Microsoft 위협 인텔리전스 팟캐스트에서 전문가로부터 직접 인사이트를 얻으세요. 지금 들어보세요.
CISO Insider: 제3호
CISO Insider 시리즈의 제3호에 오신 것을 환영합니다. 저는 Microsoft Defender와 Sentinel 엔지니어링 팀을 이끌고 있는 Rob Lefferts라고 합니다. 저희는 여러분과의 논의와 사이버 보안의 최전선에서 작업하는 저희의 연구 및 경험에서 얻은 인사이트를 공유하기 위해 약 1년 전 이 시리즈를 시작했습니다.
첫 2개 호에서는 랜섬웨어 같이 늘어나는 위협, 보안 리더들이 자동화 및 업스킬링 기회를 활용하여 인재가 부족한 가운데 이러한 위협에 효과적으로 대응하는 방법에 대해 알아봤습니다. CISO는 오늘날의 경제적 불확실성 속에서 더욱 효율적으로 운영해야 한다는 압박을 받으며, 그중 많은 이들은 클라우드 기반 솔루션과 통합 관리형 보안 서비스를 활용하여 최적화를 모색하고 있습니다. 이번 호에서는 갈수록 더 많은 조직이 클라우드 중심 모델로 전환하고 디지털 자산의 모든 것을 온프레미스 시스템에서 IoT 디바이스로 옮기면서 새롭게 떠오르는 보안 우선순위를 살펴봅니다.
퍼블릭 클라우드는 강력한 기본 보안과 비용 대비 효율, 확장성 있는 컴퓨팅의 조합을 제공하여 이를 한정적인 예산 속의 핵심 리소스로 만듭니다. 그러나 이 세 가지를 모두 사용할 때는 퍼블릭 클라우드와 프라이빗 클라우드, 온프레미스 시스템 간의 연결에서 발생하는 '빈틈'에 주의해야 합니다. 보안 리더들이 네트워킹된 디바이스, 엔드포인트, 앱, 클라우드, 관리형 디바이스 간의 경계 공간에서 보안 관리를 위해 무엇을 하고 있는지 살펴봅니다. 마지막으로 이 보안 과제의 정점을 보여주는 두 가지 기술, IoT와 OT를 살펴봅니다. 이 최신 기술과 레거시 기술은 둘 다 적절한 기본 제공 보안이 없이 네트워크에 도입되며, 이러한 양 극단의 융합은 공격에 취약한 빈틈 많은 에지를 만듭니다.
제3호에서는 다음의 세 가지 클라우드 중심 보안 우선 순위를 살펴봅니다.
클라우드는 안전합니다. 그렇다면 클라우드 환경을 어떻게 안전하게 관리하고 계신가요?
클라우드 채택은 조직들이 경제적 제한과 인재 부족에 대응하기 위해 새로운 효율성을 찾으면서 가속화됐습니다. CISO는 퍼블릭 클라우드 서비스를 자사의 기본 보안으로 신뢰하지만, 클라우드 보안 퍼블릭 클라우드와 프라이빗 인프라 간의 인프라를 관리하는 고객의 능력에 따라 달라집니다. Microsoft는 보안 리더들이 강력한 클라우드 보안 전략으로 이러한 빈틈을 어떻게 메우는지 살펴봤습니다. 예를 들어 클라우드 앱과 워크로드를 클라우드 태세 관리 및 클라우드 네이티브 응용 프로그램 보호(CNAPP) 같은 툴로 보호하는 것입니다.
어떻게 가시성으로 시작되고 우선 순위가 지정된 위험 관리로 끝나는 포괄적인 보안 태세.
클라우드 채택이 가속화되면서 서비스, 엔드포인트, 앱, 디바이스가 확산됩니다. 중요 클라우드 연결 포인트 관리를 위한 전략에 더해, CISO는 확장되는 디지털 공간 속에서 더 뛰어난 가시성 및 조정 능력의 필요성을 인식하고 있습니다. 즉 종합 태세 관리가 필요한 것입니다. Microsoft는 공격 방지(성공한다면 최고의 방어)부터 자산 목록 정리 및 비즈니스 위험 모델링을 돕는 포괄적 태세 관리 툴을 통한 위험 관리, ID 및 액세스 컨트롤에 이르기까지 보안 리더들이 어떻게 접근법을 확대하고 있는지 살펴봤습니다.
IoT & OT의 대단히 다양한 하이퍼 네트워킹 환경을 관리하기 위해 제로 트러스트 및 방역 관리에 의존하세요.
