 정비하면서, 언택트 환경에서 우선순위가 높아진 자산들에 대한 보안 수준을 점검해야 한다. 이후, 추가로 필요한 부분을 보완(add-on)하거나 재구성(re-configuration)하는 방향으로 진행하는 것이 적합하다고 보여진다.


Q: 원격 근무에 대한 보안 고려사항이 증가하고 있다. VPN 정책 관리와 전체적인 보안 및 솔루션 운영 측면에서 권고 방안은?

원격 근무 시, 일반적으로 네트워크 보안 강화를 위해 내부망에 추가 보안 장비를 운영하고, 시스템 접근 권한을 내부에서 사용하는 사설 IP로 지정하게 된다. 이 때, SSL VPN을 사용하면 별도 IP로 내부 통신을 진행할 수 있다. SSL VPN의 IP 할당에 관해 AhnLab TrusGuard는 두 가지 방식을 제공한다. 하나는 설정된 IP 대역 범위에서 랜덤으로 할당하는 것이고, 다른 하나는 사용자별 고정 IP를 할당하는 것이다.

IP에 대해 접근 권한을 설정했다면, SSL VPN 통신 시 고정 IP를 할당하여 운영하는 것을 권고한다. 사용자별 고정 IP를 할당하는 내부 보안 시스템에는 기존 보안 정책에 해당 사용자의 VPN용 IP를 추가하여 운영하는 것이 좋다.

또, VPN 사용 시 사용자 인증 및 단말 환경이 중요하다. VPN을 사용하는 사용자에 대해 투 팩터(2-Factor) 인증이나 OTP 접속 허용을 통해 사용자 검증을 강화해야 한다. 그리고, VPN 접속 시 사용하는 단말을 지정해 불특정 다수 단말의 접속을 제한하는 것이 좋다. AhnLab TrusGuard는 사용자 단말 지정 기능을 통해 등록된 단말이 아닌 경우 VPN 로그인을 방지하는 기능을 제공한다.


Q. 중소기업에서 원격 업무 시 임직원들의 개인 PC에 대한 현실적인 보안 대책은?

코로나19의 대유행으로 인해 원격 근무의 수요가 폭발적으로 늘었다. 다만 먼저 생각해봐야 할 것은 코로나19 이전에도 원격 근무가 있었다는 것이다. 예를 들어, 건설 현장에 위치한 사무소의 PC 단말은 본사에서 떨어진 환경에 있으며, 이러한 상황에서 보안을 어떻게 구축했는지 생각해볼 필요가 있다.

올 상반기, 과학기술정보통신부에서 ‘재택·원격근무 시 지켜야 할 정보보호 수칙’을 발표했다. 세부적으로 보면, 안티바이러스(Anti-Virus: AV), 패치 관리, 보안 설정을 통한 취약점 제거, 멀티 팩터 인증 기반의 VPN 사용이 주요 내용이다. 중소기업도 VPN 적용뿐 아니라 엔드포인트 보안까지 신경 써야 한다. 하지만, 현실적인 비용과 운영 상의 어려움이 따르게 되고 많은 중소 기업들이 비용 효율성과 운영 편의성을 갖춘 보안 솔루션을 찾고 있다.

안랩은 이러한 수요에 대응해 SaaS(Software as a Service) 기반의 안랩 오피스 시큐리티(AhnLab Office Security)를 올해 출시했다. 오피스 시큐리티는 클라우드 기반의 매니지먼트 환경을 제공해 악성코드 대응, 보안 패치 검사, 취약점 점검과 네트워크 보안까지 다양한 기능을 쉽고 간편하게 이용할 수 있다. 재택 근무 환경에서 전문 보안 담당자 없이도 쉽고 빠르게 적용 가능한 SaaS 보안 솔루션 도입을 고려해볼 필요가 있다.


엔드포인트: 엔드포인트 보안 복잡성 해소 방안

엔드포인트 영역은 AV부터 EDR(Endpoint Detection & Response), EPP(Endpoint Protection Platform) 등으로 진화를 거듭해오고 있다. 쟁점은 고도화된 위협에 맞서기 위해 다양한 제품들을 사용하는 경우 운영 부담이 가중된다는 점이다. 이번에도 많은 참가자들이 엔드포인트 보안의 운영 효율성 제고 방안에 대해 문의했다.

