공격적 사이버 보안이란?"

방어에만 집중하는 기업들은 사이버 범죄자들이 매일 전술을 진화시키고 있기 때문에 새로운 위협에 취약한 상태로 남아 있습니다. 사이버 범죄는 현재 6조 4천억 달러 규모의 문제가 되었으며, 보고서에 따르면 앞으로 더 커질 전망입니다. 방어 체계가 정적일 때 공격자는 취약점을 악용할 방법을 쉽게 찾을 수 있습니다. 하지만 기업이 방어벽이 버티길 기다리기만 하는 대신 공격적으로 나간다면 어떨까요? 악의적인 공격자들이 발견하기 전에 스스로 취약점을 찾아낸다면 어떨까요?

공격적 사이버 보안은 해커가 되는 것과 유사하지만, 조직을 적극적으로 공격하는 대신 자신의 시스템을 침투해 보는 것입니다. 여기서는 공격적 사이버 보안 운영의 핵심 개념과 이점, 모범 사례를 살펴보겠습니다. 이 글을 읽으면 조직의 보안을 강화하는 데 도움이 되는 사전 예방적 조치에 대해 알게 될 것입니다.

공격적 사이버 보안/“OffSec”란 무엇인가?

공격적 사이버 보안, 일명 "OffSec"은 조직 내부로 들어가 디지털 인프라의 취약점을 찾는 접근법을 취합니다. 이를 위해서는 사이버 범죄자들의 전술, 기법 및 절차를 모방해야 합니다. 이는 악의적인 행위자들이 악용할 수 있는 알려지지 않은 취약점이 도사리고 있을 수 있는 모든 곳에서 공격적인 보안 조치에 더 가까운 입장을 취합니다.

단순히 위협을 차단하는 대신, OffSec은 보안 결함이 악용되기 전에 이를 찾아 패치하는 보다 선제적인 접근법을 취합니다. 실무자들은 공격자의 관점에서 시스템을 분석하기 위해 다양한 실제 전술을 활용합니다. 그 결과 조직은 기존 방식으로는 발견되지 않았을 알려지지 않은 취약점을 찾아낼 수 있습니다.

통제된 환경에서 공격적 방법을 적용함으로써 조직은 기존 보안 조치를 검증하고 더욱 개선할 수 있습니다. 디지털 자산은 지속적으로 테스트되고 개선되어 탄력성을 유지합니다.

공격적 보안의 필요성

랜섬웨어처럼 표적화된 공격이나 스피어 피싱, APT 같은 정교한 공격이 증가함에 따라 기존 방어 체계로는 대응이 어려워지고 있습니다. 버라이즌 2024년 보고서에 따르면, 침해 사고의 62%가 랜섬웨어와 관련되었습니다. 공격적 보안은 조직이 이러한 미래 위협을 탐지하고 비용이 많이 드는 사고가 발생하기 전에 이를 방지할 수 있도록 합니다.일반 데이터 보호 규정(GDPR) 및 다양한 산업별 지침이 표준으로 자리 잡으면서 기업들은 선제적인 보안 조치를 시행해야 합니다. 공격적 사이버 보안은 표면상으로는 발견되지 않을 수 있는 시스템의 취약점을 찾아내어 공격을 시뮬레이션함으로써 이러한 위험을 줄이거나 완화하기 위한 통합 접근법의 한 부분입니다.

공격적 vs 방어적 사이버 보안

성장하는 조직에서 보안을 관리할 때, 한편으로는 끊임없이 취약점을 보완하고 위협이 발생할 때마다 대응해야 합니다. 반면, 항상 "내가 놓치고 있는 것은 무엇인가?"라는 의문을 품게 됩니다.

방어적 전략은 장벽을 구축하고 감시하는 반면, 공격적 접근법은 시스템의 균열을 적극적으로 찾아냅니다. 이들의 서로 다른 역할과 상호 의존성을 명확히 하기 위해, 방어적 및 공격적 사이버 보안의 핵심 측면을 요약한 표를 제공합니다.

공격적 보안 운영을 만드는 방법?

공격적 사이버 보안 운영을 통해 기업은 마치 현실 세계에서 다시 한번 공격을 받은 것처럼 행동할 수 있습니다. 조직이 결제 게이트웨이 서비스를 운영 중인 경우, 해커가 직접 침투하기 전에 시스템 결함을 조기에 발견할 수 있습니다. 해커의 침입을 기다리기보다는, 이러한 운영은 레드팀 훈련을 수행하여 공격자가 고객 데이터를 어떻게 표적으로 삼을지 공격자의 관점을 시뮬레이션합니다.

이 접근 방식에는 두 가지 이점이 있습니다: 첫째, 기업이 자체 환경에서 발견되는 지속적 위협 유형을 적극적으로 탐색하도록 유도합니다. 둘째, 이러한 수동적 점검은 일반 방어 점검을 통과할 수 있는 취약한 암호화와 같은 보안 침해를 탐지할 수 있습니다. 강력한 공격적 사이버 보안 운영을 구축하는 방법은 다음과 같습니다:

1. 명확한 목표 설정

공격적 사이버 보안 운영을 실행하려는 조직은 명확한 목표 설정부터 시작해야 합니다. 가장 큰 효과를 거두기 위해서는 테스트 대상이 자체 시스템, 네트워크, 애플리케이션 중 어느 것이든 상관없이 이러한 목표는 기업 자체의 목표와 일치해야 합니다. 목표를 구체화함으로써 조직은 실제로 달성 가능한 것이 무엇인지 파악할 수 있습니다.

