오펜시브 시큐리티란? 기법 및 이점

기업들은 디지털 자산을 보호하기 위해 다양한 조치를 취하고 있습니다. 그 중 가장 널리 사용되는 접근 방식 중 하나가 공격적 보안 엔진의 활용입니다. 기업은 취약점이 노출되어 악용되기 전에 이를 완화해야 하며, 이는 식별된 취약점을 사후에 수정하는 전통적인 방어적 보안 접근 방식과는 다릅니다. 공격적 보안은 보안 문제의 근본 원인을 해결하고 위협을 사전에 예측함으로써, 잠재적 취약점을 식별하고 해결할 수 있도록 지원합니다.

시스템이 보안 설정 미흡 등으로 인해 취약한 경우, 위협 행위자가 시스템, 네트워크 또는 애플리케이션을 의도적으로 공격하여 이를 악용할 수 있습니다. 본 블로그 포스트에서는 공격적 보안의 의미, 공격적 보안 엔진의 작동 방식, 그리고 방어적 보안과의 차이점을 살펴봅니다. 또한 침투 테스트, 레드팀, 사회공학 등 방어적 보안의 주요 구성 요소에 대해 알아봅니다.

공격적 보안이란?

공격적 보안은 사이버 보안 분야에서 중요한 구성 요소입니다. 이는 팀, 시스템 또는 소프트웨어를 대상으로 수동 또는 자동화된 공격을 시뮬레이션하여 가능한 한 많은 취약점을 탐지하고 강조하는 기술을 포함합니다. 공격적 보안을 사용하는 주요 목적은 침투 테스트, 레드팀, 사회공학, 취약점 평가와 같은 기법을 통해 취약한 시스템이 공격당하지 않도록 보안을 강화하는 데 있습니다.

이는 공격자가 악용하기 전에 모든 취약점을 발견하는 데 도움이 되는 능동적 접근 방식입니다. 공격적 보안 엔진은 사전 예방적 조치를 마련함으로써 기업을 지원합니다. 이를 통해 기업은 자사 애플리케이션이 공격자에 의해 어떻게 악용될 수 있는지 이해할 수 있습니다.

조직이 시스템의 약점과 취약성을 인지하게 되면, 적절한 조치를 취해 스스로를 보호할 수 있습니다. 공격적 보안 접근 방식의 주요 목표는 조직이 전반적인 보안 태세를 강화하도록 돕는 것입니다.

공격적 보안 vs 방어적 보안

기업이 디지털 제품을 보호하기 위해서는 공격적 보안과 방어적 보안의 차이를 이해하고, 자신에게 적합한 접근 방식을 선택해야 합니다. 아래에서 공격적 보안과 방어적 보안의 주요 차이점을 살펴보겠습니다.

공격적 보안의 주요 구성 요소

공격적 보안 활동은 다양한 기술과 전략으로 구성됩니다. 각각은 전반적인 보안 전략의 필수 요소입니다. 공격적 보안은 침투 테스트, 레드팀, 취약점 평가, 사회공학, 익스플로잇 개발과 같은 주요 구성 요소로 이루어집니다.

1. 침투 테스트

침투 테스트는 흔히 “펜테스팅”이라고도 하며, 시스템, 네트워크, 애플리케이션 등을 대상으로 한 모의 공격입니다. 이 과정은 주로 침투 테스터로 알려진 보안 전문가가 수행합니다. 이들은 침입 가능한 지점을 식별하기 위해 특수 도구와 기법을 사용합니다. 이러한 지점은 취약점으로 정의됩니다.

이 과정은 일반적으로 계획, 익스플로잇, 보고의 단계로 진행됩니다. 테스트의 목표는 시스템에 침입하여 특정 작업을 수행할 수 있는 방법을 이해하는 것입니다. 침투 테스트는 특정 보안 계층의 약점을 식별하고, 가장 강력한 공격에 대한 권고사항이나 보고서를 제공합니다. 침투 테스트는 네트워크, 애플리케이션 계층, 사회공학, 물리적 보안 등 다양한 도메인에 적용될 수 있습니다.