연결된 IoT 및 OT 디바이스의 기하급수적 성장은 계속해서 보안 과제를 제시합니다. 특히 클라우드 네이티브, 타사 도구, 네트워킹을 위해 재정비된 레거시 장비가 조합된 기술들의 조화를 이루기가 어렵다는 점을 고려하면 더욱 그렇습니다. 글로벌 IoT 디바이스의 수는 2025년까지 416억 개에 달할 것으로 전망되며, 이에 따라 그러한 디바이스를 사이버 공격의 진입 지점으로 사용하는 공격자들에게 공격 표면이 확장됩니다. 이러한 디바이스는 종종 네트워크의 취약한 지점으로서 표적이 됩니다. 이는 보안 팀의 명확한 지시 없이 임시로 IT 네트워크에 연결되거나, 타사에 의해 기본 보안 없이 개발되거나, 독점 프로토콜 및 가용성 요구 사항 등의 어려움(OT)으로 인해 보안 팀이 부적절하게 관리한 경우일 수 있습니다. 얼마나 많은 IT 리더들이 이러한 빈틈투성이 에지를 탐색하기 위해 IoT/OT 보안 전략을 발전시키고 있는지 알아보세요.
클라우드는 안전합니다. 그렇다면 클라우드 환경을 어떻게 안전하게 관리하고 계신가요?
인재와 예산이 부족한 시기에 클라우드는 비용 대비 효율, 무한히 확장 가능한 리소스, 최신 도구, 대부분의 보안 리더들이 온프레미스에서 달성 가능하다고 느끼는 것보다 더 안정적인 데이터 보호 등 많은 이점을 제공합니다. 지금까지 CISO는 클라우드 리소스를 더 높은 위험 노출과 비용 대비 효율 간의 절충이라고 여겼지만, 오늘날 Microsoft가 대화하는 보안 리더 대다수는 클라우드를 새로운 표준으로 받아들였습니다. 이들은 클라우드 기술의 강력한 기본 보안을 신뢰합니다. “클라우드 서비스 공급자가 ID 및 액세스 관리, 시스템 보안, 물리적 보안을 자체적으로 관리할 것으로 기대합니다.” 한 CISO는 말합니다.
그러나 대부분의 보안 리더들이 인식하듯이 클라우드 기본 보안은 데이터의 안전성을 보장하지 않습니다. 클라우드 내 데이터 보호는 클라우드 서비스가 온프레미스 시스템 및 자체 기술과 함께 구현되는 방식에 달려 있기 때문입니다. 위험은 클라우드와 기존 조직 기술, 정책, 클라우드 보호에 사용되는 기술 간의 격차에서 발생합니다. 종종 구성 문제가 발생하여 조직을 노출된 상태로 만들고 빈틈을 식별 및 해결하기 위해 보안 팀에 의존합니다.
“많은 수의 위반은 누군가가 뭔가를 잘못 구성하여 구성 오류를 일으키거나 뭔가를 변경하여 데이터 유출을 가능하게 만드는 데서 발생합니다.”
공공 시설 - 수자원, 직원 1,390명
2023년까지 클라우드 보안 위반의 75%는 잘못된 ID, 액세스, 권한 관리로 인해 발생할 전망이며 이는 2020년의 50%보다 증가한 수치입니다(클라우드 보안에서 가장 큰 위험은 구성 오류 및 취약성: 보고서 | CSO 온라인). 과제는 클라우드 자체의 보안이 아니라 안전한 액세스에 사용되는 정책 및 관리에 있습니다. 한 금융 서비스 CISO가 말하듯이 “클라우드 보안은 올바르게 배포된다면 아주 좋습니다. 클라우드 자체와 그 구성 요소는 안전합니다. 하지만 구성으로 들어갈 때 코드를 제대로 쓰고 있을까요? 엔터프라이즈 간의 커넥터를 올바르게 설정하고 있을까요? 또 다른 보안 리더는 어려움을 다음과 같이 정리합니다. “클라우드 서비스의 구성 오류가 서비스를 위협 행위자에게 드러냅니다.” 갈수록 많은 보안 리더가 클라우드 구성 오류의 위험을 인식함에 따라 클라우드 보안 관련 대화는 “클라우드가 안전한가?”에서 “클라우드를 안전하게 사용하고 있나?”로 바뀌었습니다.
클라우드를 안전하게 사용한다는 것은 무슨 뜻일까요? Microsoft와 대화를 나눈 리더 다수는 클라우드 보안 전략을 처음부터 접근하여 조직을 ID 위반, 구성 오류 등 위험에 노출시키는 인간의 오류를 해소합니다. 이는 Microsoft의 권장 사항과도 일치합니다.ID를 보호하고 액세스를 적응적으로 관리하는 것은 클라우드 보안 전략에 필수적입니다.
