사이버 공격 체인의 모든 단계에서 공고한 네트워크 기반 방어 구축해야

오늘날의 위협 환경에서 네트워크 트래픽 가시성의 중요성은 아무리 강조해도 지나치지 않습니다. 2024 맨디언트(Mandiant) M-트렌드 특별 보고서에 따르면 2023년 공격자의 네트워크 내에 평균 체류 시간은 10일이었으며, 설상가상으로 랜섬웨어가 초기 단계에서 탐지되지 않는 경우 최초 침입 시점부터 몸값 요구까지 평균 5일 밖에 걸리지 않는 것으로 나타났습니다. 위협이 점점 더 정교해지고 널리 퍼지고 있기 때문에 조직은 네트워크 인프라를 통해 흐르는 트래픽을 명확히 파악하여 방어 체계를 강화하는 것이 중요합니다.

​

네트워크 트래픽에 대한 통합적인 가시성을 확보함으로써 조직은 보안 위험을 식별 및 완화하고, 성능을 향상시키며, 규정을 준수할 수 있습니다. 이러한 보안 기본 사항에 대해 자세히 알아보려면 웨비나 '사이버 보안 기본 사항'을 확인하세요: 강력한 방어 구축” 웨비나를 참조하세요.

​

종합적인 네트워크 트래픽 가시성 확보가 중요한 이유중 하나는 보안 위협을 실시간으로 탐지하고 대응할 수 있다는 점입니다. 종방향 이동(North-South), 측면 이동(East-West), 암호화-복호화, 인그레스-이그레스(ingress-egress), IoT-OT 등 모든 형태의 네트워크 트래픽을 모니터링함으로써 조직은 보안 사고를 노출시킬 수 있는 비정상적인 패턴이나 이상 징후를 조기에 식별할 수 있습니다. 이러한 사전 예방적 접근 방식을 통해 위협을 완화하고 조직에 미치는 영향을 최소화하기 위해 적시에 조치를 취할 수 있습니다.

그림 1은 데이터 유출 시나리오의 공격 진행 과정과 포괄적인 네트워크 트래픽 가시성이 여러 단계에서 위협의 존재를 더 빠르게 확인하는 방법을 보여줍니다:

​

그림 1: 데이터 유출 시나리오의 공격 진행 과정.
 

1. 초기 단계 엑세스 접근: 위협 행위자가 초기 액세스 권한을 얻습니다. 예를 들어 피싱 캠페인으로 시작될 수 있습니다. 이 시점에서는 보안팀이 인시던트의 영향을 줄이기 위해 시간과의 싸움을 벌여야 합니다. 효과적인 위협 차단을 위해서는 초기 손상된 디바이스, 공격 소스, 침입 시간 등 초기 접속 아티팩트를 신속하게 확인하는 것이 중요합니다.

​

기가몬은 모든 방향의 네트워크 트래픽과 애플리케이션 수준 데이터에 대한 즉각적인 가시성을 제공하는 SIEM과 같은 보안 툴을 지원하므로 SIEM은 사용된 프로토콜과 포트, 트래픽의 소스 및 대상, 타임스탬프가 포함된 상세한 메타데이터를 통해 의심스러운 네트워크 트래픽 배후의 비정상적인 트래픽 패턴과 애플리케이션을 빠르게 탐지할 수 있습니다.

​

2. 측면 이동: 공격자가 초기 접속을 확보하면 일반적으로 세션 하이재킹, 원격 서비스 익스플로잇, 측면 툴 전파 등의 측면 이동 기법을 통해 추가적인 정찰 활동을 시작하여 공격자의 활동 영역을 확장합니다. 또한 지능형 공격자는 트래픽 내에서 측면 이동 기법을 위장하기 시작할 수 있으며, 이 단계를 완료하기 위해 암호화된 트래픽을 활용하는 것이 일반적입니다.

​

침투에 성공한 후 공격자는 자신의 발자취를 감추고 환경에서 탐지되지 않고 존재감을 확장하기 위해 어떤 로그를 변조해야 하는지 알고 있습니다.

