2022-12-04 03:15 (일)
[가트너 특별기고] 신원 위협 탐지 및 대응(ITDR)을 통한 사이버 공격 대응 강화
상태바
[가트너 특별기고] 신원 위협 탐지 및 대응(ITDR)을 통한 사이버 공격 대응 강화
  • 길민권 기자
  • 승인 2022.11.21 15:07
이 기사를 공유합니다

헨리크 테이세이라 (Henrique Teixeira) Sr Director Analyst
헨리크 테이세이라 (Henrique Teixeira) Sr Director Analyst

신원 위협 탐지 및 대응(Identity Threat Detection and Response, ITDR)은 신원(ID) 시스템을 보호하기 위한 위협 인텔리전스, 모범 사례, 지식 베이스(knowledge base), 툴(tool) 및 프로세스를 포괄하는 보안 분야이다. ITDR은 탐지 메커니즘을 구현하고, 의심스러운 상태 변화 및 활동을 조사하며, 공격에 대응하여 ID 인프라의 무결성을 복원하는 방식으로 작동한다. 

ID는 사이버 보안의 근본적인 측면이다. 이는 승인된 최종 사용자, 장치 및 서비스만 시스템에 액세스할 수 있도록 하는 보안 요구에 대한 제로 트러스트 접근 방식이다. ITDR은 툴과 모범 사례를 통합하여 ID 시스템의 무결성을 보호하는데, 이는 성숙한 아이덴티티 및 액세스 관리(Identity Access Management, IAM) 및 인프라 보안 구축에도 필요하다. 보안 리스크 관리(Security Risk Management, SRM) 리더는 IAM 및 기타 사이버 보안 리더와 협력하여 조직의 ID 인프라를 보호해야 한다.

◆ITDR 및 비(非)ITDR을 정의하여 ITDR에 대한 준비를 갖춰라 

ID 위협은 액세스 관리(AM) 툴, 디렉터리 서버, 인증 기관, 기타 IAM 시스템 및 저장소와 같은 ID 인프라와 관련된 잠재적인 사이버 공격이다. ID 위협은 사이버 공격을 가능하게 하기 위해 ID 시스템을 회피, 우회 혹은 남용하는 데 중점을 둔다.

예방은 모든 사이버 공격 대비를 위한 계획의 기본적인 부분이 되어야 한다. SRM 리더는 ID 인프라의 핵심 요소를 문서화하고 적절한 예방 제어 방법이 마련되어 있는지 평가해야 한다. 기존 IAM 제어와 새로운 ITDR 관련 제어를 모두 사용하여 이러한 요소의 보안 상태가 기업의 리스크 성향 및 비즈니스 목표에 부합하는지 확인해야 한다.

◆우수한 예방 제어는 다음을 방지하기 위해 ID 보안 상태 관리를 지원한다:

설정 오류(Misconfiguration): IAM 컨트롤이 올바르게 구성되었는지, IAM 구성이 의심스러운 변경 사항에 대해 지속적으로 모니터링되는지, 그리고 문제를 조사하고 필요한 경우 해결하기 위해 적절한 조치를 취한다.

취약성(Vulnerabilities): 패치 또는 보상 제어를 통해 ID 인프라에서 일반적으로 악용되는 취약성을 해결한다.

노출(Exposure): 예를 들어, 불필요하거나 과도한 권한을 제거하여 공격 표면을 줄인다.

권한 액세스 관리(Privileged Access Management, PAM)와 ID 거버넌스 및 관리(ID Governance and Administration, IGA)는 ID가 손상된 경우 과도한 권한의 노출을 제한하는 기본적인 예방 제어를 제공한다. 

또한, 클라우드 인프라 권한 관리(Cloud Infrastructure Entitlement Management, CIEM) 툴은 과도하고 불필요한 클라우드 ID 권한으로 인해 생성된 공격 표면을 줄임으로써 ID 위협이 구체화되는 것을 방지할 수 있다. 이는 측면 이동을 제한하는 데 도움이 된다. 

나아가, 다중 인증을 적절하게 구성하고 원격 데스크톱 프로토콜 세션 종료를 통해 관리자 계정이 손상되는 것을 방지할 수 있다.