아직도 확실히 모르겠다는 분들에게는 다음 정보가 도움이 될 것입니다. McAfee는 노출된 기록(54억)의 70%가 잘못 구성된 서비스 및 포털로 인해 침해됐다고 보고했습니다. ID 제어를 통해 액세스를 관리하고 강력한 보안 예방 조치를 구현하면 빈틈을 메우는 데 큰 도움이 될 수 있습니다. 이와 유사하게 McAfee는 노출된 기록(54억)의 70%가 잘못 구성된 서비스 및 포털로 인해 침해됐다고 보고했습니다. ID 제어를 통해 액세스를 관리하고 강력한 보안 예방 조치를 구현하면 빈틈을 메우는 데 큰 도움이 될 수 있습니다.
강력한 클라우드 보안 전략은 다음의 모범 사례와 연관되어 있습니다.
1. 클라우드 네이티브 응용 프로그램 보호(CNAPP) 전략 구현: 파편화된 툴로 보안을 관리하면 보호에 사각 지대가 발생하여 더 높은 비용을 유발할 수 있습니다. 보안을 코드에서 클라우드로 임베드하도록 지원하는 올인원 플랫폼을 갖추는 것은 클라우드 공격 표면을 줄이고 위협 보호를 자동화하는 데 필수적입니다. CNAPP 전략은 다음의 모범 사례와 관련되어 있습니다.
a. DevOps에서 시작부터 보안을 우선시합니다. 보안은 클라우드 앱 개발을 서두를 때 뒷전이 될 수 있습니다. 개발자는 비즈니스 문제를 빠르게 해결하는 데 주력하며 클라우드 보안 역량은 부족할 수 있습니다. 그 결과 앱이 적절한 데이터 권한 부여 규칙 없이 확산될 수 있습니다. API는 해커의 주된 표적이 되었습니다. 클라우드 앱 개발 속도 때문에 조직이 API를 전부 파악하지 못하는 경우가 많습니다. Gartner는 “API 확장”을 갈수록 커질 문제로 꼽으며 2025년까지 전체 엔터프라이즈 API 중 절반 미만이 관리될 것이라고 예측했습니다(Gartner). 따라서 DevSecOps 전략을 가능한 한 빠르게 구현하는 것이 중요합니다.
b. 클라우드 보안 태세를 강화하고 구성 오류를 수정합니다. 구성 오류는 가장 흔한 클라우드 위반의 원인입니다. Cloud Security Alliance 의 가장 일반적인 보안 그룹 설정 구성 오류를 확인해 보세요. 저장소 리소스를 공개한 채로 두는 것이 가장 흔한 오류지만, CISO들은 비활성화된 모니터링 및 로깅, 과도한 권한, 보호되지 않는 백업 등 그 밖에도 소홀한 영역을 열거합니다. 암호화는 관리 소홀에 대한 가장 중요한 대비책이며 랜섬웨어 위험을 줄이는 데 필수적입니다. 클라우드 보안 태세 관리 도구는 클라우드 리소스의 노출 및 구성 오류를 위반 발생 전에 모니터링함으로써 보호를 강화하고 공격 표면을 선제적으로 줄이도록 지원합니다.
c. 인시던트의 탐지, 대응, 분석을 자동화합니다. 구성 오류를 식별하고 수정하는 것도 중요하지만, 공격이 방어를 통과했을 때 탐지하기 위한 도구와 프로세스를 갖추는 것도 필요합니다. 이때 위협 탐지 및 대응 관리 도구가 도움이 됩니다.
d. 액세스 관리를 바로잡습니다. 다단계 인증, SSO, 역할 기반 액세스 제어, 권한 관리, 인증은 클라우드 보안에서 가장 큰 두 가지 위험을 관리하는 데 도움이 됩니다. 바로 사용자와 잘못 구성된 디지털 속성입니다. 최소 액세스는 클라우드 인프라 권한 관리(CIEM)의 모범 사례입니다. 일부 리더는 ID 액세스 관리 또는 권한 관리 솔루션에 의존하여 환성 보안 통제를 구현합니다. 한 금융 서비스 리더는 클라우드 액세스 보안 브로커(CASB)를 “핵심 백스톱”으로 활용하여 조직의 SaaS 서비스를 관리하고 사용자 및 데이터의 관리를 유지합니다. CASB는 사용자와 클라우드 앱 간의 중개 역할을 하며 가시성을 제공하고 정책을 통해 거버넌스 동작을 적용합니다. CASB는 사용자와 클라우드 앱 간의 중개 역할을 하며 가시성을 제공하고 정책을 통해 거버넌스 동작을 적용합니다.
