많은 조직들이 온프레미스 데이터센터, 프라이빗 클라우드, AWS, 애저, GCP와 같은 퍼블릭 클라우드를 통합해 하이브리드 클라우드로 운영하고 있다. 하이브리드 클라우드는 온프레미스 데이터센터와 프라이빗, 퍼블릭 클라우드의 장점을 결합해 유연하고 효율적인 IT 인프라를 제공한다. 조직은 민감한 데이터를 온프레미스 또는 프라이빗 클라우드에서 안전하게 관리하면서, AWS, 애저, GCP 같은 퍼블릭 클라우드를 통해 확장성과 비용 효율성을 극대화할 수 있다. 이를 통해 워크로드를 유동적으로 배치하고, 비즈니스 요구에 따라 자원을 신속하게 조정할 수 있으며, 클라우드 제공자에 종속되지 않고 운영 리스크를 분산할 수 있다.
여기에서는 조직의 1순위인 보안의 관점에서 카스퍼스키의 기술에 대해 살펴보겠다.
흔히 보안 3대 요소를 기밀성, 가용성, 무결성 이 세가지를 언급한다.
먼저 기밀성 측면에서 하이브리드 클라우드의 필요성을 살펴보면, 퍼블릭 클라우드가 아닌, 반드시 폐쇄망 또는 온프레미스 내부망에 존재해햐 하는 데이터가 있다. 이는 내부 보안 규정 상의 이유 또는 법적 규제에 의한 필요성이 있을 수 있다.
가용성 측면에서 본다면, 퍼블릭 클라우드만 사용하는 환경하에서 기업의 인터넷 회선에 문제가 생기면 서버에 대한 접속 자체가 불가능해 업무가 중단 될 것이다. 그러므로 별도의 백업 센터를 위해 필수 애플리케이션 서버는 사내 망에도 존재해야 할 것이다.
마지막으로 무결성 측면을 고려하면, 퍼브릭 클라우드 또는 데이터센터에 재해가 발생해도, 중요한 데이터를 복구하고 업무의 영속성을 보장하기 위해 별도의 재해복구 센터를, 다른 독립적인 공간에 구축해야 한다.
이렇게 다양한 물리적 논리적 공간에 존재하고 있는 서버들에 대한 보안을 따로 운영하게 된다면, 보안정책의 일관성이 손상 될 뿐만 아니라, 운영의 효율성 측면에서도 매우 부정적이다. 그러므로 하이브리드 클라우드 환경 하에서의 통합 보안 운영을 고려하는 것이 중요하다.
데이터센터, 프라이빗 클라우드, 퍼블릭 클라우드는 각기 운영 및 보안 관리자가 다르다. 특히 데브옵스에 의해 운영되는 퍼블릭 클라우드의 보안은 좀더 고민이 많아진다.
퍼블릭 클라우드는 개발자에게 업무의 효율성을 향상시켜 주었지만, 동시에 기업의 전통적인 보안 통제로부터의 자유도가 높아진다. 예를 들어 기존의 전통적인 데이터센터 환경 하에서는 개발부서가 신규 서비스를 베타 테스트하려면 네트워크와 서버 운영부서로부터 승인을 받아 자원을 할당 받아야만 했다. 하지만 이제는 개발자가 직접 퍼블릭 클라우드에 가상 서버를 생성해 간편하게 베타 서비스를 오픈 할 수 있다.
이 가상 서버에 엔드포인트 프로텍션, 접근 통제, 계정 관리 등, 기업의 보안 정책 적용의 예외가 발생할 수 있다.
보안 솔루션 별 별도의 라이선스 관리 또한 새로운 과제이다. 여기에 EU-GDPR, PCI-DSS 및 개인정보보호법 등 규제 준수에 대한 고민 역시 추가된다.
이러한 하이브리드 클라우드 환경하에서의 보안은 △무엇으로부터 보호할 것인가, 즉 최근 공격자들의 공격 방법에 대한 이해 △어떻게 보호해야 하는 가, 즉 하이브리드 클라우드 환경 하에서의 CWPP, EDR, NDR, 위협 인텔리전스(Threat Intelligenc)를 통한 XDR에 대한 고민 등 두 가지 과제가 있다.
