2025 CBEST 주제별 보고서: 금융 서비스의 사이버 취약성에 대한 데이터로 밝혀진 사실
영란은행은 지난주 은행과 금융시장 인프라(FMI) 기관에 사이버 성적표를 전달했습니다.
이 성적표인 CBEST 주제별 보고서에는 맥고나걸 교수가 해리 포터에게 마법사의 야망에는 훨씬 더 높은 기준이 필요하다는 사실을 단호하지만 공정하게 상기시켜주는 듯한 에너지가 느껴졌습니다.
맥고나걸 교수와 마찬가지로 규제 당국도 높은 열망이 높은 기준을 요구하도록 하기 위해 노력하고 있습니다.
기업과 금융 시장 인프라는 수년간 제어 라이브러리를 구축하고, 규칙을 매핑하고, 모범 사례에 맞춰 조정하는 데 시간을 투자해 왔습니다. 하지만 CBEST는 분명한 차이를 보입니다. 서류상으로는 강력해 보이는 컨트롤도 실제 공격의 압박을 받으면 실패하는 경우가 많습니다.
규제 당국이 설정하고자 하는 기준은 이보다 더 높습니다.
CBEST 2025: 조용한 취약성의 그림
CBEST 주제별 보고서는 실제 공격을 시뮬레이션하는 위협 주도 테스트 프레임워크입니다. 은행과 금융기관이 사이버 복원력의 약점을 찾아내고, 이해하고, 수정하는 데 도움이 됩니다.
올해 보고서에서는 영국의 주요 금융 기관 전반에서 사이버 복원력의 취약점을 확인했습니다. 이러한 문제는 5개의 연결된 영역에서 나타났습니다:
- 인프라 및 데이터 보안
- ID 및 액세스 제어
- 네트워크 보안
- 탐지 및 대응
- 직원 문화 및 인식
이러한 격차는 규제 감독 하에 공인된 제공업체가 제공하는 실제 기업 환경에서 수행한 CBEST 위협 주도 테스트를 통해 드러났습니다.
인프라 및 데이터 보안
조사 결과 많은 기관이 실제 공격 상황에서 보안 계획을 일관된 성능으로 전환하는 데 어려움을 겪고 있는 것으로 나타났습니다.
인프라 및 데이터 보안 관점에서 CBEST는 기본 제어 기능에 빈틈이 있음을 발견했습니다. 여기에는 일관성 없는 구성 관리, 취약한 시스템 강화 및 패치 적용, 시스템에 저장된 데이터의 열악한 보호 등이 포함됩니다.
공격 시뮬레이션 결과, 최신 패치나 적절한 구성이 없는 엔드포인트는 쉽게 익스플로잇할 수 있는 것으로 나타났습니다. 또한 약한 암호화로 인해 민감한 데이터와 권한 있는 자격 증명이 노출되었습니다.
이러한 결과를 종합해 보면 자산 관리 및 구성 프로세스가 중요한 비즈니스 서비스를 지원하는 시스템 전반의 위험을 지속적으로 줄이지 못하고 있음을 알 수 있습니다.
ID 및 액세스 제어
ID 및 액세스 제어가 취약하면 복원력이 더욱 저하됩니다.
CBEST 테스트 결과 일부 기업은 강력한 신원 관리 관행을 시행하지 않는 것으로 나타났습니다. 일반적인 문제가 포함됩니다:
- 비밀번호가 취약하거나 비밀번호 표준이 제대로 적용되지 않는 경우
- 일반 텍스트 파일을 포함한 안전하지 않은 비밀번호 저장소
- 필요 이상의 권한을 부여한 액세스 모델
관리자 및 서비스 계정에 대한 제어가 제대로 이루어지지 않아 공격자가 권한을 에스컬레이션하고 환경에 진입한 후 측면으로 이동하기가 더 쉬웠습니다.
이러한 결과는 신원 관리가 서류상으로는 존재하지만 실제로는 충분한 규율로 시행되지 않고 있음을 보여줍니다. 강력한 시행은 공격자가 초기 침해 후 어디까지 공격할 수 있는지 제한하는 데 도움이 됩니다.
네트워크 보안
네트워크 보안과 아키텍처는 분명한 취약점으로 부각되었습니다.
CBEST는 일부 기업이 중요 시스템 간에 효과적인 세분화가 부족하다는 사실을 발견했습니다. 개발 환경과 프로덕션 환경이 제대로 분리되어 있지 않은 경우가 많았습니다. 이로 인해 보안 침해가 비즈니스 운영에 미칠 수 있는 잠재적 영향이 증가했습니다.