클라우드용 Microsoft Defender 에서 제공되는 것과 같은 클라우드 네이티브 애플리케이션 보호 플랫폼은 다중 클라우드 리소스 간의 가시성을 제공할 뿐 아니라 환경의 모든 계층에서 보호를 제공하는 동시에 위험을 모니터링하고 알림을 SIEM과 통합되는 인시던트와 연계합니다. 이는 조사를 간소화하고 SOC 팀이 플랫폼 간 알림에서 앞서 나가도록 지원합니다.
약간의 예방(ID 및 구성 오류 빈틈 막기)을 공격 대응을 위한 강력한 도구와 결합하면 기업 네트워크부터 클라우드 서비스까지 전체 클라우드 환경을 보호하는 데 큰 도움이 됩니다.
어떻게 가시성으로 시작되고 우선 순위가 지정된 위험 관리로 끝나는 포괄적인 보안 태세.
클라우드 중심 IT로 전환하는 것은 조직을 구현 격차뿐만 아니라 디바이스, 앱, 엔드포인트 등 네트워크에 연결된 자산의 확산, 클라우드 워크로드에 노출되는 위험에 노출시킬 수 있습니다. 보안 리더는 가시성과 우선 순위가 지정된 대응을 제공하는 기술로 경계 없는 환경에서 태세를 관리하고 있습니다. 이러한 도구는 조직이 전체 공격 표면을 커버하는 자산 인벤토리를 매핑하여 관리되는 디바이스와 관리되지 않는 디바이스를 조직 네트워크 안팎에서 아우르는 데 도움이 됩니다. CISO는 이러한 리소스를 활용하여 각 자산의 보안 태세와 비즈니스에서의 역할을 평가하여 우선 순위가 지정된 위험 모델을 개발할 수 있습니다.
Microsoft는 보안 리더와의 대화를 통해 경계 기반 보안에서 경계 없는 에코시스템을 받아들이는 보안 태세 기반 접근법으로의 발전을 확인했습니다.
한 CISO는 이렇게 말했습니다. “제가 보기에 태세는 결국 ID입니다... 이를 단지 경계가 있는 기존의 태세로 여기지 않고 그 전부를 엔드포인트까지 옮기고 있습니다.” (공공 시설 - 수자원, 직원 1,390명). “ID가 새로운 경계가 됐습니다.” 한 핀테크 CISO는 이렇게 말하며 다음과 같이 물었습니다. “안팎이 없는 이 새로운 모델에서 ID는 무엇을 의미할까요?” (핀테크, 직원 15,000명).
이처럼 빈틈이 많은 환경에서 CISO는 포괄적 태세 관리의 긴급성을 이해합니다. 그러나 그러한 비전을 수행할 리소스와 디지털 성숙도를 갖췄는지에 대해서는 의문이 많습니다. 다행히 대부분의 조직은 업계에서 검증된 프레임워크(최신 요구 사항에 맞춰 업데이트됨)와 보안 혁신의 조합을 통해 포괄적 태세 관리를 달성할 수 있습니다.
사이버 인프라에서 자산 인벤토리를 수행하는 데 필요한 도구를 갖추세요. 둘째, 조직에 핵심적인 것이 무엇인지, 가장 위험이 큰 것은 무엇인지 살펴보고 이러한 디바이스의 잠재적 취약성을 파악한 다음 이를 허용 가능한지 결정하세요, 패치를 해야 하는지, 격리해야 하는지 판단하세요.
Ken Malcolmson, Microsoft 총괄 보안 어드바이저
다음은 보안 리더들이 개방된 클라우드 중심 환경에서 태세를 관리하기 위해 사용하는 모범 사례 및 도구입니다.
1. 자산 인벤토리로 포괄적인 가시성을 달성하세요.
가시성은 전체적 태세 관리의 첫 단계입니다. CISO들은 이렇게 묻습니다. ‘첫 단계로 현재 있는 것들을 모두 파악하고는 있나? 관리를 시작하기 전에 가시성을 확보했나?’ 위험 자산 인벤토리에는 네트워크 및 애플리케이션 같은 IT 자산, 데이터베이스, 서버, 클라우드 프로퍼티, IoT 속성, 이러한 디지털 인프라에 저장된 데이터 및 IP 자산이 포함됩니다. Microsoft 365, Azure 등 대부분의 플랫폼에는 시작하는 데 도움이 되는 기본 탑재 자산 인벤토리 도구가 있습니다.