​
[사진 3] AhnLab EPP 기반 차세대 엔드포인트 보안 체계

Q: 기존 AV의 한계로 인해 EDR 솔루션이 개발됐다고 생각하는데, EDR의 부족한 점은 무엇인가?

AV의 한계로 EDR의 필요성이 대두된 것은 맞지만, 한계를 대체하는 것이 아닌 보완하기 위해 EDR이 출시됐다고 보는 것이 맞다.

AV는 악성코드를 자동으로 차단하거나 삭제하는 것이 주요 기능이다. 하지만, 신변종 공격이 이어지고 사회공학적 기법을 활용한 위협이 만연하면서 보다 세밀한 분석과 대응이 요구되고 있다. 즉, 기업의 IT 환경과 사용성을 고려해 다양한 관점에서 이벤트와 파일을 분석하고 대응해야 한다는 뜻이다. AV는 차단(Prevention), EDR은 대응(Response) 측면에서 서로의 영역을 대체하는 것이 아닌 상호보완적 관계를 형성하고 있다. 따라서, 최근의 EPP와 EDR은 하나의 유기체로 연계되어 있다.

EDR은 ‘이것만 있으면 다 해결되는 것 아닌가’라는 오해로 인해, 상대적으로 기대보다 부족하다고 느끼는 경우가 있다. 또, EDR의 분석 알림이나 메시지들을 처리하기 위해서는 전문적인 인력이 요구되기도 한다. 특히 SIEM(Security Information & Event Management), SOAR(security Orchestration Automation & Response)와의 연동까지 고려한다면 더욱 폭 넓은 지식과 경험이 필요하다.

이를 해결하려면 수집되는 정보의 분류, 폴링(polling)되는 주기와 대상, 분석 포인트와 알림 등에 대한 기준을 세워서 장기적으로 빌드 업(Build up)해 나가야 한다. 안랩과 같이 엔드포인트 보안 경험이 풍부한 업체와 협력한다면 이를 보다 효과적으로 수행할 수 있다.


Q: 엔드포인트 보안 영역에서 여러 개의 솔루션을 사용 시, 운영 복잡성 해소를 위한 방안은 무엇이 있는지? 추가적으로 플랫폼으로서의 AhnLab EPP 도입 시 고객이 얻을 수 있는 효과는?

엔드포인트 영역에서 여러 솔루션을 사용할 경우, 무수히 많은 로그가 올라와 어려움을 겪곤 한다. 이와 관련, 플랫폼과 단일 에이전트 기반으로 운영 효율성을 제고할 필요가 있다.

AhnLab EPP는 V3와 EDR 뿐 아니라 설치된 EPP 에이전트에 라이선스 적용만으로 해당 플러그인 구축이 가능하다. EPP를 통해 보안 패치 관리(EPM), 개인정보 유출 방지(EPrM), 취약 PC 점검 조치(ESA)를 간편하게 통합 운영 할 수 있다.

AhnLab EPP의 핵심 역량은 연계 정책을 통해 안랩 엔드포인트 개별 제품의 조건을 ‘AND / OR’ 규칙 기반으로 최적의 탐지·대응을 위한 설정이 가능하다는 것이다. AhnLab EPP는 설정된 규칙을 기준으로 탐지·모니터링·대응을 자동으로 제공한다. 또한, 엔드포인트 악성코드 대응, 이상 징후 파악 등을 위한 안리포트 수집이 원격으로 가능하다.


위협 대응: 고도화된 새로운 위협에 대처하는 방법

해커들의 공격 기법은 날로 진화하고 있다. 신변종 악성코드 유포는 기본이고, 사람의 취약점을 공략하는 사회공학적 기법을 사용하기도 하며, 공격 체계 역시 점점 조직적으로 변모하고 있다. 참가자들의 질문들을 통해 새로운 위협 트렌드와 효과적인 대응 방안에 관한 니즈를 확인할 수 있었다.
　

[사진 4] 해커들의 보안 위협 (출처: Shutterstock)

Q: 장기적인 관점에서 가장 중요한 보안 요소을 꼽는다면?

