“철통 보안도 바른 설정부터” 잘못된 사이버 보안 구성 사례 10가지

사이버 보안 관련 소식은 최신 제로데이 취약점 또는 업체의 소프트웨어/제품이나 오픈소스 라이브러리의 주목할 만한 취약점에 대해 다루는 경우가 많다. 그러나 현실에서 많은 대형 데이터 침해 사고는 잘못된 구성에서 발생해왔고, 앞으로도 마찬가지일 것이다.

이 문제의 심각성을 강조하기 위해 미국 국가안보국(NSA)과 사이버보안 및 인프라 보안국(CISA)은 최근 광범위한 레드/블루 팀 평가와 위협 사냥 및 사고 대응 팀 활동을 통해 파악된 “10가지 가장 잘못된 사이버 보안 구성”을 정리해 발표했다.

대부분의 사이버 보안 전문가에게 문서 내용 상당수는 익히 알고 있는 내용이고 간단해 보이기까지 하지만, 그렇다고 쉽다는 뜻은 아니다. 또한 현대의 복잡한 디지털 환경에서 이러한 기본적인 부분을 대규모로 처리하는 것은 어려운 일이다.

이 문서는 성숙한 보안 태세를 갖춘 기업을 포함한 대규모 기업에서도 잘못된 구성이 만연함을 지적하며, 그동안 CISA가 주장해왔고 2024년 초에 가이드를 발표하기도 한 설계상 또는 기본적인 보안(secure-by-design/default) 접근 방식을 소프트웨어 공급업체가 채택해야 한다고 강조한다.

이 점을 염두에 두고 CISA가 확인한 10가지 항목을 자세히 살펴보자. 참고로 이 목록에는 우선순위나 중요도와 같은 순서가 없다. 각각 자체로 문제가 되고 공격자의 악용 경로로 이어질 수 있기 때문이다.

소프트웨어와 애플리케이션의 기본 설정

2024년에도 여전히 안전하지 않은 기본 소프트웨어 구성의 위험이 쟁점이 될 것이라고는 누구도 상상하지 못했지만 현실은 그렇다. 기본 자격 증명, 권한, 구성과 같은 문제는 여전히 일반적인 공격 벡터로 이용된다.

예를 들어 광범위하게 사용되는 상용 소프트웨어와 제품에서 기본 자격 증명을 그대로 둘 경우 악의적 행위자가 기본 자격 증명이 변경되지 않은 시스템과 환경을 찾아서 악용하는 상황이 발생할 수 있다.

기본값은 제조사가 스스로 게시하는 경우가 많으므로 널리 알려져 있고 별다른 기술이 없는 악의적 행위자라 해도 쉽게 찾을 수 있다. 공격자는 자격 증명을 식별하고 자신이 통제할 수 있도록 관리자 액세스 권한을 변경한 후, 침해된 디바이스를 축으로 삼아 다른 네트워크 시스템으로 이동할 수 있다.

디바이스의 기본 자격 증명 외에, CISA는 서비스의 기본 설정에서 액세스 제어가 지나치게 관대하고 취약한 경우가 많다면서 특히 안전하지 않은 액티브 디렉터리 인증서 서비스, 레거시 프로토콜/서비스, 안전하지 않은 SMB(서버 메시지 블록) 서비스 등을 지적했다.

목록에서 마이크로소프트의 비중이 큰 것은 평가 팀이 활동 과정에서 직면한 가장 일반적인 제품이 마이크로소프트 제품이고, 기본 자격 증명 외에 CISA 알려진 악용 취약점(KEV) 카탈로그에서 마이크로소프트가 가장 상위에 있기 때문이기도 하다. 1등이 항상 좋은 것만은 아니다.

부적절한 사용자/관리자 권한 분리

업계 전반적으로 최소 권한 액세스 제어와 같은 개념에 근거한 제로 트러스트가 화두임에도 불구하고 권한 분리 약점은 여전히 만연하다. CISA는 문서에서 과도한 계정 권한, 승격된 서비스 계정, 사용하지 않아도 되는 곳에 승격된 계정울 사용하기 등의 문제를 지적했다.

IT 또는 사이버 분야에서 어느정도 일한 사람이라면 이러한 문제 중 상당수는 인간의 행동과 복잡한 작업 환경에 기인한다는 것을 알 것이다. 사람들이 다양한 역할과 작업을 거치는 과정에서 계정에 여러 권한이 쌓이는 경우가 많은데 이러한 권한은 대부분 정리되지 않고 그대로 방치된다.

버라이즌 데이터 침해 조사 보고서 등에 따르면 대부분의 데이터 침해 사고에서 핵심은 자격 증명 침해다. 지나치게 허용 범위가 넓은 이러한 계정은 악의적 행위자가 악용할 수 있는 먹음직스러운 표적임이 매년 반복해서 확인되고 있다.