가시성은 전체적 태세 관리의 첫 단계입니다. CISO들은 이렇게 묻습니다. ‘첫 단계로 현재 있는 것들을 모두 파악하고는 있나? 관리를 시작하기 전에 가시성을 확보했나?’ 위험 자산 인벤토리에는 네트워크 및 애플리케이션 같은 IT 자산, 데이터베이스, 서버, 클라우드 프로퍼티, IoT 속성, 이러한 디지털 인프라에 저장된 데이터 및 IP 자산이 포함됩니다. Microsoft 365, Azure 등 대부분의 플랫폼에는 시작하는 데 도움이 되는 기본 탑재 자산 인벤토리 도구가 있습니다.
2. 취약성을 평가하고 위험을 분석하세요.
조직이 포괄적 자산 인벤토리를 확보하면 내적 취약성과 외적 위협 모두를 고려하여 위험을 분석할 수 있습니다. 이 단계는 맥락에 크게 의존하며 각 조직마다 고유합니다. 믿을 수 있는 위험 평가는 보안, IT, 데이터 팀 간의 강력한 파트너십에 달려 있습니다. 이 여러 직군을 아우르는 팀은 자동화된 위험 점수와 우선 순위 지정 도구를 분석에 활용합니다. 예를 들어 Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365에 통합된 위험 우선 순위 지정 도구가 있습니다. 자동화된 위험 점수 및 우선 순위 지정 기술은 빈틈을 해소하고 효과적인 위험 대응을 위한 맥락 정보를 제공하기 위해 전문가 지침을 통합할 수도 있습니다.
조직이 포괄적 자산 인벤토리를 확보하면 내적 취약성과 외적 위협 모두를 고려하여 위험을 분석할 수 있습니다. 이 단계는 맥락에 크게 의존하며 각 조직마다 고유합니다. 믿을 수 있는 위험 평가는 보안, IT, 데이터 팀 간의 강력한 파트너십에 달려 있습니다. 이 여러 직군을 아우르는 팀은 자동화된 위험 점수와 우선 순위 지정 도구를 분석에 활용합니다. 예를 들어 Microsoft Entra ID, Microsoft Defender XDR, Microsoft 365에 통합된 위험 우선 순위 지정 도구가 있습니다. 자동화된 위험 점수 및 우선 순위 지정 기술은 빈틈을 해소하고 효과적인 위험 대응을 위한 맥락 정보를 제공하기 위해 전문가 지침을 통합할 수도 있습니다.
3. 비즈니스 위험 모델링으로 위험 및 보안 요구 사항의 우선 순위를 지정하세요.
위험 지형을 분명하게 이해하면 기술 팀은 비즈니스 리더와 협력하여 각 비즈니스 요구 사항에 맞는 보안 개입 우선 순위를 지정할 수 있습니다. 각 자산의 역할, 비즈니스 가치, 침해 시 비즈니스에 가해지는 위험을 고려하고 ‘이 정보가 얼마나 민감한지, 노출되면 비즈니스에 어떤 영향을 미칠지’ 같은 질문을 해 보세요. 또는 ‘이 시스템이 얼마나 중요한지, 가동 중지 시간이 비즈니스에 어떤 영향을 미치는지’ 질문해 보세요. Microsoft는 비즈니스 위험 모델링에 따라 포괄적인 취약성 식별 및 우선 순위 지정 지원 도구를 제공합니다. 여기에는 Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Microsoft Defender 외부 공격 표면 관리, Microsoft Defender Vulnerability Management 등이 포함됩니다.
위험 지형을 분명하게 이해하면 기술 팀은 비즈니스 리더와 협력하여 각 비즈니스 요구 사항에 맞는 보안 개입 우선 순위를 지정할 수 있습니다. 각 자산의 역할, 비즈니스 가치, 침해 시 비즈니스에 가해지는 위험을 고려하고 ‘이 정보가 얼마나 민감한지, 노출되면 비즈니스에 어떤 영향을 미칠지’ 같은 질문을 해 보세요. 또는 ‘이 시스템이 얼마나 중요한지, 가동 중지 시간이 비즈니스에 어떤 영향을 미치는지’ 질문해 보세요. Microsoft는 비즈니스 위험 모델링에 따라 포괄적인 취약성 식별 및 우선 순위 지정 지원 도구를 제공합니다. 여기에는 Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Microsoft Defender 외부 공격 표면 관리, Microsoft Defender Vulnerability Management 등이 포함됩니다.
4. 태세 관리 전략 수립
자산 관리, 위험 분석, 비즈니스 위험 모델은 포괄적 태세 관리의 근간을 형성합니다. 이러한 가시성 및 인사이트는 보안 팀이 자산을 가장 잘 할당하는 방법, 적용해야 할 보호 조치, 네트워크의 각 세그먼트에서 위험과 사용성 간의 절충을 최적화하는 방법을 결정하는 데 도움이 됩니다.