2. 레드팀

레드팀의 목적은 조직이 데이터 접근 또는 유출에 대한 사고 대응을 예방하거나, 불가능할 경우 대응할 수 있는 능력을 평가하는 것입니다. 계획된 공격을 도입하여 최대 5단계의 침투를 포함할 수 있으며, 레드팀의 다양한 파트 또는 여러 침투 그룹이 실제 공격을 모방하여 수행할 수 있습니다.

3. 취약점 평가

취약점 평가는 시스템 소프트웨어, 하드웨어 또는 네트워크의 취약점을 파악하기 위한 시스템별 프로세스입니다. 취약점 평가 과정은 스캐너와 같은 자동화 도구와 애플리케이션 및 네트워크의 수동 테스트를 기반으로 합니다. 공격적 보안 엔진은 취약점을 발견하고 심각도 수준에 따라 우선순위를 지정할 수 있습니다.

4. 사회공학

사회공학은 위협 행위자가 사람을 대상으로 하여 고의 또는 실수로 개인정보를 유출하게 만들어 데이터 유출을 일으키는 방법입니다. 이를 위해 레드팀은 피싱 이메일 등 공격의 특정 단계를 조직에 전달하여, 이후 접근에 사용할 정보를 수집하거나 잘못된 정보, 미끼를 활용합니다. 조직에 강력한 공격적 보안 엔진이 없다면, 이러한 공격은 기존 보안 경계를 우회할 수 있습니다.

5. 익스플로잇 개발

익스플로잇 개발은 공격적 테스트 내에서 기술적 훈련의 최소 단계로 볼 수 있으며, 식별된 취약점을 활용할 수 있는 도구나 스크립트를 개발하는 과정입니다. 보안 엔지니어는 위협의 잠재적 피해를 명확히 이해하기 위해 개념 증명(Proof of Concept, PoC)을 제작하고, 전담 소프트웨어 엔지니어에게 패치 배포에 필요한 데이터를 제공합니다.

공격적 보안 라이프사이클

공격적 보안 라이프사이클은 여러 단계로 정의된 접근 방식입니다. 각 단계는 조직 시스템의 보안 태세를 식별하는 데 필수적입니다. 공격적 보안 엔진의 각 단계와 라이프사이클의 세부 사항을 살펴보겠습니다.

• 정찰 및 정보 수집

공격적 보안 라이프사이클의 첫 번째 단계인 정찰 및 정보 수집은 실제 스파이처럼 행동하는 노력으로 볼 수 있습니다. 이 단계의 목표는 대상 시스템에 대한 정보(기술 스택, 영업 시간, 고객 정보, 서버 버전, 사용 중인 클라우드 제공업체 등)를 수집하는 것입니다.

• 취약점 분석

취약점 분석 단계에서는 정찰 단계에서 얻은 정보를 분석하여 관련 취약점을 파악합니다. 또한 보안 엔지니어는 주어진 취약점 또는 해당 취약점의 익스플로잇 가능성을 심각도를 기준으로 분석하여 취약점의 우선순위를 결정합니다. 이를 위해 취약점은 1에서 10까지 등급이 매겨지며, 10이 가장 치명적입니다. 이러한 등급은 NVD의 공통 취약점 평가 시스템 등 표준화된 점수 체계에서 자주 볼 수 있습니다.

• 익스플로잇

익스플로잇 단계에서는 식별된 취약점을 실제로 악용하여 대상 시스템을 해킹하려고 시도합니다. 이 단계에서 보안 테스터/엔지니어는 실제 해커 스타일의 공격을 시뮬레이션하여 어디까지 침투할 수 있는지 확인합니다. 또한 다양한 이점을 위해 엔터프라이즈 도구가 활용됩니다. 이 단계는 특정 시스템의 보안 취약점을 통해 무엇을 달성할 수 있는지 이해하는 데 중요한 펜테스트의 일부입니다.