먼저 공격자들의 공격방법을 보면, 90% 정도의 공격은 범용적인 악성 코드나, OS 또는 애플리케이션의 알려진 취약점을 이용해 공격하기에, 기존에 안티 바이러스 소프트웨어로 불리우던 엔드포인트 프로텍션 솔루션(Endpoint Protection Solution, 이하 EPS)을 이용해 대응 할 수 있다. 즉 예방이 가능하다.
하지만 나머지 10% 정도의 공격은 APT 공격과 같이 매우 지능적이고 해당 기업/기관을 표적으로 하는 공격이다. 이러한 표적형 공격은 잘 알려진 악성 코드를 지닌 프로그램을 이용하는 것이 아니기에, 기존의 안티 바이러스 소프트웨어로 불리우는 EPS를 이용해 탐지 및 차단이 불가능하다. 즉 제로데이 공격인 것이다. 이러한 공격 중 0.1%의 공격은 사이버 무기화 된 고도의 전문적인 공격이며 그 파괴력도 상당해, 지능화된 툴과 전문 지식을 갖춘 인력에 의한 심층 조사를 포함한 접근이 필요하다.
이러한 공격방법에 대응하는 첫 번째 킬 체인으로 CWPP(Cloud Workload Protection Platform)가 필요하다. 하이브리드 클라우드 환경 하에서 CWPP는 단 하나의 솔루션/라이선스로 모든 형태의 서버 환경을 중앙에서 관리할 수 있다. 전통적인 기업 내부 데이터센터에 물리적으로 존재하는 서버, 가상화 된 서버, 프라이빗 클라우드 그리고 AWS, 애저, GCP 등의 퍼블릭 클라우드에 존재하는 서버들까지 단 하나의 솔루션으로 관리할 수 있다.
또한 망 별로 별도의 중앙관리 시스템을 구축하고, 이 중앙관리 시스템들을 다시 상위에서 통합 관리할 수 있는 계층적 관리도 가능해야 한다. 더욱이 전통적인 IaaS, PaaS 형태의 클라우드는 물론이고 SaaS 형태로 제공되는 가상 스토리지 네트워크까지 보호 관리할 수 있어야 한다. 물리적으로 에이전트를 설치할 수 없는 SaaS 내에 존재하는 위협으로 부터도 방어가 가능해야 한다.
CWPP는 5가지 요소로 구성될 수 있다. 먼저 모든 형태의 데이터센터에 존재하는 서버들을 통합 관리하기 위한 중앙 관리 서버가 있어야 한다.
그 다음은 VM(이하 VM)에 존재하는 서버들에 대한 리소스 사용에 대한 부담을 경감시키는 에이전트리스(Agentless) 방식이 있다. VM들에 일체의 에이전트를 설치하지 않고도, 악성 File과 행동을 탐지하고 네트워크로부터 공격도 차단하는 기능이다. 이 에이전트리스 방식은 해당 서버 내에서 파일을 스캔하는 것이 아닌, 외부에 독립적으로 존재하는 별도의 보안 VM에서 수행해, 클라우드 워크로드가 보안 정책을 수행하기 위해 본래의 서버 서비스에 영향을 주는 것을 방지한다.
라이트 에이전트(라이트 에이전트) 방식은 VM에 매우 가벼운 라이트 에이전트를 설치해 전체 보안(Full 보안) 기능을 수행하지만, 파일 스캔만 외부에 독립적으로 존재하는 별도의 보안 VM에서 수행한다. 클라우드 워크로드가 파일 스캔에 리소스를 할당하는 것을 경감시켜 준다.
마지막으로 윈도우 서버와 리눅스 서버에 에이전트를 설치해 안티 맬웨어(Anti-malware) 기능과 랜섬웨어 차단, 취약점 방어, 호스트 방화벽, 시스템 무결성 검사, 매체 제어 등의 통합 엔드 인트 보호(Full Endpoint Protection) 기능을 수행하는 모듈이 있다.
① 중앙관리 서버
계층적으로 구성할 수 있어야 하며, 퍼블릭 클라우드의 리전, VPC, 서브넷 별로 운영 중인 시스템 현황을 관리할 수 있어야 한다.