자산 관리, 위험 분석, 비즈니스 위험 모델은 포괄적 태세 관리의 근간을 형성합니다. 이러한 가시성 및 인사이트는 보안 팀이 자산을 가장 잘 할당하는 방법, 적용해야 할 보호 조치, 네트워크의 각 세그먼트에서 위험과 사용성 간의 절충을 최적화하는 방법을 결정하는 데 도움이 됩니다.
태세 관리 솔루션은 가시성 및 취약성 분석을 제공하여 조직이 어디에 초점을 두고 태세 개선 활동을 수행해야 할지 파악하는 데 도움을 줍니다. 이 인사이트를 바탕으로 공격 표면에서 중요한 영역을 식별하고 우선시할 수 있습니다.
IoT 및 OT의 대단히 다양한 하이퍼 네트워킹 환경을 관리하기 위해 제로 트러스트 및 방역 관리에 의존하세요.
지금 논의한 두 가지 과제(클라우드 구현 격차 및 클라우드 연결 디바이스의 확산)는 IoT 및 OT 디바이스 환경에 상당한 위험을 일으킵니다. IoT와 OT 디바이스의 확장된 공격 표면 영역의 내재적인 위험에 더하여, 보안 리더들은 최신 IoT 및 레거시 OT 전략의 융합을 이해하기 위해 노력 중이라고 말합니다. IoT는 클라우드 네이티브일 수 있지만 이러한 디바이스는 종종 기본 보안보다 비즈니스 편의성을 중시합니다. OT는 최신 보안 기술 없이 개발된 공급업체 관리형 장비이며 조직의 IT 네트워크에 임시로 도입되는 경우가 많습니다.
IoT 및 OT 디바이스는 조직이 원격 관리 및 자동화 같은 전략적 전환을 통해 작업 영역을 현대화하고, 보다 데이터 중심으로 만들고, 직원의 필요성을 줄이는 데 도움을 줍니다. IDC(International Data Corporation)는 2025년까지 416억 개의 연결된 IoT 디바이스가 있을 것이라고 추산합니다. 기존 IT 디바이스를 초과하는 성장률입니다.
그러나 이러한 기회에는 상당한 위험이 따릅니다. 2022년 12월 Cyber Signals 보고서 IT 및 운영 기술의 융합에서는 이러한 기술에 의해 제기되는 중요 인프라에 대한 위험을 살펴봤습니다.
주요 발견은 다음과 같습니다.
1. 고객 OT 네트워크에 있는 가장 일반적인 산업용 컨트롤러의 75%에서 패치되지 않은 심각도 높은 취약성이 발견됐습니다.
2. 인기 공급업체에 의해 생산된 산업용 제어 장비에서 2020년부터 2022년까지 심각도가 높은 취약성의 공개 건수가 78% 증가했습니다.
3. 인터넷상에 공개적으로 표시되는 많은 디바이스는 지원되지 않는 소프트웨어를 실행합니다. 예를 들어 유효 기간이 지난 소프트웨어 Boa는 여전히 IoT 디바이스 및 소프트웨어 개발 키트(SDK)에서 널리 사용됩니다.
IoT 디바이스는 종종 디지털 자산에서 가장 약한 고리를 나타냅니다. 기존 IT 디바이스와 다른 방식으로 관리, 업데이트, 패치되기 때문에 IT 네트워크에 침투하려는 공격자들에게 편리한 게이트웨이로 활용됩니다. 일단 액세스되면 IoT 디바이스는 원격 코드 실행에 취약합니다. 공격자는 IoT 디바이스에 보닛이나 맬웨어를 심기 위해 취약성을 통제하고 악용할 수 있습니다. 그 시점에서 디바이스는 전체 네트워크로 이어지는 열린 문 역할을 합니다.
운영 기술 디바이스는 상당수가 조직 운영에 필수적이기 때문에 훨씬 더 심각한 위험을 제기합니다. 역사적으로 오프라인이거나 물리적으로 기업 IT 네트워크에서 격리되어 있는 OT 네트워크는 IT 및 IoT 시스템과 갈수록 혼합되고 있습니다. Microsoft가 2021년 11월 Ponemon Institute와 함께 실시한 연구 엔터프라이즈 IoT/OT 사이버 보안 현황에 따르면 OT 네트워크의 절반 이상이 이제 기업 IT(비즈니스) 네트워크에 연결되어 있습니다. 유사한 비율의 기업(56%)이 원격 액세스 같은 시나리오에서 OT 네트워크에 인터넷 연결 디바이스를 두고 있습니다.