탐지 및 대응
CBEST는 또한 엔드포인트 탐지 및 대응(EDR) 도구에 의존하는 조직에서 우려할 만한 패턴을 확인했습니다. CBEST는 적절하게 조정된 EDR을 통해 공격을 탐지하고 데이터 유출을 탐지하는 데 취약점을 발견하는 등 탐지의 공백을 발견했습니다. 비효율적인 네트워크 모니터링과 제한된 트래픽 검사로 인해 활동이 합법적인 트래픽에 섞여 들어가고 모니터링되지 않는 디바이스에서 아웃바운드 연결이 가능해졌습니다.
공격자는 인증 정보를 오용하고, 기본 제공 시스템 도구에 의존하며, 경고를 트리거하지 않고 네트워크를 가로질러 이동하는 방식으로 탐지를 피했습니다. 이는 네트워크 설계가 암묵적 신뢰를 지나치게 허용했기 때문에 가능했습니다.
네트워크 및 서비스 수준에서 최소 권한 제어를 제한적으로 사용하면 공격자가 접근할 수 있는 시스템 수가 증가합니다. 취약한 네트워크 모니터링과 제한된 트래픽 검사로 인해 문제가 악화되었습니다.
시뮬레이션에서 공격자는 정상적으로 보이는 트래픽 내에 활동을 숨기고 면밀히 모니터링되지 않는 시스템에서 아웃바운드 연결을 설정했습니다.
이러한 결과는 세분화와 최소 권한이 이론적으로 이해되는 방식과 실제 프로덕션 네트워크에서 시행되는 방식 사이에 차이가 있음을 시사합니다.
탐지 및 대응 기능도 CBEST 연습에 사용된 위협 모델과 일치하지 않았습니다. 알림을 제대로 조정하지 않은 기업은 공격을 조기에 탐지하는 데 어려움을 겪었습니다. EDR 구성이 취약하면 악의적인 행동과 데이터 유출에 대한 가시성이 떨어집니다. 네트워크 모니터링이 제대로 이루어지지 않으면 공격자가 합법적인 활동과 섞일 수 있습니다.
직원 문화 및 인식
또한 CBEST는 직원 문화, 교육 및 인식을 지속적인 약점으로 꼽았습니다.
직원들은 종종 소셜 엔지니어링에 취약했습니다. 자격 증명이 스프레드시트나 공유 파일 시스템과 같은 보안되지 않은 장소에 저장되는 경우가 많았습니다. 신원 확인이 제한된 헬프 데스크 프로세스를 통해 모의 공격자가 자격 증명을 획득하거나 오용하고 액세스 권한을 확장할 수 있었습니다.
진짜 문제: 억제되지 않은 측면 이동
한 가지 테마는 CBEST 결과에서 나타난 약점을 연결합니다. 침해 후 측면 이동을 억제할 수 있는 신뢰할 수 있는 방법이 부족합니다.
공격자는 자격 증명을 훔쳐 시스템 간에 이동합니다. 액세스 수준을 높였습니다. 대부분의 경우 탐지 도구가 비정상적인 활동을 포착하기 전에 이런 일이 발생했습니다.
네트워크가 평평하거나 거의 평평한 경우 공격자는 거의 저항에 직면하지 않습니다. 수비수에게 대응할 시간을 주는 지연 없이 빠르고 조용하게 움직일 수 있습니다.
바로 이 지점에서 위험이 체계화됩니다. 단일 사용자 계정 또는 서버가 중요한 서비스에 도달할 수 있는 경우 강력한 패치나 더 나은 경고로는 근본적인 설계 문제를 해결할 수 없습니다.
CBEST 2025는 ID, 인프라, 네트워크 설계, 모니터링, 직원 관행 전반의 격차가 어떻게 수평적 이동을 가능하게 하는지를 보여줍니다.
공격자가 네트워크 내부를 자유롭게 이동할 수 있게 되면 경계 방어와 사후 탐지만으로는 확산을 막거나 피해를 제한할 수 없습니다.
일루미오가 은행의 횡방향 이동 격차를 해소하는 방법
일루미오는 한 가지 분명한 이유로 CBEST 컨텍스트에서 작동합니다. 이는 규제 당국이 계속 발견하는 문제, 즉 공격자가 네트워크 내부에 들어가면 자유롭게 이동할 수 있다는 문제를 해결합니다.