• 포스트 익스플로잇 및 피벗

마지막 단계는 포스트 익스플로잇 및 피벗입니다. 시스템이 침해되어 공격자가 대상 시스템에 접근하게 되면, 보안 테스터/엔지니어는 해당 시스템에 대한 접근을 유지하려고 시도합니다. 즉, 침투 테스터는 애플리케이션에서 시스템 루트 레벨로 이동하거나 호스트 간 상호 연결을 시도합니다.

• 보고 및 조치

라이프사이클의 마지막 단계는 보고 및 조치입니다. 이 단계에서 보안 전문가는 발견 내용을 보고서로 정리하고 결론을 도출합니다. 보고서에는 탐지된 취약점, 이를 악용한 방법, 문제 해결을 위한 의미 있는 권고사항이 포함됩니다.

공격적 보안의 이점

공격적 보안은 사이버 보안 태세를 구현하려는 기업에 유리합니다. 주요 이점은 다음과 같습니다.

1. 취약점의 사전적 식별: 공격적 보안을 통해 조직은 공격자가 악용하기 전에 취약점을 발견할 수 있습니다. 실제 공격을 시뮬레이션함으로써 보안팀은 시스템과 애플리케이션의 약점을 파악할 수 있습니다.
2. 사고 대응 능력 향상: 공격적 보안 실천을 통해 조직은 사고 대응 계획을 개선할 수 있습니다. 공격자의 사고방식을 이해함으로써 보안팀은 탐지, 대응, 복구 전략을 더욱 효과적으로 개발할 수 있습니다. 이러한 준비는 실제 공격으로 인한 피해를 크게 제한합니다.
3. 보안 인식 제고: 침투 테스트, 사회공학 시뮬레이션 등 공격적 보안 훈련을 통해 임직원은 잠재적 위협에 대한 인식을 높일 수 있습니다. 이러한 교육은 직원이 악성 이메일이나 사회공학 기법을 인지하고 대응하는 데 도움이 됩니다. 또한 조직 내 보안 문화를 조성합니다.
4. 규제 준수: 많은 산업 분야에서는 데이터 보호와 사이버 보안에 대한 엄격한 규제가 있습니다. 공격적 보안 실천은 기업이 법적 기준에 부합하는 통제 기준을 충족하는 데 도움이 됩니다. 이러한 사전적 접근은 보안팀의 컴플라이언스 업무도 간소화합니다.

공격적 보안에 사용되는 익스플로잇 기법

공격적 보안의 일환으로 다양한 익스플로잇 기법이 사용됩니다. 이러한 기법은 윤리적 해커나 침투 테스터가 잠재적 취약점을 식별하고 대상 시스템을 익스플로잇하는 데 도움이 됩니다. 이 기법들은 조직이 위협에 대한 더 나은 방어 메커니즘을 구현하는 데 중요한 역할을 합니다. 주요 기법은 다음과 같습니다.

1. 버퍼 오버플로우

버퍼 오버플로우는 버퍼가 처리할 수 있는 것보다 더 많은 데이터가 전송되어 인접한 메모리가 덮어써지는 공격 유형입니다. 이러한 동작은 예기치 않은 결과, 애플리케이션 충돌, 심지어 악성 코드 실행으로 이어질 수 있습니다. 공격자는 버퍼 오버플로우를 이용해 시스템에 침입하거나 권한을 상승시킬 수 있습니다.

2. SQL 인젝션(SQLi)

SQL 인젝션은 악의적인 SQL 쿼리를 사용하여 웹 애플리케이션의 데이터베이스에 접근하는 공격 유형입니다. SQLi는 무단 데이터 접근, 데이터 변경, 데이터베이스 삭제로 이어질 수 있습니다. 개발자가 입력값을 제대로 검증하지 않고 SQL 쿼리를 작성할 경우, 공격자는 보안 조치를 우회하는 명령을 생성 및 제출하여 기밀 정보에 접근하거나 데이터 저장소를 변경할 수 있습니다.

