[보안] 2024년 보안 기술 트렌드 A to Z 분석 : NCP 보안 아키텍처 구성하기
2024년을 맞이하여 주요 기관과 기업에서 사이버보안 기술 트렌드를 발표하였습니다.
이러한 트렌드에 맞춰 네이버 클라우드 플랫폼에서 제공하는 서비스를 어떻게 활용할 수 있을지, 보안과 관련된 직무나 업무적 연관성이 없었던 분들께서도 쉽게 이해하여 실제로 활용할 수 있도록 그 방법을 소개하고자 합니다.
이번 포스팅에서는 요즘 주목받고 있는 사이버보안 트렌드는 어떤 것이 있으며, 주요 트렌드에 따라 NCP 아키텍처를 어떻게 구성해야 하는지, 실제 서비스 사용 예시까지 포함하여 주요 주제별로 설명해 드리겠습니다.
2024년 Security Trends
글로벌 연구 조사 기업인 Gartner, 미국보안산업협회인 SIA, 사이버 보안 업계 글로벌 업체인 Paloalto Networks와 Trend Micro에서 2024년 주목해야 할 보안 기술 트렌드를 발표하였습니다.
다양한 보안 기술이 포함되었는데요, 이 중에서도 공통으로 언급되고 있는 주의 깊게 봐야 할 트렌드가 있습니다.
▶ AI 보안 (AI TRiSM) — 2023년 10대 전략 기술에 이어 2년 연속 선정된 기술로 AI 기술의 사용이 보편화됨에 따라 적용의 필요성이 더욱 커지고 있는 프레임워크 입니다. AI 모델의 거버넌스, 신뢰, 공정, 효율, 개인정보보호 등과 같은 신뢰성을 지원하고 실제로 이것을 실현하는 정책이나 프레임워크를 의미합니다.
▶ 지속적인 위협 노출 관리 (CTEM) — 기업의 디지털 및 물리적 자산에 대한 접근성이나 노출 및 악용 가능성을 지속적으로 평가할 수 있도록 지원하는 프레임워크 입니다. 역시 Gartner에서 주목하고 있는 프레임워크로 볼 수 있습니다.
▶ SW 공급망 공격 — 기업의 제품이나 서비스를 제공하는 데에 필요한 소프트웨어와 같은 공급망 시스템에 침투하여 해킹하는 것을 소프트웨어 공급망 공격이라 합니다. 대표적으로 개발하는 소프트웨어에 악성코드나 해킹 도구를 숨겨두는 방식이 있습니다. 과거에도 현재에도 만연한 기술로 초기 대응이 어려워 철저한 사전 예방이 필요한 부분입니다.
국내 주요 기관에서도 2024년 주요 보안 기술 트렌드를 발표하였습니다.
과학기술정보통신부와 한국인터넷진흥원 그리고 사이버 위협 인텔리전스 네트워크가 함께 사이버 위협에 대한 선제적 예방 및 대응체계 강화를 위한 보도 자료를, 금융보안원에서는 2024년에 발생할 수 있는 이슈와 그에 대한 선제적 대응방향을 제시하는 2024년 디지털금융 및 사이버 보안 이슈 전망을 발표하였습니다.
SW 공급망, AI를 악용한 보안 위협 등 역시 글로벌 트렌드와 비슷한 기술이 포함된 것을 확인할 수 있습니다.
그렇다면, 국내외에 발표된 트렌드 중 계속 언급될만큼
중요한 기술 트렌드는 어떤 것이 있었을까요?
지속해서 언급되었던 항목들을 2024 핵심 Security Trends로 지정해 분석하였습니다.
첫 번째 핵심 Security Trends는 바로 ‘AI 보안’입니다.
살펴본 내용에 따라 국내외 기관과 기업에서는 AI 기반 애플리케이션이 증가하고 기반 시스템의 적용이 확산됨에 따라 생성형 AI를 포함한 AI 기술은 더욱 확산될 것으로 봤습니다. 하지만, 기술의 확산에 따라 피싱 이메일 작성, 악성코드 생성, 불법 컨텐츠 증가 등 AI를 악용한 사이버 공격도 증가하게 될 것이라 하였는데요,
그렇다면 AI 보안 위협에 대응할 수 있는 방안은 어떤 것이 있을까요?