SRM 리더는 OAuth 2.0 및 연속 액세스 평가 프로토콜(Continuous Access Evaluation Protocol, CAEP)과 같은 최신 및 새로운 표준을 사용하여 취약성을 방지하기 위해 IAM 인프라를 지속적으로 현대화해야 한다. 또한, 우체국 프로토콜(Post Office Protocol, POP) 및 인터넷 메시지 액세스 프로토콜(Internet Message Access Protocol, IMAP)과 같은 안전하지 않은 레거시 프로토콜의 사용을 지양해야 한다.

그러나 ITDR의 초점은 위에서 확인된 기본 예방 메커니즘이 마련된 후 두 번째 또는 세 번째 방어 계층으로 작동하는 것에 맞춰야 한다. ITDR은 두 가지 이유로 필요하다고 볼 수 있다:

첫째, 기본적인 예방 통제만으로 사이버 공격을 막을 수 있다고 가정해서는 안 된다.

둘째, 공격은 ID 인프라 자체를 손상시킬 수 있다.

ID 위협은 IAM 예방 제어를 우회하거나 무력화할 수 있다. 따라서 예방을 탐지와 반응으로부터 분리하여 이해하는 것이 중요하다. 이러한 분리를 이해함으로써 SRM 리더는 ID에 중점을 둔 "심층 방어"를 구현하기 위해 더 나은 계획을 세울 수 있다. 또한, 다중 공급업체 접근 방식이 아닌 예방, 탐지 및 대응 제공을 중점으로 두는 단일 툴을 채택하는 경우 단일 장애 지점을 보유하는 데 내재된 리스크를 평가해야 한다.

◆ITDR이 아닌 것:

단일 그룹의 책임: ITDR은 IAM 및 인프라 보안 팀이 공유하는 책임이다. SRM 리더는 이 공동 이니셔티브를 추진하고, 이해 관계자를 식별하며, 공동 이니셔티브를 주도할 수 있는 후원자를 선택해야 한다.

액티브 디렉터리(Active Directory, AD)에만 관한 것: ITDR 분야에는 AD 위협 탐지 및 대응(TDR)이 포함되지만 사실 그 이상을 포함한다. AD TDR은 AD 위협에만 초점을 맞추는 반면, ITDR에는 AM, IGA, 인증 및 PAM에 사용되는 것을 포함하여 다른 종류의 IAM 시스템이나 툴에 대한 광범위한 ID 위협을 탐지하고 대응하는 기능도 포함된다. 그러나 약 3분의 1의 조직이 AD TDR을 채택한 반면, ITDR은 최근에 채택되기 시작했다. 

보안 운영 센터(Security Operations Center, SOC) 툴만 해당하는 것: 보안 정보 및 이벤트 관리(Security Information Event Management, SIEM), 보안 오케스트레이션, 자동화 및 대응(Security Orchestration Automation and Response, SOAR), 확장된 위협 탐지 및 대응(eXtended Detection and Response, XDR)은 통합 ITDR 전략의 활성화된 부분이며, 시그널과 로그의 집중과 응답 계층에 필수적인 요소다. 그러나 이러한 시장의 대부분의 공급업체는 TTP(Tactic, Techniques, and Procedures) 대신 사용자 행동을 기반으로 하는 ID 위협 탐지 기능이 부족하다. SOC 툴은 ID 공격에 대응하는 데 필요한 깊이를 제공하지 않지만, ITDR을 위한 성공적인 전략을 구축하려면 이러한 SOC 툴과의 통합이 필요하다.

단순한 IAM 및 부정 행위 방지 제어를 모아둔 것: ITDR은 설정 오류, 노출 및 취약성을 방지하기 위해 항상 다른 예방 제어로 보완되어야 한다. 예방은 중요하고 다양한 IAM 툴(IGA, AM, PAM, 인증 및 CIEM)을 예방 조치에 사용할 수 있지만, 위협을 감지하고 대응하려면 런타임 위협 인텔리전스 분석이 필요하다.

◆탐지 및 분석 제어 기능을 향상시켜라

공격 기법은 다양하며 공격자는 ID 인프라의 모든 측면을 탐색한다. 이러한 공격은 제로 데이(zero day) 공격과 같은 고도의 기술적 공격에서부터 인기 있는 "정보 도용자" 멀웨어(malware), 사회 공학(social engineering)에 이르기까지 다양하다.