② 에이전트리스
VM 환경 하에서, 동일한 맬웨어 스캔 엔진(Malware Scan Engine)을 각각의 VM에 설치하고 맬웨어 스캔 작업을 하는 것은 비싼 VM 자원을 낭비하는 것이다. 각각의 VM에 에이전트를 설치하지 않고도 각각의 VM을 보호할 수 있는, 에이전트리스 방식을 지원해야 한다. 이 방식은 각각의 VM에서 안티 맬웨어 스캔 기능을 수행하지 않고, 별도로 존재하는 하나의 보안 VM에서 모든 맬웨어 스캐닝을 수행할 수 있어야 한다. 이는 바이러스 검사 최적화/가속화 기능을 제공해 자원을 효율적으로 운영하며 빠른 탐지 기능을 제공한다.
예를 들어 1번 VM서버에서 검사한 기록을 캐시하고 있다가, 2번 VM서버에서 동일한 파일을 검사해야 할 경우에는 파일의 무결성만 검증할 뿐 재 검사를 하지 않는다. OS만 놓고 보아도 80% 이상이 동일한 파일이기에 이러한 기법은 시스템의 매우 효율적으로 절약해 주며, 검사 속도를 획기적으로 개선해 준다. 또한 안티 맬웨어 기능 외에도 네트워크 공격도 보호하는 기능을 제공해야 한다. 이 기능은 DoS 공격 차단과 같이 낮은 레이어의 공격은 물론, 애플리케이션 레이어의 공격에도 대응할 수 있어야 한다.
③ 라이트 에이전트
VM에 에이전트를 설치해 좀 더 많은 보안 기능을 사용하되, VM의 자원을 효율적으로 사용하려면 라이트 에이전트 기능을 제공해야 한다. 라이트 에이전트는 전통적인 에이전트 설치방식과 같은 통합 엔드포인트 보안을 제공한다. 이는 메모리, 프로세스 보호, 애플리케이션 제어, 매체 제어, 웹 접속 및 메일 보안, 렌섬웨어 차단, 취약점 차단, 방화벽 등 클라우드 워크로드 프로텍션 솔루션이 제공해야 하는 모든 기능을 제공한다.
하지만 리소스를 가장 많이 차지하는 안티 맬웨어 스캐닝만 별도의 보안 VM 서버 한 대에서 수행해, 가장 많은 시스템 리소스를 사용하는 작업을 VM에서 제거해 VM 리소스를 효과적으로 사용해 실제 각각의 워크로드가 수행할 본연의 서비스에 집중하도록 해 준다.
라이트 에이전트 역시 바이러스 검사 최적화/가속화 기능을 제공한다. 캐시 공유 기법을 이용해 1번 VM서버에서 검사한 기록을 캐시하고 있다가, 2번 VM서버에서 동일한 파일을 검사해야 할 경우에는 파일의 무결성만 검증할 뿐 재 검사를 하지 않기에 시스템의 매우 효율적으로 절약해 주며, 검사 속도를 획기적으로 개선해 준다.
카스퍼스키 테스트에 의하면, 일반 안티 맬웨어 솔루션대비 라이트 에이전트를 사용하였을 경우에, 평균 5배의 성능 향상과 시스템 자원 자원을 절약할 수 있었다. 가상화 환경에서 가상화 전용 엔드포인트 보안 솔루션을 사용해야 하는 이유이다.
① 컨테이너 감시
클라우드의 도커 컨테이너에 대한 보안도 물론 제공해야 하며, 특히 꺼져 있는 도커에 대한 검사도 수행하는 기능을 제공해야 한다.
② 랜섬웨어 방어
랜섬웨어를 근원적으로 차단하는 기능을 제공해야 한다. 이 기능은 랜섬웨어 프로그램 시그니처(Signature)를 탐지를 하는 것이 아니다. 시그니처 기반의 탐지 기법은 알려지지 않은 신종 랜섬웨어를 탐지하지 못한다. 안티 크립터 기능은, 원격지에서 스토리지 서버 등의 데이터를 암호화하는 것을 탐지하고, 이를 차단한 후, 실시간으로 메모리에 복제해 둔 원본 데이터로 복구하는 기능을 제공해 알려지지 않은 랜섬웨어에 대한 근본적인 방어를 제공한다.