이러한 위협을 완화하기 위해 다음과 같은 방법이 제시되었습니다.
먼저 기술적 측면으로,
▶ 신뢰할 수 있는 시스템을 바탕으로 안전한 생성형 AI 설계 및 구현이 이뤄져야 하며 이를 실현하게 위해 기업은 AI TRiSM 프레임워크 적용을 검토해야 할 것입니다.
▶ 안전한 AI 시스템이나 애플리케이션은 개발하였다고 하더라도 사용된 모델과 학습 데이트에 대한 투명성과 무결성은 충분히 보장되어야 합니다.
▶ 전 프로세스에 걸친 상태 및 보안 모니터링은 기본 전제로 적용되어야 하고 추가적으로 사이버 공격에 대응할 수 있는 고도화된 보안 기능 적용이 필요할 것 입니다.
정책적 측면도 함께 제시되었습니다.
▶ 빠르게 확산되는 기술만큼 컴플라이언스 요건도 빠르게 파악하여 해당하는 법률을 준수해야 합니다.
▶ AI 기술 개발 프로젝트 수명주기에 대한 세부적이고 적합한 내부 정책이 수립되어야 하며, 관련 담당자들에 대한 충분한 교육이 마련되어야 합니다.
두 번째 핵심 Security Trends는 ‘Supply Chain에 대한 보안’입니다.
소프트웨어 공급망 공격의 대상이 점차 확대되고 있으며, 소프트웨어 구성 요소, 유명 오픈소스 커뮤니티, ID 관리 시스템의 저장소 등으로 공격자들의 표적이 다양화되고 있습니다. 공격자들이 개발자 시스템에 장악해 지능적이고 지속적인 공격(APT)을 통해 내부에 침투하여 구성 요소나 그 제품에 악성 코드를 쉽게 포함하고 있다고 합니다.
하지만, 초기에 이러한 공격을 탐지하고 대응하는 것은 여전히 어려우며, 앞으로도 어려울 것이라고 예측되었습니다. 악성코드가 포함된 제품이 배포된다면, 이것을 이용하는 기업이나 사용자는 별도 검증하는 절차도 없을뿐더러 검증하는 것에 대한 것조차 필요성을 느끼지 못하기 때문에 해당 내용을 인지하지 못하고 사용하는 경우가 대다수이기 때문입니다.
또한, 오픈소스 활용이 증가함에 따라 오픈소스 대상 공격도 증가할 것이라고 전망됩니다.
이러한 보안 위협들에 대응하기 위한 방안은 다음과 같이 제시되었습니다.
기술적 측면으로,
▶ 소프트웨어 개발 CI/CD 시스템에 대한 침입을 방지하고 안전한 제품을 개발하기 위한 소스코드 보안, 제한된 작업 공간과 같은 적합한 보호 조치를 적용해야 할 것입니다.
정책적 측면으로는
▶ SBOM, HBOM을 함께 도입하여 소프트웨어, 하드웨어 구성 요소에 대한 상세한 정보를 문서화하여 관리하고 누락 없이 식별해야 할 것입니다.
*SBOM (Software Bill Of Materials):소프트웨어의 구성요소와 정보를 상세하게 나열하고 문서화한 명세서
*HBOM (Hardware Bill Of Material): 하드웨어의 구성요소와 정보를 상세하게 나열하고 문서화한 명세서
▶ 소프트웨어 제품을 사용하는 경우, 제품 검증 프로세스를 수립하거나 무분별한 오픈소스 사용을 지양하는 것과 같은 정책 마련이 필요할 것입니다.
마지막 핵심 Security Trends는 ‘클라우드 보안’입니다.
온프레미스에서 클라우드로의 마이그레이션 움직임이 지속해서 증가하는 것과 더불어 클라우드 보안에 대한 중요성도 공통으로 언급되었습니다.
우선, 잘못된 클라우드 환경 구성으로 인한 문제가 증가할 것으로 예측되었습니다. 클라우드 마이그레이션이 증가함에 따라, 기존 온프레미스 환경에서의 보안 설정 및 기능을 다르게 설계하고 적용할 필요가 있으며, 이에 따라 보안 측면에서의 격차가 발생할 가능성이 있다고 여러 기관에서 지적하였습니다.