방어자의 핵심은 공격자가 TTP를 개발하는 것만큼 새로운 기술을 민첩하게 탐지하는 것이다. 예를 들어, SRM 리더는 비(非)모바일 운영 체제에서 동일한 사용자의 여러 SSO 세션을 감지할 수 있어야 한다. 이를 위해서는 올바른 신호를 수집하고 탐지 논리를 사용하여 의심스러운 사건으로 상승시켜 분석하는 기능이 필요하다. TTP 탐지는 구현하기가 더 어려울 수 있지만, 내구성이 높고 사전 예방적이며, 다면적 ID 기반 공격의 전형적인 여러 위협 행위자와 악성 툴을 탐지하는 데 사용할 수 있다.

보안 서비스 엣지(Security Service Edge, SSE) 및 클라우드 액세스 보안 브로커(Cloud Access Security Broker, CASB) 기술은 예를 들어 관리 콘솔의 사용자가 디바이스를 완전히 관리하고 엔드포인트 보호를 활성화할 수 있도록 “일렬로” 사용 가능하다. 

PAM 및 IGA를 다중 인증과 결합하여 완전한 관리 또는 보안 디바이스를 사용하여 강력하게 인증된 사용자만 IAM 인프라를 변경할 수 있다. 

무단 변경사항을 감지하는 것 외에도 ID 위협에 대한 탐지 제어를 개선하는 효과적인 방법은 TTP의 마이터 어택(MITRE ATT&CK) 지식 베이스를 사용하는 것이다. 업계 연구에 따르면, 이는 악성 활동을 탐지하는 효과적인 방법인 것으로 확인됐다. 

TTP의 우선 순위 외에도 ITDR의 우수한 탐지 제어는 위협 신호 조합에서 파생된 분석을 제공한다. SIEM 툴과 새로운 XDR 솔루션은 TTP에 대한 탐지 논리를 구축하는 한 가지 방법이며, 현재 TTP에 대한 탐지 로직이 내장되어 있다. 

◆대응을 마스터하라

다른 유형의 위협 대응 접근 방식과 비교할 때 ITDR은 대응 단계에서 IAM 툴 세트와 훨씬 더 집중적인 상호 운용성을 요구한다. 조사 후 초기 대응에는 사용자 ID, 디바이스 및 위협을 억제하기 위한 네트워크의 격리가 필요하다. 신뢰도를 높이는 IAM 제어는 계정 인수 완화(Account Takeover Mitigation, ATO)에 유용하다. 가장 일반적인 자동 대응 조치는 위험 기반 적응형 액세스를 통해 손상된 관리 자격 증명을 억제하는 것이다. IAM 인프라 자체가 손상된 경우 ITDR 응답이 수동 또는 반자동 프로세스를 트리거할 수 있다. 

ID 위협에 대한 대응은 IAM과 보안 운영 간의 상호 운용성을 가능하게 해야 한다. 이를 위해서는 조사를 용이하게 하고 대응 조치를 자동화하기 위한 절차와 보안 운영 툴의 통합이 필요하다. SRM 리더는 위협 및 공격에 대비하고 탐지하는 것 외에도 TTP 사용 사례를 기반으로 가장 일반적인 ID 위협에 대한 대응 계획과 규정집을 준비해야 한다. 또한, SRM 리더는 하나의 콘솔에서 필요한 모든 데이터 소스와 로그 데이터를 처리할 수 있는 기능이 있다는 점을 감안하여 규정집 관리 통합과 같은 XDR 기능 사용을 고려해야 한다.

◆공급업체의 새로운 ITDR 기능을 평가하여 ITDR의 격차를 해소하라

SRM 리더는 예방적인 IAM 인프라 위생 보안을 위한 모범 사례에 계속 투자해야 한다. 동시에 여러 시장의 공급업체에서 유통되는 전문 ITDR 툴을 평가해야 한다. 이는 IAM 인프라가 손상된 경우 공격에 대한 대비와 대응력을 향상시킬 수 있다.

[글. 헨리크 테이세이라 (Henrique Teixeira) Sr Director Analyst]

★정보보안 대표 미디어 데일리시큐!