③ 파일 무결성 모니터링(FIM)을 통한 규제 준수
파일 무결성을 모니터링 하고 리포팅을 제공해야 한다. 이는 EU GDPR, PCI DSS의 의무 사항을 만족하기에 해당 규제 준수가 필요한 조직에서는 반드시 필요한 기능이다.
④ 로그 감사
제한된 운영 인력으로 많은 클라우드 서버들의 로그들을 일일이 검사하는 것은 불가능하다. 또한 퍼블릭 클라우드로 인프라가 옮겨 가면서 기존 보안 조직의 운영방침을 데브옵스 등의 여타 조직에게 일관되게 적용하는 것도 어렵다.
하이브리드 클라우드 보안은 모든 시스템의 로그들을 검토해 의미있는 로그들을 선별해 관리자에게 보고 리포트를 제공하고 중요한 로그 발생 시에는 알람을 발송할 수 있어야 한다.
CWPP 솔루션이 위협행위를 탐지/제거하는 데에는 효과적이다. 하지만 CWPP 솔루션은 악성 행위 자체 또는 악성 코드만 탐지/제거할 뿐, 위협의 전후 관계에 대한 정보는 제공해 주지 못한다. 앞서 언급했듯이 지금의 공격은 단순하지 않고 다단계 침투 기법을 사용하기에 상위 프로세스와 하위 프로세스를 포함한 전체 그림을 확보해야 적절한 킬체인을 구축할 수 있다.
EDR은 성공적으로 차단된 조치 사항과 악성 파일의 체인 구조 정보를 제공한다. 중앙에서 즉각적인 악성 파일 실행을 차단할 수 있고, 필요 시 해당 워크로드를 단 한 번의 마우스 클릭으로 클라우드 망으로부터 격리시킬 수 있다. 악성 파일의 해시 값을 클라우드망 전체가 공유해 해당 위협에 대응한다. 악성코드의 네트워크 활동 분석정보를 NDR 등과 연계/공유해 클라우드 망 전체가 해당 위협에 대응하도록 XDR을 구축할 수 있다.
EDR은 워크로드에서 동작하기에 악성 행위 및 악성 코드를 개별 워크로드에서만 탐지한다. 때문에 엔드포인트에서 탐지한 정보만으로는 실제 공격의 침입/진행 경로를 파악하고 전체 그림을 확보하기에는 부족하다. NDR을 이용해 네트워크에서 얻어진 정보와 EDR을 통해 엔드포인트에서 얻어진 정보를 상관분석해 공격의 전체 그림을 파악하고 적정한 킬체인을 구축할 수 있다.
알려진 위협을 탐지/제거하는 CWPP, 그리고 워크로드 공격의 다단계 침투 경로를 밝혀 내어 대응 킬 체인을 구축하는 하이브리드 클라우드 보안 EDR, 마지막으로 네트워크에서의 공격과 이상 징후를 탐지하는 하이브리드 클라우드 보안 NDR이 통합되어, 발견된 위협을 상호 공유, 상관 분석 후 공동 대응해 하이브리드 클라우드 보안 XDR을 구축할 수 있다.
보안 위협 탐지에 주로 사용되고 있는 툴이 SIEM이다. SIEM은 각종 내부 보안 장비들의 로그를 취합해 그 상관 관계를 분석해 보안 사건 대응 및 위협 사냥에 주 중요한 역할을 한다. 예를 들어 IPS의 로그에서 공격탐지 로그를 발견했을 경우, 동일한 공격자 IP가 방화벽, VPN, 메일서버 등의 로그에 존재하는 가를 조사해 추가 공격이 존재하는지, 인지하지 못한 추가 피해자가 있는지, 다른 공격 유입 경로가 있는지를 찾아 내는 일을 한다. 또한 사건 발생 후 공격의 침투 경로를 확인하기도 한다. 바로 상관 분석이다.
그런데 여기에 중요한 허점이 하나 있다. 바로 최초에 누군가가 공격의 흔적을 찾아 주어야 한다는 것이다. 즉, IPS이던 이메일 서버이던, 누군가가 공격의 흔적을 찾아 주어야만 그 로그를 근거로 다른 보안 장비의 로그에서도 흔적을 찾을 수 있는 것이다. 바꾸어 말하면 어떠한 보안 장비에서도 공격의 흔적을 찾지 못하고 놓치고 있다면, 상관분석은 의미가 없다. 즉 상관분석을 위한 기초 데이터인 침해 지표가 필요하다. IoC(Indicator of Compromise)가 필요한 것이다. IoC가 SIEM과 SOAR에 공급되어야 상관분석이 의미가 있다.