불충분한 내부 네트워크 모니터링

숲에서 나무가 쓰러지는데 주변에 그 소리를 듣는 사람이 없다면 그 소리는 실제로 존재하는 것일까? 비슷한 맥락에서, 네트워크가 침해되고 있는데 그것을 볼 시야가 없고 인식도 하지 못하며 관련된 경보도 없다면 무엇을 할 수 있을까? 아무것도 없다.

CISA 문서는 기업이 이상 동작을 감지하고 대응할 수 있으려면 충분한 트래픽 수집과 모니터링이 필요하다는 것을 보여준다. 문서에 설명된 바와 같이 평가 팀과 위협 사냥 팀이 네트워킹 및 호스트 기반 로깅이 충분하지 않은 시스템을 발견하거나, 로깅은 되지만 제대로 구성 및 모니터링되지 않아 사고 발생 시 대응하지 못하는 사례를 발견하는 경우가 많다.

즉, 악의적인 활동이 아무런 제한 없이 진행되고 감지되지 않은 채 피해 시스템에 장시간 머물 수 있게 되는 것이다. 네트워크 모니터링을 강화하려면 CISA 문서인 “CISA 레드 팀이 공유하는 네트워크 모니터링 및 보안 개선에 참고할 주요 조사 결과“를 읽어볼 것을 권한다.

네트워크 세그먼트화의 부재

문서에 나온 또 다른 기초적인 보안 제어 요소는 네트워크 세그먼트화의 필요성이다. 네트워크 세그먼트화 역시 더 크게 보면 제로 트러스트를 향한 추세에 부합한다. 네트워크를 세그먼트화하지 않는 기업은 다양한 시스템, 환경, 데이터 유형 사이에 보안 경계를 설정하지 못하게 된다.

이 경우 악의적 행위자가 하나의 시스템에 침해해서 악의적인 활동에 방해가 될 수 있는 저항과 부가적인 보안 제어 수단 및 경계에 직면하지 않고 자유롭게 시스템 사이를 이동할 수 있게 된다. 문서는 특히 IT와 OT 네트워크 간의 세그먼트화가 제대로 이뤄지지 않아 OT 네트워크가 위험에 처하는 문제를 지적한다. 산업 제어 시스템과 같은 환경에서 보안 및 안전과 관련해 실질적인 영향을 미치기 때문이다.

부실한 패치 관리

패치는 사이버 보안 분야에서 모두가 가장 기피하는 일인 것 같다. 문서는 최신 패치를 적용하지 않을 경우 알려진 취약점을 노리는 악의적 행위자의 악용에 시스템이 노출된다고 지적한다.

정기적으로 패치를 실시하는 기업도 문제에서 자유롭지 못하다. 사이엔티아 연구소(Cyentia Institute) 등이 지적한 바와 같이 기업의 교정 역량, 즉 취약점을 교정하는 능력(패치를 통한 교정 포함)은 수준 미달이다.

기업은 평균적으로 매달 새로운 취약점 10개 중 1개만 교정할 수 있고, 결국 취약점 백로그가 계속해서 기하급수적으로 증가하는 상황에 처하게 된다. 포네몬(Ponemon), 레질리온(Rezilion) 등 다른 연구소의 자료에서도 기업의 취약점 백로그가 수십만 개에서 수백만 개에 이르는 것으로 나타났다.

게다가 공격자는 기업이 교정할 수 있는 시간보다 약 30% 더 빠르게 취약점을 악용할 수 있다는 퀄리스(Qualys) 조사 결과까지 더하면 재앙은 시간 문제일 뿐이다. 공격자는 수많은 시도 중에 한 번만 맞으면 된다는 사실을 기억하라.

문서에 언급된 문제에는 정기적인 패치 미실행, 지원되지 않는(즉, 더 이상 패치가 나오지 않고 업체가 지원도 하지 않는) 운영 체제와 펌웨어 사용이 포함된다. 개인적으로는 기업이 안전한 오픈소스 구성요소를 사용하고 최신 버전을 사용 중인지 확인해야 할 필요성을 덧붙이고 싶다. 많은 기업에서 이 부분이 제대로 이뤄지지 않아 소프트웨어 공급망 공격이 증가하는 원인이 되고 있기 때문이다.

시스템 액세스 제어 우회

액세스 제어의 필요성이 누누이 강조되어 왔음에도 불구하고 악의적 행위자가 시스템 액세스 제어를 우회하는 상황은 여전히 존재한다. 이 가이드에서 명시적으로 지적한 사례는 PtH(Pass-the-Hash) 공격과 같은 인증 정보를 위한 해시 수집 이후 이 정보를 사용해 권한을 높이고 무단으로 시스템에 액세스하는 경우다.