"작년에 관찰된 거의 모든 공격은 OT 환경에 활용된 IT 네트워크에 대한 초기 액세스에서 시작되었습니다."
David Atch, Microsoft 위협 인텔리전스, IoT/OT 보안 연구 책임자
OT 연결성은 공격 시 조직을 주요 중단 및 가동 중지 시간의 위험에 노출시킵니다. OT는 종종 비즈니스의 핵심이며 공격자에게 악용하여 심각한 피해를 줄 수 있는 매력적인 표적을 제공합니다. 디바이스 자체가 설계상 안전하지 않고, 최신 보안 관행에 비해 뒤처져 있고, 표준 IT 모니터링 도구의 가시성에서 벗어난 독점 프로토콜을 사용하는 브라운필드 또는 레거시 장비와 연결된 경우가 많기 때문에 쉬운 표적이 될 수 있습니다. 공격자는 인터넷에 노출된 시스템을 발견하고, 직원 로그인 자격 증명을 통해 액세스를 획득하거나 타사 공급자 및 거래 업체에 주어진 액세스를 악용하여 액세스를 획득함으로써 이러한 기술을 악용합니다. 모니터링되지 않는 ICS 프로토콜은 OT를 노린 공격의 일반적인 진입점입니다(Microsoft 디지털 방어 보고서 2022).
이처럼 여러 디바이스가 다양한 방식으로 IT 네트워크에 연결되어 형성된 혼합 연속에 전반에 걸쳐 IoT 및 OT 보안을 관리하는 고유한 과제를 해결하기 위해 보안 리더는 다음 모범 사례를 따르고 있습니다.
1. 포괄적 디바이스 가시성을 달성하세요.
네트워크에 있는 모든 자산, 모든 것이 서로 연결된 방식, 각 연결 지점과 관련된 비즈니스 위험 및 노출을 이해하는 것은 효과적인 IoT/OT 관리의 중요한 토대입니다. IoT 및 OT 인식 네트워크 탐지 및 대응(NDR) 솔루션과 Microsoft Sentinel 같은 SIEM은 네트워크상의 IoT/OT 디바이스에 대한 더 깊은 가시성을 제공하고 낯선 호스트와의 통신 등 이상 행동을 모니터링하는 데 도움을 줍니다. (OT상의 노출된 ICS 프로토콜 관리에 대한 추가 정보는 “IOT 디바이스의 고유한 보안 위험,” Microsoft Security를 참조하세요).
네트워크에 있는 모든 자산, 모든 것이 서로 연결된 방식, 각 연결 지점과 관련된 비즈니스 위험 및 노출을 이해하는 것은 효과적인 IoT/OT 관리의 중요한 토대입니다. IoT 및 OT 인식 네트워크 탐지 및 대응(NDR) 솔루션과 Microsoft Sentinel 같은 SIEM은 네트워크상의 IoT/OT 디바이스에 대한 더 깊은 가시성을 제공하고 낯선 호스트와의 통신 등 이상 행동을 모니터링하는 데 도움을 줍니다. (OT상의 노출된 ICS 프로토콜 관리에 대한 추가 정보는 “IOT 디바이스의 고유한 보안 위험,” Microsoft Security를 참조하세요).
2. 네트워크를 세분화하고 제로 트러스트 원칙을 채택하세요.
가능하다면 항상 네트워크를 세분화하여 공격 시의 측면 이동을 억제하세요. IoT 디바이스와 OT 네트워크는 에어 갭 또는 방화벽을 통해 회사 IT 네트워크와 격리되어야 합니다. 즉 OT와 IT가 공격 표면 전반에서 제로 트러스트 프로토콜에 따라 융합되고 구축되었는지 확인하는 것이 중요합니다. 네트워크 세분화는 갈수록 어려워지고 있습니다. 의료, 공공 시설, 제조와 같은 규제 대상 조직의 경우, 예를 들어 전자 건강 기록(EHR) 시스템에 연결되는 유방조영상 기계나 스마트 MRI, 원격 모니터링이 필요한 스마트 제조 라인이나 수질 정화 설비 등에서 OT-IT 연결은 비즈니스 기능의 핵심입니다. 이 경우 제로 트러스트가 필수적입니다.