그러한 격차로 인해 잘못 구성된 인프라에 공격자가 침입해 이를 사이버 공격의 요새로 활용할 가능성도 있으며, 함께 사용하고 있는 다른 클라우스 서비스까지 악영향을 줄 수도 있습니다.
또한, 여러 클라우드 서비스를 도입하는 기업은 기존과 다른 보안 접근 방식을 고려해야 하지만 통합 보안 방안 적용이 부족할 수도 있습니다. 기존 클라우드 보안 패러다임에서 벗어나 여러 클라우드 서비스 환경을 아우를 수 있는 접근 방식이 필요해 질 것입니다.
여러 보안 위협들에 대응하기 위해 제시된 방안은 다음과 같습니다.
기술적 측면에서,
▶ 기업은 가장 먼저 CTEM 프레임워크를 적용해야 할 것입니다. 지속적인 위협에 대응하기 위한 관리 프로세스를 마련하고 이를 실현해야 위협을 최소화할 수 있을 것입니다.
▶ 클라우드 환경에 대한 구성 평가가 이뤄져야 하며 그 결과를 바탕으로 우선순위에 따른 조치가 이뤄져야 할 것입니다.
▶ 단일 클라우드 환경이 아닌 멀티/하이브리드 환경까지 고려한 보안 솔루션들을 적극 검토하고 도입해야 할 필요가 있습니다.
정책적 측면에서
▶ 클라우드 인프라에 대한 자산 명세화를 비롯한 정기적인 보안 감사까지 그 체계가 마련되어야 합니다.
▶ 역시 내부 환경에 적합한 취약점 조치 기준과 조치 프로세스를 수립하고 이행해야 합니다.
클라우드 주요 보안 위협 대응 방안
지금까지 주요 기관과 기업에서 발표된 트렌드 내용를 바탕으로 도출된 2024 Securtiy Trends 소개와 핵심 세 요소에 대한 주요 보안 위협과 대응방안을 소개하였습니다. 이것을 실제 NCP 환경에서 어떻게 적용할 수 있을까요?
이 질문에 답변이 될 수 있는 아키텍처와 보안 서비스 활용 방안을 설명드리겠습니다.
<NCP 보안 상품을 활용한 보안 위협 대응 아키텍처>
(민간 VPC 기준 아키텍처)
잘못된 클라우드 환경 구성을 방지하고 사이버공격으로부터의 대응과 위협 관리 체계를 마련하기 위해 2가지 방안을 도출하였습니다.
첫 번째로는, 클라우드 환경 구성 평가 및 지속적인 위협 노출 관리 방안입니다.
(아키텍처 그림 속에 표시된 노란색 부분에 해당하는 NCP 서비스를 활용할 수 있습니다.)
① 그룹 기반 클라우드 리소스 구성, 손쉬운 식별
우선 NCP 유저는 가장 먼저 그룹을 기반으로 클라우드 리소스 및 계정을 구성하여 보다 쉽게 식별할 수 있는 환경을 만들어야 합니다. 실제 담당하는 업무별로 (1) Sub Accocunt 그룹을 나눠 서브 계정을 그룹화하고 각 계정에 대한 최소화된 권한을 부여해야 합니다.
마찬가지로 (2) Resource Manager를 사용하여 목적에 따라 사용하는 리소스를 그룹화해야 하며, 주요 리소스에 대한 상태 모니터링을 설정해야 합니다.
② 환경 구성 평가 및 위협 노출 관리
그 다음으로 구성이 완료된 환경에 대해 정기적인 평가와 조치를 진행해야 합니다. (3) Cloud Advisor 서비스를 사용하여 네이버 클라우드 플랫폼 Best Practices 기반으로 이용 중인 서비스 카테고리별 구성을 점검할 수 있습니다. 서브 계정 설정 내역, 액세스 키 사용 등을 포함하여 생성된 NCP 리소스 자체에 대한 구성을 정밀 검사하고 결과를 바탕으로 조치가 필요한 부분을 보완합니다.