3. 원격 코드 실행

원격 코드 실행(RCE)은 공격자가 피해자의 시스템에서 원격으로 임의의 코드를 실행할 수 있게 하는 취약점입니다. 이는 소프트웨어의 입력값 처리 미흡, 잘못된 명령어 검증 등 일련의 취약점으로 인해 발생할 수 있습니다. RCE 공격이 성공하면 공격자는 시스템을 완전히 제어할 수 있으며, 악성코드 배포 또는 데이터 유출이 가능합니다.

4. 권한 상승

권한 상승은 낮은 권한에서 더 높은 권한으로 접근할 수 있게 하는 취약점 유형입니다. 이러한 취약점에는 잘못 구성된 권한 등 기존 신호를 악용하거나, 더 높은 수준의 관리 권한으로 명령 실행이 가능한 새로운 영역을 도입하는 경우가 포함됩니다. 이를 통해 위협 행위자는 기밀 정보에 접근하거나 시스템 설정을 변경하거나 악성 프로그램을 배포할 수 있어 공격의 영향을 크게 증가시킵니다.

5. 중간자 공격

중간자(MITM) 공격은 공격자가 두 당사자 간의 암호화된 메시지를 가로채고 기록하는 사이버 도청 유형입니다. 이를 통해 공격자는 메시지를 읽거나, 경우에 따라 메시지를 수정하고 상대방으로 인증할 수 있습니다. MITM 공격은 네트워크 프로토콜의 취약점이나 약한 Wi-Fi 연결(와이파이 스푸핑)을 악용하여 데이터 무결성과 기밀성에 심각한 위협이 될 수 있습니다.

공격적 기법에 대한 일반적인 방어 조치

조직은 위협 행위자가 사용하는 다양한 공격적 기법에 대응하기 위해 강력한 방어 조치를 마련해야 합니다. 주요 방어 조치 몇 가지를 살펴보겠습니다.

• 보안 통제 구현

조직은 방화벽, 침입 탐지 시스템, 침입 방지 시스템 등 다계층 보안 아키텍처를 구현해야 합니다. 방화벽은 신뢰된 네트워크와 신뢰되지 않은 네트워크 사이의 장벽 역할을 합니다. IDS는 조직의 트래픽을 모니터링하며, 이상 징후가 감지되면 관리자에게 경고를 제공합니다.

IPS는 IDS와 유사하지만 위협을 차단할 수 있습니다. 또한 엔드포인트 보호 플랫폼과 엔드포인트 탐지 및 대응을 구현하여 조직의 엔드 디바이스를 보호하고 실시간으로 위협을 탐지할 수 있습니다.

• 지속적 모니터링 및 위협 탐지

강력한 보안 태세에는 지속적 모니터링과 위협 탐지가 필수적입니다. SIEM은 조직에 도움이 될 수 있습니다. SIEM은 다양한 소스의 로그 데이터를 집계 및 분석할 수 있습니다. 또한 실시간으로 이상 징후를 식별하고 조직에 경고를 제공합니다. 위협 인텔리전스 피드를 통합하여 조직이 알려진 위협과 공격 기법을 신속하게 파악하는 것도 효과적인 보안 조치입니다.

• 사고 대응

보안 사고로 인한 피해를 최소화하기 위해 조직은 상세한 사고 대응 계획을 마련해야 합니다. 이 문서에는 보안 사고 자체뿐만 아니라 잠재적 위협 지표에 대한 대응, 보안 사고로 영향을 받은 시스템의 복구 방안이 포함되어야 합니다.

테이블탑 연습 및 모의 훈련을 자주 실시하여 팀이 실제 사고 발생 시 정확히 무엇을 해야 하는지 숙지하도록 해야 합니다. 사고 후 리뷰도 과거 사고의 원인을 이해하고 유사 사고를 예방하는 데 중요합니다.

• 접근 통제 구현

접근 통제는 데이터와 시스템에 대한 무단 접근 가능성을 줄이는 방법 중 하나입니다. 조직은 제로 트러스트 보안 모델을 도입해야 합니다. 이 모델은 시스템 접근 전에 디바이스의 신원과 상태를 지속적으로 검증하도록 요구합니다.

