침해 차단을 최우선으로 하는 제로 트러스트 전략을 구축하는 방법

제가 처음 사이버 보안 업무를 맡은 것은 2001년이었으며, 그 이후로 여러 다른 공급업체와 다양한 역량으로 일해 왔습니다. 침해 방지를 위한 노력, 즉 공격자를 경계에서 차단하고 취약점을 패치하며 악의적인 공격자가 기업 네트워크에 접근하지 못하도록 막아야 한다는 점은 분명했습니다.

20년이 지난 지금, 점점 더 정교해지는 공격자, 공급망 위험, 내부자 위협, 제로데이 취약점으로 인해 가장 성숙하고 양심적인 조직도 성공적인 침해에 직면하게 될 것입니다.  

예방을 우선시하는 사고방식은 수십 년 동안 전체 보안 산업을 형성해 왔습니다. 한동안은 그것으로 충분했지만 더 이상은 그렇지 않습니다.

제로 트러스트 보안 모델을 사용하면 예방만큼이나 침해 차단에 우선순위를 두어야 합니다. 하지만 이를 달성하는 길이 항상 간단한 것은 아닙니다.

그렇다면 어디서부터 시작해야 할까요? 이 글에서는 예방에서 봉쇄로 전환하는 것이 왜 중요한지 설명하고 탐지 및 대응, 마이크로세그멘테이션, 세분화된 가시성을 기반으로 하는 봉쇄 전략을 구축하는 데 도움이 되는 간단한 체크리스트를 제공하고자 합니다.

예방만으로는 부족한 이유

기존의 사이버 보안 모델은 공격자를 차단한다는 단순한 전제를 바탕으로 구축되었습니다. 이는 네트워크 경계에 초점을 맞춘 보안 전략이었습니다. 오늘날에는 정교한 위협과 방대한 환경으로 인해 악의적인 공격자들이 계속해서 경계를 넘나들고 있습니다.

보안팀은 여전히 가능한 모든 것을 차단해야 하며, 예방은 모든 최신 보안 전략에서 여전히 중요한 부분입니다. 그러나 보안 리더들은 점점 더 완벽한 제어는 없으며, 완벽한 취약성 데이터베이스도 없고, 완벽한 교육을 받은 사용자도 없다는 사실을 인식하고 있습니다.  

모든 컨트롤은 결국 실패합니다. 그렇기 때문에 오늘날 사이버 보안은 예방과 봉쇄를 별개의 전략이 아니라 동전의 양면과 같이 생각해야 합니다.

사이버 보안의 새로운 북극성, 침해 차단

진정한 과제는 공격자를 차단하는 것뿐만 아니라 불가피하게 공격자가 침입하더라도 그 영향이 제한되도록 하는 것입니다.  

격리 기능은 더 이상 '있으면 좋은 것'이 아닙니다. 이는 사이버 재해와 관리 가능한 인시던트를 구분하는 필수 기능입니다.  

전 세계 랜섬웨어 비용 연구에서 포네몬 연구소는 이 점을 입증했습니다. 이 보고서는 "사이버 보안 통제가 모든 공격을 막을 수는 없으므로 억제 및 대응 전략도 똑같이 중요합니다."라고 지적했습니다.

IDC의 리서치 매니저인 피트 파이널레도 이에 동의합니다: "경계를 확보하는 것만으로는 더 이상 지속적인 비즈니스 운영을 보장할 수 없으며, 봉쇄를 우선시하는 조직이 영향을 최소화할 수 있는 최선의 위치에 있습니다. 측면 이동을 제한하고 공격의 폭발 반경을 줄임으로써 봉쇄는 '있으면 좋은' 기능에서 제로 트러스트와 기업 복원력의 필수 구성 요소로 진화했습니다."  

오늘날의 위협 환경에서 침해 예방과 차단은 동전의 양면과 같으며, 조직은 악의적인 공격자들보다 앞서 나가기 위해 이 두 가지를 우선순위에 두어야 합니다.

제로 트러스트에는 봉쇄가 필요합니다

불길이 번지는 것을 막기 위해 방화문과 스프링클러 시스템이 설계된 건물과 달리 기업 네트워크에는 공격자가 침입하면 피해를 최소화하고 이동을 중단할 수 있는 제어 기능이 내장되어 있어야 합니다.  

이는 제로 트러스트 프레임워크와 일치하며, 조직이 보안 침해가 불가피하다고 가정하고 엄격한 액세스 제어와 세분화를 통해 그 영향을 줄이는 데 집중하도록 장려합니다.

제로 트러스트 프레임워크의 기본은 마이크로세그멘테이션으로, 봉쇄를 시행할 수 있는 실용적인 솔루션을 제공합니다.  

보안팀은 자산을 매핑하고 중요 시스템을 세분화하여 실시간으로 위협을 격리하고 공격자가 측면으로 이동하는 것을 방지할 수 있습니다.  

탐지, 격리 및 복구에 대한 NIST 제로 트러스트 아키텍처 및 CISA 제로 트러스트 성숙도 모델 지침에 따라 격리 전략을 조정하세요. 이러한 프레임워크는 사용자 환경에 고유한 제로 트러스트 전략을 구축하기 위한 구조화된 증거 기반 접근 방식을 제공합니다.

제로 트러스트는 침해 억제를 핵심 설계 원칙으로 삼아 침해가 시작되기 전에 모든 침해가 차단되도록 합니다.

제로 트러스트 침해 차단을 위한 빠른 시작 체크리스트

침해 차단에 우선순위를 둘 준비가 되었지만 어디서부터 시작해야 할까요?