하이브리드 클라우드 환경, IoT, 다양한 웹, 모바일 앱의 증가, 차세대 방화벽, 차세대 IPS 및 IDS 등이 진화함에 따라 수많은 로그들이 SIEM으로 쏟아져 들어온다. 때문에 전반적인 보안 경고의 수는 기하급수적으로 증가하고 있으나 보안 담당자들은 중요한 경고를 식별하고 우선순위를 정하는 방법을 확보하지 못한 채 그 양에 휩쓸리고 있다.
보안 담당자들은 대부분의 시간을 사고 분석 또는 위협 제거 활동 대신에, 보안경고의 분석 대상 여부 선별에 빼앗긴다. 그럼에도 절반에 가까운 경고들은 조사되지 않고 있으며 이러한 요인들이 보안 담담자들을 지치게 만들고, 평균 공격지속시간이 늘어나게 만든다.
그러면 앞서 설명한 IoC를 인텔리전스라 할 수 있을까? 아니다. 기존에 사용하고 있던 IOC들은 인포메이션일 뿐이다. 그러면 인포메이션(Information)과 인텔리전스(intelligence)의 차이를 알아보자. 이 설명에는 유명한 데이비드 비안코(David Bianc)의 고통의 피라미드가 등장한다.
이 피라미드는 위협의 침해지표를 6단계로 구분하고 있으며 아래에 있는 Hash값, IP 주소, 도메인 네임과 같은 정수나 문자로 표현될 수 있는 침해지표를 정보, 즉 인포메이션이라고 부른다. 보안 장비 관점에서 보면 시그니처 기반 장비인 IDS, IPS, 안티바이러스, 방화벽, URL 필터링 시스템 등에 사용되는 시그니처이다.
그러나 보다 상위로 올라갈수록 정수나 문자 값으로 나타낼 수 없는, 네트워크/호스트 구조, 공격 툴, TTPs. 즉 전술, 기술, 절차로 표현되는 침해지표들은 찾아내기 힘든다. 이렇게 정형화 될 수 없는 내용이 인텔리전스이다. 이들에 대한 대응을 하기 위해 필요한 것이 위협 인텔리전스(Threat Intelligenc)이며, 이를 통해 위협을 빠르고 정확하게 탐지할 수 있다.
위협 인텔리전스는 보안 운영 사이클에 △누가 우리 회사, 기관을 공격 목표로 하고 있는가? 그들이 원하는 것은 무엇인가? △어떤 위협 그룹이 우리 조직의 사업분야 또는 지역에서 활동하고 있는가? △사용되는 공격 방법은 무엇인가? △수많은 보안 장비에서 발생하는 수천 건의 경고 중에서 어떻게 참 여부를 확인하고, 거짓 정보를 제거하고, 정말 중요한 경고를 선별해 낼 수 있는가? △공격의 전후 맥락은 무엇인가? △사고의 범위는 어디까지 인가? 발견된 것과 관련된 추가적인 위협 지표가 있는가? 어떤 시스템, 어느 사용자가 영향을 받았는가? 등의 정보를 제공해야 한다.
위협 인텔리전스에도 많은 영역의 서비스가 있다. 국내에서는 주로 브랜드 프로텍션(Brand Protection)과 공격 표면 관리(Attack Surface Management)가 다크 넷 검색 서비스와 함께 거론된다. 하지만 이 이외에도 IoC와 그에 대한 배경정보인 컨텍스트(Context), APT/크라임웨어(Crimeware) 리포팅 서비스, 위협 분석서비스 등 여러 영역이 있다.
이 중 클라우드 XDR과 관련이 깊은 IoC와 컨텍스트에 대해 알아보자. 악성IP, URL, 파일 해시, 봇넷 C&C, 랜섬웨어, APT, ICS 등 다양한 범주로 된 IoC와 그 컨텍스트를 SIEM, SOAR, 방화벽, IPS, Email 시스템과 같은 기존 보안 제어 솔루션에 통합해, 기존의 보안 솔루션의 기능을 업그레이드 한다.