​

기가몬은 모든 방향(인그레스-이그레스, 종방향(North-South), 측면 (East-West)의 네트워크 트래픽(암호화 및 비암호화)에 대한 가시성을 통해 탐지 시간을 단축할 수 있도록 지원합니다. 기가몬은 암호 해독에 대한 부하를 덜어주므로 NDR과 같은 보안 툴이 활성 연결을 더 효과적으로 파악하여 RDP 오용과 같은 기술을 노출하고 암호화된 트래픽 내에서도 침입자가 숨을 곳이 없도록 합니다.

​

3. 커맨드 및 제어: 이 단계에서 공격자는 궁극적인 데이터 유출 목표에 가까워지고 있습니다. 공격자의 주요 목표는 이러한 채널을 구축하고 가능한 한 탐지되지 않는 것입니다.

​

기가몬은 모든 네트워크 트래픽에 대한 가시성을 통해 명령 및 제어 채널을 노출할 수 있도록 지원합니다. 이를 통해 NDR 툴은 비표준 포트로의 트래픽, SMB 또는 DNS를 악용하는 프로토콜 터널링, 공격적인 원격 접속 툴의 프로그래밍 트래픽 패턴과 같은 고급 위장 기술을 보다 신속하게 노출할 수 있습니다.

​

또한, 기가몬은 위에서 간략하게 언급한 또 다른 큰 문제인 보안이 로그에만 의존하는 경우 로그가 스푸핑될 수 있다는 점을 염두에 두고 단일 소스를 통해 문제를 해결합니다. 네트워크의 탐지는 위협 행위자가 보안 제어를 비활성화하거나 회피하는 경우 독립적인 실제 소스를 제공합니다.

​

4. 유출: 공격 진행의 마지막 단계로, 다크웹과 같은 곳으로 데이터가 유출되기 시작하면 조직에 큰 피해를 입힐 수 있는 단계입니다. 일부 공격은 매우 잘 조직화되어 있어 보안팀이 데이터 유출을 발견하는 데 수개월이 걸릴 수도 있습니다.

​

기가몬은 네트워크에서 아웃바운드 및 래터럴 트래픽, 프로토콜, 포트, 애플리케이션에 대한 가시성을 확보하여 예약 전송, 대체 프로토콜, 클라우드 스토리지 리소스에서의 유출과 같은 고급 유출 기법을 노출함으로써 이러한 위협을 보다 효과적으로 발견할 수 있는 보안 툴을 제공합니다.

​

네트워크 트래픽 가시성은 보안 및 성능상의 이점 외에도 업계 규정 및 표준 준수를 보장하는 데 중요한 역할을 합니다. 네트워크를 통해 흐르는 트래픽을 명확하게 파악함으로써 조직은 민감한 데이터를 보호하고 네트워크 인프라의 무결성을 유지하는 데 필요한 조치를 취하고 있음을 입증할 수 있습니다.

​

조직은 네트워크 트래픽 가시성을 통해 어떻게 방어역량을 강화할 수 있을까요?

가시성은 모든 보안 프로그램의 기본 요소입니다. 가장 먼저 권장되는 단계는 네트워크를 통과하는 모든 유형의 트래픽에 대한 종합적인 인사이트를 실시간으로 제공하는 인프라에 투자하는 것입니다. 보안 솔루션은 가시성이 확보되어야만 제대로 된 성능을 발휘할 수 있습니다.

​

또한 조직은 암호화와 같은 보안 모범 사례를 우선적으로 구현하여 민감한 데이터가 네트워크를 통과할 때 보호되도록 해야 합니다. 따라서 네트워크 인프라가 유연하고 필요에 따라 네트워크 트래픽을 복호화할 뿐만 아니라 암호화 및 재암호화할 수 있는지 확인해야 합니다.

 

결론적으로 네트워크 트래픽 가시성은 오늘날의 세계에서 강력한 방어 전략의 핵심 요소입니다. 네트워크 트래픽에 대한 포괄적인 인사이트를 확보함으로써 조직은 보안 도구를 효과적으로 활용하여 보안 위협을 선제적으로 식별 및 완화하고, 성능을 최적화하며, 규정을 준수할 수 있습니다. 올바른 네트워크 트래픽 인프라, 보안 도구, 모범 사례를 갖춘 조직은 끊임없이 진화하는 위협 환경을 견딜 수 있는 강력한 방어 태세를 구축할 수 있습니다.