다음은 탐지 및 대응, 마이크로세그멘테이션과 같은 도구를 사용하여 격리 전략을 구현하려는 조직을 위한 간단한 체크리스트입니다:

1. 현재 환경을 이해합니다. 중요한 자산, 데이터 흐름, 네트워크 종속성을 매핑하세요. 공격자가 네트워크를 통해 측면으로 이동할 수 있는 고가치 표적과 잠재적 경로를 식별합니다. ‍
2. 마이크로세그멘테이션을 계획하세요. 위험 및 비즈니스 기능에 따라 세분화 정책을 정의하세요. 민감한 데이터 영역과 권한이 있는 시스템 등 영향력이 큰 영역부터 시작하세요. 네트워크 세그먼트 간에 최소 권한 액세스를 시행합니다. ‍
3. 탐지 및 대응 도구를 배포합니다. 클라우드, 엔드포인트, 네트워크, ID 탐지 및 대응 도구(CDR, EDR, NDR, XDR)를 사용하기 시작하세요. 알림을 중앙 집중식 모니터링 또는 보안 정보 및 이벤트 관리(SIEM) 플랫폼에 통합하세요. ‍
4. 인시던트 대응을 위한 플레이북을 수립하세요. 세그먼트 격리 또는 자격 증명 해지와 같은 위반을 포함할 트리거를 정의합니다. 신속한 조치를 사전 승인하여 인시던트 발생 시 의사 결정 지연을 줄이세요. ‍
5. 테스트 및 최적화. 모의 침해 시나리오를 실행하여 세분화 및 대응 워크플로우를 검증하세요. 조사 결과를 바탕으로 정책과 탐지 규칙을 지속적으로 개선하세요.

이러한 단계를 따르면 팀은 공격에 대한 대응에서 공격 차단으로 전환하여 제로 트러스트를 목표에서 일상적인 관행으로 전환할 수 있습니다.

마이크로세그멘테이션이 침해 차단 프로젝트의 초점이 되어야 하는 이유

오늘날 가장 치명적인 침해 사고는 하나의 손상된 시스템으로 인해 발생하는 것이 아닙니다. 공격자가 측면으로 이동하여 첫 번째 거점을 악용하여 더 중요한 표적에 도달할 수 있기 때문에 이런 일이 발생합니다.

봉쇄의 핵심은 공격의 폭발 반경을 제한하는 개념입니다. 악의적인 공격자가 단일 엔드포인트 또는 애플리케이션에 침투하는 경우, 이것이 본격적인 비즈니스 중단으로 이어질 필요는 없습니다.  

워크로드, 애플리케이션, 환경 간에 세분화된 세분화를 적용함으로써 조직은 한 영역에서 침해가 발생해도 다른 모든 자산이 자동으로 위험에 처하지 않도록 할 수 있습니다.  

바로 이 부분에서 마이크로세그멘테이션이 큰 차이를 만들어냅니다.  

마이크로세그멘테이션은 측면 이동을 막는 열쇠입니다.

기존의 경계 방어와 달리 마이크로세그멘테이션은 서버, 클라우드, 데이터 저장소 등 환경 전반에 걸쳐 심층적인 가시성과 제어 기능을 제공합니다. 보안팀은 이러한 기술을 사용하여 네트워크 내부에 침투한 공격자의 주요 목표인 무단 측면 이동을 신속하게 방지하는 정책을 수립할 수 있습니다.  

이 접근 방식을 사용하면 단호한 적도 통제된 영역에 갇히게 됩니다.

마이크로세그멘테이션으로 침해 대응 속도 향상

마찬가지로 중요한 것은 마이크로세그멘테이션을 통한 침해 봉쇄가 침해 대응을 가속화한다는 점입니다.  

랜섬웨어의 글로벌 비용 연구에서 설문 응답자의 58%(% )가 랜섬웨어 공격으로 인해 비즈니스 운영을 중단했다고 답했습니다. 평균 종료 시간은 12시간이었습니다.  

인시던트가 발생하면 조직은 마이크로세그멘테이션을 사용하여 거의 실시간으로 손상된 시스템을 격리하여 보안팀이 침해 사고를 조사하는 동안 확산을 막을 수 있습니다.  

이렇게 신속하게 대응할 수 있는 능력은 공격으로 인한 잠재적 피해의 규모를 제한할 뿐만 아니라, 공격으로 인해 발생할 수 있는 피해를 최소화합니다. 또한 비즈니스에 중요한 시스템이 복원력과 가용성을 유지할 수 있도록 보장합니다.

예방과 봉쇄의 균형 맞추기

제가 커리어를 시작한 이래로 기술은 거의 기하급수적으로 발전했고, 이야기는 크게 바뀌었습니다.  

사이버 보안의 미래에는 균형이 필요합니다. 조직은 강력한 예방 조치에 지속적으로 투자해야 하지만, 철통 같은 방어는 없다는 사실을 인식해야 합니다.  

유출 봉쇄는 잠재적 위기를 관리 가능한 이벤트로 전환하는 데 필요한 퍼즐의 한 조각입니다.  

이제는 예방에만 집중하는 사고방식에서 벗어나야 할 때입니다. 탐지 및 대응, 마이크로세그멘테이션, 가시성, 사고 대응 통합에 투자하여 침해 차단을 미션으로 삼으세요.  

보안 침해가 재앙이 될 때까지 기다리지 마세요.  

지금 바로 격리 기능을 평가하고 보안 전략을 최신 보안 프레임워크에 맞게 조정하여 오늘날의 위협 환경의 현실을 해결하세요.

조직이 탐지 및 대응, 마이크로세그멘테이션, 가시성을 결합하면 두 가지 장점을 모두 누릴 수 있습니다. 제로 트러스트 원칙에 기반한 이러한 최신 격리 전략은 대부분의 공격을 예방하고 예방이 불충분한 경우 나머지 공격이 확산되는 것을 막는 데 도움이 됩니다.