더 나아가 (4) Cloud Security Watcher를 사용하여 멀티 클라우드 구성에 대한 평가와 컴플라이언스 기반 취약점 진단을 진행할 수 있습니다. ISMS, CSAP 등 주요 컴플라이언스 요건을 기준으로 멀티 클라우드 환경에 대한 취약점을 진단하고 결과를 바탕으로 보완할 수 있습니다.
두 번째는 공격 및 위험 완화를 위한 방어 메커니즘입니다.
① 실시간 보안 위협 탐지 및 차단
실시간으로 보안 위협을 탐지하고 차단할 수 있는 메커니즘을 적용해야 합니다. (1) Security Monitoring 서비스를 사용하여 IPS, IDS, WAF 등의 정보보호시스템을 적용해 24시간 실시간으로 공격을 탐지 및 차단할 수 있습니다.
(2) Webshell Behavior Detector를 사용하면 행위를 기반으로 서버 내 악성 웹쉘에 대한 집중적인 탐지 및 대응을 구현할 수 있습니다.
② 계정 활동 및 리소스 로그 모니터링
공격에 대한 탐지 및 차단 기능을 적용한 후에 NCP 서비스의 모든 활동 및 주요 보안 이벤트에 대한 모니터링과 감사가 필요합니다. (3) Cloud Activity Tracer를 통해 NCP 계정 내 모든 활동에 대한 이력을 확인할 수 있습니다. Tracer 기능을 사용하여 특정 활동에 대한 추적을 생성하고 보관할 수 있습니다.
(4) Cloud Log Analytics 서비스에서 NCP 주요 컴퓨팅 리소스 내 로그를 통합 관리할 수 있습니다. VPC Flow log, Security Monitoring 보안 로그 등을 포함하여 발생한 주요 로그들을 통합 관리할 수 있으며, 해당 로그를 활용하여 로그 감사를 진행할 수도 있습니다.
NCP 보안 상품을 활용한 보안 위협 대응 아키텍처
앞선 두 가지 방안에 대한 실제 NCP 보안 상품 활용 예시를 Worst, Best 케이스로 구분하여 설명드리겠습니다.
1. 클라우드 환경 구성 평가 및 지속적인 위협 노출 관리
▶ Worst 👎🏻
① 개별 Sub Account 관리, 2차 인증 미사용 : Sub Account 계정을 생성하고 그룹화하여 관리하지 않은 상태이며, 각 계정에 대한 2차 인증이 선택으로 설정된 케이스입니다.
② 서브 계정에 Administrator 권한 과다 부여 : 서브 계정에 관리자 권한을 부여한 경우입니다.
③ 리소스 개별 관리 : 생성한 리소스를 그룹화하여 관리하지 않고 개별 상태를 유지하는 경우입니다.
④ 구성 점검 서비스 미사용 : 별도의 NCP 구성 점검 프로세스가 존재하지 않거나 보안 아키텍처를 고려하여 설계하지 않는 경우입니다.
▶ Best 👍🏻
① 담당 역할별 서브 그룹 생성 및 개별 권한 추가 : Sub Account 내 서브 계정을 직무, 업무를 기반으로 그룹화한 경우입니다.
② 리소스 그룹 생성 및 리소스 감시 조건 설정 : 사용 목적별로 리소스를 그룹화하고, Observer 기능을 사용하여 주요 리소스에 대한 감시 조건을 설정해 조건에 일치하는 액션이 발생했을 때 실시간으로 알람을 받도록 설정한 경우입니다.
③ 구성 점검 결과 대시보드 : Cloud Advisor 서비스를 사용해 NCP 서비스 카테고리별 구성을 정기적으로 점검하는 케이스입니다.
④ CSW 대시보드를 통한 멀티 클라우드 리소스 관리 : 멀티 클라우드 환경에 대한 통합 관리 및 평가와 보완을 진행하는 경우입니다.
2. 공격 및 위험 완화를 위한 방어 메커니즘
▶ Worst 👎🏻
① 원격 접속 허용 : 사용하는 서버 ACG에 모든 ip주소에 대한 원격 접속을 허용하는 경우입니다.
② 로그 보관만 진행 : 로그를 기록하고 보관하지만 로그에 대한 정기적인 모니터링과 감사를 진행하지 않는 경우입니다.