CBEST에 따르면 조직은 ID 도구, 인프라 보안, 방화벽 및 모니터링에 많은 투자를 하고 있습니다. 그럼에도 불구하고 공격자들은 여전히 성공하고 있습니다. 이들은 시스템을 탐색하고 네트워크를 이동하며 진입 후 액세스를 확장합니다.
일루미오는 이러한 현실을 위해 만들어졌습니다. 제어가 가장 취약한 네트워크 내부에 강력한 경계를 설정합니다.
완벽한 ID 제어, 완벽한 패치 또는 완벽한 탐지에 의존하는 대신 Illumio는 설계적으로 움직임을 제한합니다. CBEST는 완벽주의가 실제 압력에 의해 유지되지 않는다는 것을 분명히 합니다.
일루미오가 돋보이는 이유는 다음과 같습니다.
1. 공격자가 어떻게 접근하든 측면 이동을 차단합니다.
자격 증명이 도난당하거나 멀티팩터 인증(MFA)이 우회되거나 디바이스가 손상된 경우, Illumio는 공격자가 첫 번째 시스템을 넘어서는 것을 방지합니다.
방화벽이나 ID 도구와 달리 Illumio는 다른 곳의 완벽한 구성에 의존하지 않습니다.
2. 네트워크를 재설계하지 않고도 세분화가 가능합니다.
많은 기업이 네트워크 기반 접근 방식이 느리고 위험하기 때문에 세분화를 구현하는 데 어려움을 겪는 것으로 나타났습니다.
Illumio는 네트워크 자체에서 세그먼테이션을 분리합니다. 조직은 VLAN, 방화벽 규칙 또는 네트워크 레이아웃을 변경하지 않고도 워크로드 간에 최소 권한 통신을 시행할 수 있습니다.
3. 내부 트래픽을 표시합니다.
↪cf_200D↩CBEST테스터는 종종 동서 방향 트래픽의 사각지대를 악용합니다. Illumio는 시스템이 실제로 어떻게 통신하는지에 대한 실시간 보기를 제공합니다. 이로 인해 공격자가 의존하는 숨겨진 종속성, 위험한 경로, 불필요한 신뢰가 노출됩니다.
4. 탐지에서 놓친 부분을 포함함으로써 EDR을 보완합니다.
엔드포인트탐지 및 대응(EDR) 도구는 개별 엔드포인트에서 악성 활동을 탐지하는 데 강력합니다. 하지만 유효한 자격 증명을 가진 공격자가 측면으로 이동하는 것을 막을 수는 없습니다.
Illumio는 공격자가 필요로 하는 경로를 차단하여 이 격차를 메웁니다. 엔드포인트 도구가 침해의 초기 징후를 놓치는 경우에도 Illumio는 작은 문제가 환경 전체로 확산되는 것을 방지합니다.
요컨대, 일루미오는 CBEST가 드러낸 구조적 약점을 직접적으로 해결합니다. 다른 컨트롤이 실패할 때 영향을 줄여줍니다.
CBEST는 오늘날 많은 기관이 얼마나 노출되어 있는지 보여줍니다. 일루미오는 이러한 노출을 극복할 수 있는 방법을 보여줍니다.
Illumio는 기존 보안 제어를 대체하지 않습니다. 이러한 한계를 보완합니다. 공격자가 다른 방어를 우회하거나 회피할 때, 일루미오는 환경이 유지되도록 합니다. 침해 사실을 포함하고, 피해를 제한하며, 복구를 지원합니다.
검증된 복원력이 침해 차단에 달려 있는 이유
CBEST를 처음부터 끝까지 읽으면 명확한 패턴이 드러납니다. 금융 시스템의 대부분은 입증된 복원력이 아니라 보안 제어가 계획대로 작동할 것이라는 가정에 의존합니다.
CBEST는 규제 기관이 보안이 측정 가능하고 테스트 가능하며 시스템 설계에 내장되어야 한다는 점을 분명히 합니다. 취약성이라는 단어가 직접적으로 언급되지는 않았지만, 보고서 전반에 걸쳐 취약성을 지적하고 있습니다.
결국 메시지는 간단합니다. 유출 봉쇄는 이러한 위험을 해결할 수 있는 유일한 실질적인 방법입니다.
일루미오 인사이트 무료 살펴보기 를 통해 CBEST가 지속적으로 발견하는 보안 문제를 공개합니다.
.webp)
.webp)