취약하거나 잘못 구성된 MFA 방법

이 항목에서도 CISA와 NSA는 PtH 유형 공격의 위험에 대해 이야기한다. 이들은 많은 정부/DoD 네트워크에서 스마트 카드 및 토큰과 같은 MFA를 사용하는 경우에도 여전히 계정을 위한 비밀번호 해시가 존재하며, MFA가 강제되지 않거나 제대로 구성되지 않은 경우 악의적 행위자는 이 해시를 사용해서 무단 액세스 권한을 획득할 수 있다고 지적한다. 물론 이 문제는 유비키(Yubikey) 또는 디지털 폼팩터와 인증 툴을 사용하는 상용 시스템에도 존재할 수 있다.

피싱 방지 MFA의 부재

업계 전체가 꽤 오래 전부터 다중 요소 인증(MFA)을 추진하고 있음에도 불구하고 현실에서는 MFA라고 다 똑같지는 않다. 잘못된 구성과 약점으로 인해 피싱 내성이 없는 MFA가 존재하며, 이는 SIM 스왑과 같은 공격에 취약함을 의미한다. CISA의 팩트 시트 “피싱 방지 MFA 구현”과 같은 리소스는 관리자가 올바른 방향을 잡는 데 도움이 된다.

네트워크 공유와 서비스의 액세스 제어 목록 불충분

대부분 악의적인 행위자가 가장 먼저 노리는 대상은 데이터다. 그렇게 보면 충분히 보호되지 않는 네트워크 공유와 서비스가 이 목록에 포함된 것도 놀라운 일은 아니다. 가이드에 따르면 공격자는 주석, OSS 툴, 맞춤형 멀웨어를 사용해서 안전하지 않은 노출된 데이터 저장소를 식별하고 악용한다.

물론 이러한 상황은 온프레미스 데이터 저장소와 서비스에서 볼 수 있는데, 클라우드 컴퓨팅 도입과 사용자에 의해 잘못 구성된 스토리지 서비스, 그리고 저렴한 대용량 클라우드 스토리지가 결합되면서 이 추세는 더욱 가속화됐다. 결과적으로 공격자는 규모와 영향을 받는 개인의 수, 두 가지 측면에서 모두 막대한 데이터를 훔쳐낼 수 있다.

또한 가이드는 공격자가 데이터를 훔칠 수 있을 뿐만 아니라 향후 공격을 위한 정보 수집, 갈취, 악용할 자격 증명 식별과 같은 다른 악의적 목적으로 이 데이터를 사용할 수 있다는 점도 강조한다.

부실한 자격 증명 위생

자격 증명 침해는 여전히 주 공격 벡터다. 버라이즌의 DBIR에 따르면 모든 공격의 절반 이상에서 침해된 자격 증명이 사용됐다. 이 가이드에서 구체적으로 지적한 문제는 쉽게 크랙할 수 있는 비밀번호 또는 일반 텍스트 비밀번호로, 둘 다 공격자가 환경과 기업을 침해하는 데 이용된다.

클라우드가 등장하고 선언적인 코드형 인프라와 머신 식별 및 인증이 확산되면서 자격 증명이 포함된 비밀 정보 악용도 폭발적으로 증가했다. 보안 업체 깃가디언(GitGuardian)의 비밀 정보의 무분별한 사용 현황(State of Secret Sprawl) 보고서에도 이 문제가 잘 정리돼 있다.

이 문제는 업체가 플랫폼과 솔루션에 비밀 정보 관리 기능을 구현하고 있는 이유이기도 하다. 소스 코드 유출로 인해 6,000개 이상의 비밀 키가 노출된 삼성 사례와 같이 가장 유능한 디지털 기업도 계속해서 같은 문제를 겪고 있다.

제약 없는 코드 실행

단순명료한 문제다. 공격자는 시스템과 네트워크에서 임의의 악성 페이로드를 실행할 방법을 모색한다. 검증 및 승인되지 않은 프로그램은 시스템이나 엔드포인트에서 악성 코드를 실행할 수 있고, 이로 인해 침해가 발생하고 기업 네트워크에서 악성 소프트웨어의 횡적 이동 또는 확산이 용이해질 수 있다는 측면에서 상당한 위험이 따른다.

가이드는 이 코드가 실행 파일, 동적 링크 라이브러리, HTML 애플리케이션, 심지어 매크로와 같은 오피스 소프트웨어 애플리케이션의 스크립트에 이르기까지 다양한 형태를 취할 수 있음을 지적한다.
dl-itworldkorea@foundryco.com

Chris Hughes editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지