▶ Best 👍🏻
① 이벤트 대시보드 및 차단 이벤트 이메일 수신 : Security Monitoring과 같은 실시간 공격 위협 탐지 및 차단 솔루션이 적용된 경우입니다.
② 탐지 이벤트 확인 : 주요 웹서버 보안을 강화하기 위해 Webshell Behavior Detector를 사용하여 악성 웹쉘을 실시간으로 탐지 및 대응하는 경우입니다.
③ 활동 이벤트 추적 조건 생성 : Cloud Activity Tracer를 사용하여 NCP 계정 활동 기록을 감사 및 모니터링하는 경우로 Tracer 기능을 활용해 특정 이벤트 기록을 추적해야 합니다.
④ 특정 로그 발생에 대한 알람 설정 : Cloud Log Analytics 서비스를 통해 주요 컴퓨팅 리소스에서 발생한 로그를 통합 관리하는 경우로 알람 설정을 통해 특정 조건을 설정하고 조건을 만족하는 로그가 발생한 경우 로그 발생 이메일을 수신 받아야 합니다.
마치며
보안을 잘 모르더라도, 업무적으로 관련이 없더라도 보안은 IT에 없어서는 안 될 중요 요소이기에 2024년 현재 보안 산업에서 주목해서 보고 있는 주요 핵심 보안 기술들을 소개해 드렸습니다.
NCP 보안 아키텍처와 서비스 활용 예시를 통해 2024년 보안 트렌드에 맞는 적합한 아키텍처를 설계하고 적용할 수 있길 기대합니다.
마지막으로 네이버 클라우드 플랫폼에서 제시하는 2024년 사이버보안 트렌드를 소개해 드립니다.
첫 번째, 사이버보안에서의 AI의 핵심 역할
AI 기술을 통해 보안 시스템은 더욱 강화될 것입니다. 사이버 위협을 식별하고 대응하는 것에서 더 나아가 예측하여 새로운 위협에 대한 대응 체계를 마련할 수 있습니다.
두 번째, 생성형 AI 기술의 영향
보편화된 생성형 AI는 사이버보안에 막대한 영향력을 펼칠 것 입니다. 생성형 AI를 활용해 강화된 보안 시스템을 구축할 수 있지만, 공격의 도구로도 사용될 수 있다는 점을 염두해야 합니다.
세 번째, 지속적인 공급망 공격
SW 공급망 공격은 과거에서부터 지금까지 계속 증가하고 있는 것으로 2024년에도 지속적으로 발생할 것이며, 공격 방식도 진화될 것입니다. 코드 보안을 포함한 개발 라이프사이클 전체에 대한 충분한 보안이 고려되어야 합니다.
네 번째, 강화된 클라우드 보안
클라우드 마이그레이션을 넘어 이제는 클라우드 보안 강화에 초점을 맞춰야 됩니다. 클라우드 인프라를 통합 관리할 수 있는 체계를 수립하고 도입해야 합니다.
다섯 번째, 강력한 ID 관리: 제로트러스트
단순한 신원 보호체계를 넘어, 아무도 신뢰할 수 없다는 조건에서 시작해야 합니다. 인증과 권한은 보안의 가장 중요한 첫 관문입니다. 제로트러스트 도입을 통해 강력한 신원 식별 및 권한 관리 절차를 적용해야 합니다.
여섯 번째, 피싱 공격과 랜섬웨어 공격의 진화
AI 기술의 확산에 따라 AI 기반 사이버공격도 증가하고 있습니다. 특히 양산형 피싱 공격과 랜섬웨어에서의 사회공학적 기법 공격 대응 방안도 발전해야 합니다.
일곱 번째, 위험 관리 프로세스 강화
지속적인 위협에 대비할 수 있도록 위험 관리 프로세스를 수립하고 도입해야 합니다. 위협에 대한 충분한 대응 체계를 마련해 더욱 안전한 환경을 구성할 수 있습니다.
마지막 여덟 번째, 양자보안
양자 컴퓨팅은 데이터 보안에 중요한 역할을 수행할 것으로 이에 대한 준비가 필요합니다. 뿐만 아니라, 양자 컴퓨팅을 활용한 공격에도 충분히 대비해야 합니다.