또한 역할 기반 접근 통제를 적용하여 사용자가 업무 수행에 필요한 최소 권한만 부여받도록 해야 합니다. 이는 내부자 위협을 예방하고 수평 이동을 방지하는 데 유용합니다.

• 정기적인 보안 교육

인적 오류는 반드시 고려해야 할 보안 사고의 주요 원인입니다. 직원 대상 정기 교육을 의무화해야 합니다. 직원들은 피싱 메시지 식별, 링크 리디렉션 검사, 안전한 브라우징 습관을 익혀야 합니다. 또한 강력한 비밀번호의 중요성을 이해하도록 교육해야 합니다. 이를 통해 최소한 사용자명과 비밀번호가 공격자로부터 안전하게 보호될 수 있습니다.

공격적 보안에 SentinelOne을 선택해야 하는 이유

SentinelOne Singularity™ Cloud Native Security는 에이전트리스 CNAPP 솔루션으로, 오탐을 제거하고 경고에 신속하게 대응합니다. Verified Exploit Paths™를 통해 공격적 보안과 팀의 효율성을 극대화할 수 있습니다. 첨단 Offensive Security Engine™을 활용하여 공격자를 앞서고, 클라우드 인프라에 대한 안전한 공격 시뮬레이션을 통해 중요한 취약점을 탐지할 수 있습니다. 이전에 인지하지 못했던 약점과 보안 격차, 숨겨져 있거나 알려지지 않은 취약점까지 파악할 수 있습니다.

SentinelOne Singularity™ Cloud Native Security는 코드 저장소 전반에 하드코딩된 750개 이상의 시크릿 유형을 식별할 수 있습니다. 이를 통해 시크릿 유출을 방지할 수 있습니다. 최신 익스플로잇 및 CVE를 신속하게 파악하고, 클라우드 리소스가 영향을 받는지 빠르게 확인할 수 있습니다. SentinelOne은 2,000개 이상의 내장 점검 항목을 갖춘 CSPM 솔루션을 제공하며, 모든 클라우드 자산의 잘못된 구성을 자동으로 해결합니다.

AWS, Azure, GCP, OCI, DigitalOcean, Alibaba Cloud 등 주요 클라우드 서비스 제공업체를 지원합니다. 클라우드 컴플라이언스 대시보드를 활용하여 NIST, MITRE, CIS 등 다양한 표준에 대한 실시간 컴플라이언스 점수를 생성할 수 있습니다.

세계에서 가장 진보된 자율 사이버 보안 플랫폼인 SentinelOne의 CNAPP는 IaC(코드형 인프라) 스캐닝, 클라우드 탐지 및 대응(CDR), 컨테이너 및 쿠버네티스 보안 등 추가 기능도 제공합니다. 이는 강력한 기반을 구축하고 전반적인 공격적 보안 전략을 강화하는 종합 솔루션입니다.

투어 시작

서버, VM, 컨테이너를 위한 AI 기반 클라우드 워크로드 보호(CWPP)로, 런타임 위협을 실시간으로 탐지 및 차단합니다.

결론

조직의 디지털 자산을 보호하기 위해서는 공격적 보안 기법을 이해하는 것이 중요합니다. 기업이 버퍼 오버플로우, SQL 인젝션, 권한 상승 등 공격자가 사용하는 다양한 기법을 이해하면, 애플리케이션의 보안을 강화하는 조치를 취할 수 있습니다. 다계층 통제, 모니터링, 사고 대응 등 다양한 방어 메커니즘을 활용하면 위험을 줄일 뿐만 아니라 위기 상황에 신속하게 대응할 수 있습니다.

이와 별도로 인적 오류 문제를 해결하는 것도 성공적인 공격 가능성을 줄이는 데 도움이 됩니다. 기술적 보호와 임직원 교육에 대한 지속적인 노력이 현대 기업이 발전하는 위협에 면역력을 갖추는 데 기여할 것입니다. 전반적으로 이러한 접근 방식은 잠재적 취약점을 성장의 기회로 전환하여, 기업이 다양한 현대적 도전에 더욱 탄력적으로 대응할 수 있도록 돕습니다.