플랫폼 관점에서 보안 위협을 보면, 엔드포인트, 모바일, 클라우드, IoT 영역으로 분류할 수 있다. 공격자들은 플랫폼 별로 다른 공격 방법을 사용하며, 주요 보안 요소로 엔드포인트는 이메일, 모바일은 스미싱·보이스 피싱, 클라우드는 계정·권한 관리, IoT는 취약점을 꼽을 수 있다.

특히 엔드포인트 경우, 관리 시스템 장악이나 공급망 공격을 가장 대표적인 위협으로 보고 있다. 사이버 공격이 조직화, 기업화, 분업화 되면서, 이전에는 하나의 공격 그룹이 취약점 발견, 악성코드 제작, 유포, 정보 탈취를 모두 담당했다면, 최근에는 각 공격의 단계를 서로 다른 조직이 담당하고 있고, 사이버 공격에서도 경제성이 매우 중요해졌다.

최근의 환경은 기업이 업무 관리 및 생산성 향상을 위해, 여러 관리 솔루션이나 업무용 프로그램을 사용하고 있고, 공격자 입장에서는 한번의 공격으로 최대한 많은 피해 효과를 유발해야, 경제성이 높아진다. 앞으로도 분업화된 체계적인 공격이 지속될 것으로 예상되며, 기업 입장에서는 계정·권한 관리나, 의심 행위 모니터링의 중요성이 더욱 높아질 것이다.


Q: 이메일과 첨부파일을 활용한 각종 바이러스 및 랜섬웨어에 대한 효과적인 대응 방법을 알고 싶다. 또, 안랩의 대응 솔루션과 방어 원리가 궁금하다.

악성코드의 대표적인 감염 경로는 악성 웹사이트 방문이나 이메일을 통한 감염이다. 먼저, 웹사이트 방문을 통한 감염은 ▲지속적인 취약점 패치 ▲의심스러운 파일 다운로드 지양 ▲조직의 자체적인 웹사이트 방문 차단 등을 통해 효과적으로 방지할 수 있다.

이에 반해, 이메일은 업무 목적으로 사용하는 경우가 많아 방어가 쉽지 않다. 또, 공격자도 이메일 공격의 비중을 늘리고 있는 추세이다. 이메일 공격 방어법으로는 이메일이 실제 사용자에게 전달되기 전 이메일에 포함된 URL을 검사하거나, 첨부 파일을 가상 환경에서 실행해 행위 분석을 바탕으로 악성 유무를 판단하는 방법이 있다.

이러한 대응법을 적용한 대표적인 솔루션이 바로 AhnLab MDS와 AhnLab EDR이다. 특히, MDS는 엔드포인트와 네트워크를 유기적으로 연계해 ‘멀티 레이어드’ 대응이 가능하다. MDS의 이상 트래픽 분석·차단 등 네트워크 단 대응과 악성코드 삭제, 의심 파일 실행 보류 등 전용 에이전트를 통한 엔드포인트 대응을 연계하면 견고한 랜섬웨어 대응 체계를 구축할 수 있다. 추가적으로, V3의 랜섬웨어 보안 폴더는 허용하지 않은 의심 프로세스의 접근을 차단하며, 디코이 파일을 통해 랜섬웨어를 사전에 탐지하고 차단한다.

이 밖에, 사전에 차단되지 못한 악성 이메일이 사용자에게 전달된 경우에는, 첨부 파일이 문서 파일이거나 스크립트 파일인 경우가 대부분이다. 이 때는 시그니처 기반의 정적 진단으로 탐지하거나, 실행될 때 행위를 분석하는 행위 기반 탐지 기법을 활용하고 있다.


맺음말

이번 글을 통해 다룬 질문들은 질문자 외에도 많은 보안 관련 종사자들이 궁금해하는 내용으로, 안랩 역시 답변을 내는 것에 그치지 않고 고객들의 ‘페인 포인트(Pain point)’를 정확히 파악해 대응하기 위해 다양한 노력을 기울이고 있다. 코로나19로 인해 많은 기업들이 예기치 못한 변화를 겪고 있는 상황에서, 위 내용이 기업들에게 오는 2021년 보다 견고한 보안 체계를 확립하는데 보탬이 되길 바란다.

[출처 : 안랩(((www.ahnlab.com)]