가능하다면 항상 네트워크를 세분화하여 공격 시의 측면 이동을 억제하세요. IoT 디바이스와 OT 네트워크는 에어 갭 또는 방화벽을 통해 회사 IT 네트워크와 격리되어야 합니다. 즉 OT와 IT가 공격 표면 전반에서 제로 트러스트 프로토콜에 따라 융합되고 구축되었는지 확인하는 것이 중요합니다. 네트워크 세분화는 갈수록 어려워지고 있습니다. 의료, 공공 시설, 제조와 같은 규제 대상 조직의 경우, 예를 들어 전자 건강 기록(EHR) 시스템에 연결되는 유방조영상 기계나 스마트 MRI, 원격 모니터링이 필요한 스마트 제조 라인이나 수질 정화 설비 등에서 OT-IT 연결은 비즈니스 기능의 핵심입니다. 이 경우 제로 트러스트가 필수적입니다.
3. IoT/OT 보안 관리 예방 조치를 채택하세요.
보안 팀은 다음과 같은 기본적인 보안 예방 조치를 통해 빈틈을 메울 수 있습니다.
보안 팀은 다음과 같은 기본적인 보안 예방 조치를 통해 빈틈을 메울 수 있습니다.
- 불필요한 인터넷 연결과 개방형 포트를 제거하고 VPN 서비스를 사용하여 원격 액세스를 제한합니다.
- 패치를 적용하고 기본 암호 및 포트를 변경하여 디바이스 보안을 관리합니다.
- ICS 프로토콜의 인터넷 직접 노출 피하기
이러한 수준의 인사이트 및 관리를 달성하기 위한 실행 가능 가이드는 “IoT/OT 디바이스의 고유한 위험” Microsoft Security Insider를 참조하세요.
유용한 인사이트
1. IoT/OT 인식 NDR(네트워크 탐지 및 대응) 솔루션과 SIEM(보안 정보 및 이벤트 관리)/SOAR(보안 오케스트레이션 및 대응) 솔루션을 사용하여 네트워크상의 IoT/OT 디바이스에 대한 더 깊은 가시성을 획득하고 일반적이지 않은 호스트와의 통신과 같은 비정상적이거나 승인되지 않은 동작이 디바이스에서 발생하는지 모니터링하세요.
2. 엔드포인트 감지 및 응답(EDR) 솔루션으로 모니터링하여 엔지니어링 스테이션을 보호하세요.
3. 불필요한 인터넷 연결과 개방형 포트를 제거하고 포트 차단, 원격 액세스 거부, VPN 서비스 사용으로 원격 액세스를 제한하여 공격 표면을 줄이세요.
4. ICS 프로토콜의 인터넷 직접 노출 피하기
5. 네트워크를 세분화하여 초기 침입 후 공격자가 수평으로 이동하여 자산을 손상시킬 수 있는 능력을 제한하세요. IoT 디바이스와 OT 네트워크는 방화벽을 통해 회사 IT 네트워크와 격리되어야 합니다.
6. 패치를 적용하고 기본 암호와 포트를 변경하여 디바이스의 보안을 강화하세요.
7. OT와 IT가 공격 표면 전반에서 제로 트러스트 프로토콜에 따라 융합되고 구축되었는지 확인합니다.
8. 더 높은 가시성과 팀 통합을 촉진하여 OT와 IT 간의 조직적 정렬이 잘 되어 있는지 확인합니다.
9. 항상 기본 위협 인텔리전스를 기반으로 IoT/OT 보안 모범 사례를 따릅니다.
보안 리더가 높아지는 위협과 더 적은 리소스로 더 많은 것을 해내야 한다는 압박 속에서 디지털 자산을 간소화할 기회를 포착하는 가운데, 클라우드는 최신 보안 전략의 토대로 떠오르고 있습니다. 앞서 살펴봤듯이 클라우드 중심 접근법의 이점은 그 위험을 압도합니다. 특히 조직이 모범 사례를 채택하여 강력한 클라우드 보안 전략, 포괄적 태세 관리, IoT/OT 에지의 빈틈 제거를 위한 구체적 전술로 클라우드 환경을 관리하는 경우 더욱 그렇습니다.
다음 호에서는 더 많은 보안 분석 및 인사이트로 찾아뵙겠습니다. CISO Insider를 읽어 주셔서 감사합니다!
이러한 수준의 인사이트 및 관리를 달성하기 위한 실행 가능 가이드는 “IoT/OT 디바이스의 고유한 위험” Microsoft Security Insider를 참조하세요.
인용된 모든 Microsoft 연구는 개인 정보를 보호하면서도 분석의 정확성을 제고하도록 질적 연구 및 양적 연구를 위해 독립적인 연구 업체를 통해 보안 전문가를 접촉하도록 하여 수행된 것입니다. 본 문서에 포함된 인용 및 연구 내용은 달리 밝히지 않는 한 Microsoft 연구의 결과입니다.
Microsoft 팔로우