또한 단순 탐지를 넘어서 공격에 대한 배후 정보를 제공할 수 있어야 한다. 여기서 배후정보가 매우 중요하다. 대부분의 위협 인텔리전스 IoC는 기존에 시장에 잘 알려진 SIEM, SOAR 등과 쉬운 연동을 위한 API를 제공하고 있다.
그러나 API를 연동한 것은 SIEM에서 탐지된 IoC를 위협 인텔리전스 제조사에 보내 그 배경 정보인 컨텍스트를 받아 온다는 것을 의미한다. 이는 어쨌든 내부에서 발생한 보안 이벤트가 외부로 전송되는 것이다. 더욱이 폐쇄망에서는 API를 이용해 탐지된 IoC의 컨텍스트 정보를 받아오는 것 자체가 불가능하다. API를 이용한 연동이 아닌 IoC와 컨텍스트를 포함한 전체 데이터를 단방향으로 다운로드 받는 방식이 보안에 있어 훨씬 안전하다.
또한 서비스 공급자가 각각의 SIEM과의 통합을 위한 앱을 제공하면 좋다. 추가로 모든 데이터를 투명하게 플레인 텍스트(Plain Text) 제공하고 JSON, STIX, CSV, OpenIOC, PCRE 등의 다양한 포맷으로 다운로드할 수 있다면 국산 솔루션과도 즉각적인 연동이 가능하다.
여기에 IoC와 컨텍스트를 이용한 자체 개발CTI 플랫폼까지 제공한다면 좋다. 사실 SIEM이나 SOAR는 고가의 장비들이고 시스템 자원을 많이 사용한다. 기존에도 하는 일이 많아 시스템 자원이나 EPS 라이선스가 부족했는데, 추가적으로 위협 인텔리전스의 IoC와 컨텍스트 매칭(Context Matching) 까지 수행해야 한다면, SIEM의 증설이 필요할 수도 있다.
위협 인텔리전스 공급자가 CTI 플랫폼을 제공한다면, 이 CTI 플랫폼이 로그를 분석한 후, 그 결과를 SIEM으로 전송하기에, SIEM은 단지 받은 결과값을 이용해 대시보드만 표시하면 된다. 값 비싼 SIEM의 부하를 획기적으로 줄일 수 있으며, 분석 속도 또한 획기적으로 개선될 것이다.
이러한 CTI 플랫폼은 방화벽, IPS, Email 시스템과 같은 기존 보안 솔루션의 로그들도 받아서 IoC와 컨텍스트를 이용해 분석해 줄 수 있어야 한다. 또한 고객의 SIEM과 통합해 사용할 수도 있고, SIEM 없이 단독으로 사용할 수 있으면 더욱 좋다. 이 CTI 플랫폼은 타사 IoC와 컨텍스트, OSINT, 사용자 지정 IoC 등 모든 위협 인텔리전스 IoC를 통합 수용할 수 있으며 다양한 SIEM 솔루션 및 로그 소스와 즉시 통합할 수 있다면 더욱 유용하다.
이러한 도구는 각종 보안 장비로 부터 취합된 로그를 IoC 데이터 피드와 매칭해 분석하는데 특화된 전용 솔루션으로 각종 이벤트를 효과적을 드릴 다운(Drill-down)하며 분석하는 기능을 제공해 보안 분석가들이 사고 조사하는 데 있어 효율성을 높인다.
기고 카스퍼스키 코리아 강민석 이사
필자 강민석 이사는 카스퍼스키 코리아의 고객 보안컨설팅 및 도입/구축 지원 업무를 총괄하고 있다. 20년 이상의 정보보호 분야 경험으로 유수의 글로벌 벤더 및 국내 대기업에서 정보보호 기술업무를 수행해 왔다. 클라우드 보안을 포함하여 산업망 네트워크 보안, XDR/NDR/EDR, 사이버 위협 인텔리전스까지 폭넓은 지식과 경험을 바탕으로 Kaspersky의 보안 솔루션으로 한국의 사이버 인프라를 안전하게 만들기 위하여 노력하고 있다. 주요 전문 분야로는 사이버 위협 인텔리전스, EDR/NDR/XDR, 클라우드보안, 엔드포인트 프로텍션, APT 대응 솔루션, OT/ICS 보안 솔루션 등이 있다.
