컴플라이언스 인사이트: 측면 이동을 차단하고 권한 확인을 강화하는 방법

규제 기관이 공격자의 선택지를 제한하기 위해 다음과 같은 기대치를 명확히 제시하고 있다는 점은 어찌 보면 당연한 일입니다.

• GDPR(General Data Protection Rule): 제32조 — 리스크에 적합한 보안 수준을 확보하기 위해 네트워크 세그멘테이션 등 통제 조치를 포함한 기술적 및 기업적 조치를 구축해야 합니다.

• PCI DSS(Payment Card Industry Data Security Standard) v4.0: 요구사항 1 - 신용카드 소지자의 데이터를 보호하기 위해 방화벽을 구축하고, 방화벽이 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 연결을 제한하도록 설정해야 합니다.

• ISO/IEC(International Organization for Standardization/International Electrotechnical Commission) 27001 — 정보 및 데이터 처리 시설을 분리해 정보의 기밀성, 무결성, 가용성을 보호해야 합니다.

오늘날의 공격 표면은 넓어졌을 뿐만 아니라 훨씬 깊어졌으며, 이는 기업이 혁신을 서두르는 과정에서 생겨난 복잡한 레이어로 구성되어 있습니다. 여기에는 여러 개의 클라우드 환경, 빠르게 생성되는 컨테이너, 데이터로 연결되는 수천 개의 API, 민감한 정보에 자율적으로 접속하고 이를 배포하는 AI 애플리케이션 등이 포함됩니다. 

이 모든 레이어는 취약점을 내포하고 있으며, 공격자가 감염된 네트워크 내에서 자유롭게 이동하고 민감한 데이터나 지식 재산에 무단으로 접속할 수 있는 기회를 제공합니다. 적절한 설정과 최소 권한 원칙을 적용하지 않으면 자산은 인증정보 도용 및 권한 상승 공격에 취약해집니다.

기업은 측면 이동, 데이터 유출, 막대한 벌금으로 이어질 수 있는 보안 취약점을 식별하고 해결해야 합니다. 위협 헌팅 및 행동 애널리틱스 등의 보안 관행을 활용하면 사용자의 이상 행동이나 잠재적 공격을 탐지하고, 지능형 지속 위협에 한 발 앞서 대응할 수 있습니다.

컴플라이언스 시리즈의 이전 블로그 게시물에서 규제 요구사항을 충족하는 데 필요한 제어 항목과 툴을 구성하는 과정에 계층형 보안 사고방식을 적용해야 한다는 점을 강조한 바 있습니다. 

예를 들어, 귀사의 규제가 리스크 평가를 요구한다면, 계층형 보안 사고방식에서는 다음과 같은 질문을 던져야 합니다. "하나의 보안 레이어가 실패하더라도 이를 보완할 수 있는 다른 레이어를 어떻게 추가할 수 있을까?" 

이번 게시물에서는 측면 이동 공격을 식별, 차단, 예방하기 위한 보안 레이어와 함께 인증 및 권한 확인 통제 기능을 강화하는 방법을 살펴보겠습니다.

일반적인 기업의 IT 자산은 단순히 규모만 확장된 것이 아니라, 새로운 구성요소와 레이어가 추가되었으며, 다른 기업의 IT 자산과도 가상으로 연결되는 구조로 발전했습니다. 규제 당국은 이러한 변화로 인한 리스크를 추적하는 데 어려움을 겪고 있습니다. 

예를 들어, EU는 2023년 1월에 NIS2(Network and Information Security) 지침을 개정해 기존 NIS2 지침을 확대했습니다. 하지만 AI의 급속한 발전으로 인해 불과 2년 만에 기업의 비즈니스 운영 방식과 공격자가 기업의 AI 혁신을 공격하는 방식 모두에 대대적인 변화가 생겼습니다. 

LLM 프롬프트 주입, AI 데이터 유출 등 새로운 위협이 등장하면서 IDC가 2028년까지 6320억 달러에 이를 것으로 전망한 글로벌 AI 투자가 위협받고 있습니다. 이러한 최신 공격 기법은 NIS2, GDPR, PCI-DSS v4.0과 같은 개정된 규정에는 아직 명시적으로 포함되지 않았을 수 있습니다. 하지만 유출은 유출이며, 규정 미준수에 따른 벌금은 피할 수 없습니다. 

API 보호도 예외는 아닙니다. 고객, 파트너, 공급업체가 기업과 디지털로 상호작용할 때마다 그 이면에는 데이터를 빠르게 주고받는 API가 존재합니다. 과거에는 복잡한 공격 경로를 기획하던 사이버 범죄자들도 이제는 API를 표적으로 삼아 공격 계획을 간소화할 수 있다는 것을 깨달았습니다.

예를 들어, 공격자는 API 요청에서 오브젝트 ID를 조작해 BOLA(Broken Object Level Authorization)에 취약한 API 엔드포인트를 악용할 수 있습니다. 이 취약점은 공격자가 네트워크 내에서 측면 이동을 하도록 허용해 권한 확인을 우회하고, 권한을 상승시켜 고객 데이터에 접속할 수 있게 만듭니다. 

BOLA는 일반적으로 비즈니스 로직 취약점에서 발생하며, 많은 경우 잘못 설정된 권한 확인 검사가 원인입니다. 2024 API 보안 영향 연구에 따르면, 조사에 참여한 애플리케이션 보안 전문가들은 API 보안 인시던트의 원인으로 설정 오류를 가장 많이 지목했습니다. 

API 보안 체계를 강화해 측면 이동을 제한하고, 악성 활동을 방어하며, 진행 중인 공격을 강력한 권한 확인 관리로 대응하기 위해 다음과 같은 모범 사례를 따르세요.

• 사용자가 일반적으로 접속하는 리소스와의 관계를 명확히 설정하세요. 예를 들어, 머신 러닝 알고리즘을 통해 비정상 접속 패턴을 탐지할 수 있는 행동 기준선을 설정할 수 있습니다.

• API 상에서 정상적인 활동과 의심스러운 활동을 구분할 수 있는 런타임 보호 기능을 구축하세요.

• 기존 스택에 API 보안 솔루션을 통합해 의심스러운 행동에 대응하세요. 이 솔루션은 고위험 행동을 탐지하고, 의심스러운 트래픽이 중요 자산에 접속하기 전에 이를 차단할 수 있어야 합니다.

이러한 API 보안 모범 사례는 기업, 정부 기관, HIPAA 규제를 받는 헬스케어 기관 등 어떤 기업이든 사이버 안정성과 규제 컴플라이언스를 동시에 달성하는 데 효과적입니다.

사이버 보안팀이 새로운 규제를 충족하기 위해 통제 조치를 마련하는 과정에서, 이미 어려운 보안 취약점이 규제 미준수로 이어질 수 있다는 사실은 상당히 좌절감을 줄 수 있습니다. 예를 들어, 2025년 1월에 시행된 DORA(Digital Operational Resiliency Act)에서는 강력한 네트워크 보안 통제를 통해 ICT(정보통신기술)를 보호할 것을 명시하고 있습니다. 이 요구사항은 해당 금융 기관뿐만 아니라 그들이 ICT 시스템과 서비스를 사용하기 위해 의존하는 써드파티에도 적용됩니다.

앞서 DORA가 리스크에 대한 가시성을 높일 것을 요구한다는 점을 살펴보았습니다. 이번에는 네트워크 가시성을 개선하는 것이 어떻게 공격자의 이동성을 제한하는 데 기여하는지 살펴보겠습니다. 

구체적으로 DORA는 사이버 공격이 발생했을 때 영향을 받은 자산을 자동 격리하는 기능을 포함해, 리스크 기반 접근 방식에 따라 안정적인 네트워크 및 인프라 관리를 구축할 것을 명시하고 있습니다. 또한 DORA는 랜섬웨어 공격과 같은 사이버 위협의 확산을 방지하기 위해 즉각적인 세그멘테이션을 가능하게 하는 네트워크 연결을 설계하도록 요구합니다. 

하지만 Akamai가 만난 많은 보안팀은 네트워크 통신에 대한 실시간 가시성을 확보하지 못하고 있으며, 시스템에 침투한 공격자의 측면 이동이나 멀웨어 등의 위협 확산을 나타내는 신호를 제대로 포착하지 못하고 있는 실정입니다. 이는 온프레미스와 클라우드 구성요소가 혼합된 복잡한 IT 환경에서는 특히 어렵습니다.

많은 사이버 보안팀이 네트워크를 더 작은 분리된 세그먼트로 나누는 기본적인 세그멘테이션 통제 조치를 구축해 왔습니다. 각 세그멘트는 독립적으로 운영되며 세그멘트 간의 접근은 통제됩니다. 목표는 공격 표면을 줄이고 위협의 확산을 제한하는 것입니다.

Akamai는 소프트웨어 정의 마이크로세그멘테이션을 통해 이 접근 방식을 한 단계 더 발전시키는 것을 권장합니다. 

사이버 보안팀은 마이크로세그멘테이션으로 네트워크 내부에 더 작고 세분화된 세그먼트를 생성할 수 있습니다. 각 마이크로세그먼트에는 최소 권한 원칙과 같은 고유한 보안 정책과 접속 제어가 적용되어 악성 네트워크 트래픽을 탐지, 격리, 차단할 수 있습니다. 

예를 들어, 보안팀은 적절한 마이크로세그멘테이션 툴을 사용하면 애플리케이션 간 또는 애플리케이션과 시스템과의 상호작용을 차단하고, 세그멘테이션하고, 제한하는 정책을 수립할 수 있습니다. 명확한 경계 내에서 자산을 격리하면 기업은 다음과 같은 이점을 얻을 수 있습니다.

• 멀웨어나 감염된 애플리케이션에 의해 악용될 수 있는 취약점을 방어할 수 있으며, 이는 DORA와 같은 규정에서 주요 위협으로 지목된 바 있습니다. 

• 또한, 보안 조치에 대한 정기적인 감사 및 문서화를 요구하는 규제를 준수하기 위해 필요한 보고 절차의 복잡성을 줄일 수 있습니다.

랜섬웨어 및 기타 일반적인 사용 사례에 대응할 수 있도록, 프로세스, 사용자, 도메인 이름 등 정확한 워크로드 속성을 기반으로 AI가 추천하는 템플릿을 제공하는 보안 툴을 찾아보세요. 제로 트러스트 아키텍처와 결합하면, 이러한 보안 툴은 사용자 계정이나 자산에 관계없이 더 강력한 권한 확인 및 접속 제어를 보장할 수 있습니다.

Akamai는 데이터 보안 규정을 준수하기 위해서는, 기업이 공격 표면의 모든 레이어를 보호하고자 계층형 보안 전략을 구축하는 방식과 크게 다르지 않은 접근이 필요하다고 봅니다. 

이 블로그 시리즈에서는 레거시 네트워크 보안 툴과 같은 기존 기법을 넘어 오늘날 규제 당국이 요구하는 사항과 직접적으로 연결된 일반적인 컴플라이언스 과제와 모범 사례를 살펴보았습니다. 결국, 우수한 보안 체계는 더 강력한 컴플라이언스 프로그램으로 이어질 수 있습니다. 향후 게시물에서 기업 보안과 규제 요구사항 충족 간의 연관성을 더 다룰 예정입니다.