예를 들어, 한 조직은 웹 애플리케이션 내 영향력이 크지만 단기적인 결함을 분류하거나 피싱 공격에 대한 직원들의 대응을 살펴보고자 할 수 있습니다. 월간 침투 테스트 수행이나 연간 레드팀 훈련과 같은 정확한 목표를 염두에 두면 진행 상황과 효과를 측정할 수 있습니다.

2. 숙련된 공격적 사이버 보안 팀 구축

공격적 보안의 성공은 이를 보호하는 팀에 크게 좌우됩니다. 윤리적 해킹, 네트워크 보안, 공격 기법 등 다양한 경험을 갖춘 팀을 구축한 조직이 보안 문제를 해결하는 데 더 유리합니다. 또한 사이버 보안 자격증을 보유한 전문가들은 발생하는 모든 문제를 해결할 수 있는 전문성을 갖추고 있어 매우 가치 있는 팀원입니다.

3. 고급 도구 및 기술 활용

공격적 보안을 실행하려면 취약점 식별 및 악용을 위한 고급 도구가 마련되어야 합니다. SentinelOne의 공격적 보안 엔진은 실제 공격을 시뮬레이션하여 취약점을 발견하고 위험으로 발전하기 전에 문제를 해결할 수 있습니다. 이 플랫폼의 자동화된 위협 대응 기능은 위협을 신속하게 무력화하여 잠재적 피해를 줄입니다. 또한, Singularity Cloud Native Security는 클라우드 환경 전반에 걸친 완벽한 가시성으로 보안을 강화하고 검증된 악용 경로를 정확히 파악합니다.

4. 자동화 구현

공격적 보안 작업은 자동화를 통해 더 빠르고 효율적으로 수행됩니다. 대부분 일상적인 작업인 취약점 스캔, 보고 및 분석은 즉시 실행 가능합니다. 자동화된 취약점 스캔 도구는 잠재적 문제를 언제든지 식별하기 위해 지속적으로 실행됩니다. 자동화는 또한 시스템이 지속적으로 모니터링되도록 보장하여 더 복잡한 작업에 집중할 수 있게 합니다.

5. 실제 시나리오를 활용한 공격 수행

레드팀 활동은 단순한 침투 테스트를 넘어섭니다. 레드팀은 다학제적 접근을 통해 보안 프레임워크의 모든 측면을 악용하는 다양한 수준의 복잡한 공격을 수행합니다. 이는 실제 공격을 모방하고 조직의 사고 대응 능력을 평가하기 위해 설계되었습니다. 이는 조직의 보안 방어 체계가 실제로 얼마나 강력한지 파악하는 탁월한 방법입니다.

공격적 보안 전략의 이점

<공격적 보안 전략을 활용함으로써 기업은 취약점을 발견하고, 이러한 취약점이 데이터 유출에 악용되기 전에 처리할 수 있습니다. 공격적 전술을 도입함으로써 기업은 규정 준수 기준을 충족하고 위험을 낮출 수 있습니다. 또한 다양한 부서 간 협력을 통해 위협에 대한 대응을 신속하고 집중적으로 수행할 수 있습니다. 공격적 사이버 보안 전략 사용의 추가적인 장점은 다음과 같습니다:

• 선제적 위협 탐지: 공격적 보안은 모의 공격을 통해 취약점을 발견하는 데 도움이 됩니다. 이는 위협이 실제 사고로 발전하기 전에 조기에 식별할 수 있게 합니다. 따라서 조직의 핵심 시스템을 강화하기 위한 개선을 적시에 수행할 수 있습니다. 예를 들어, 모의 피싱 공격은 직원들이 악성 링크를 클릭하기 쉬운 취약점을 드러낼 수 있으며, 이를 통해 조직은 맞춤형 교육 프로그램을 시행할 수 있습니다.
• 시스템 복원력 향상: 실제 위협에 대한 이해를 높임으로써 조직은 인프라를 강화합니다. 공격을 받을 경우 실제 침해 시나리오에서 발생할 상황을 예측할 수 있습니다. 이러한 복원력과 적응력은 시스템이 향후 공격을 견딜 수 있도록 준비시킵니다.
• 보안 성숙도 향상: 정기적인 테스트는 보안을 사후 대응에서 사전 예방으로 전환합니다. 각 평가는 조직의 방어 체계를 위협 예방 및 대응 측면에서 최신 수준에 가깝게 만듭니다. 예를 들어, 지속적인 침투 테스트는 취약한 암호화 프로토콜을 발견하여 조직이 강력한 알고리즘으로 업그레이드하도록 합니다.
• 규정 준수 보장: 배경 조사를 포함한 공격적 보안은 조직이 결제 카드 산업 데이터 보안 표준(PCI-DSS), 건강보험 이동성 및 책임법(HIPAA), 일반 데이터 보호 규정(GDPR)과 같은 표준 준수를 확인할 수 있도록 하여 규제 요구 사항을 충족하는 데 도움을 줍니다.
• 비용 효율적인 위험 완화: 취약점을 조기에 식별하면 향후 침해 사고로 인한 잠재적 경제적 영향을 줄일 수 있습니다. 시뮬레이션 공격 과정에서 취약한 비밀번호 정책을 발견하면 실제 사고 발생 전에 이를 수정할 수 있습니다.
• 팀 준비도 및 협업: 공격적 시뮬레이션은 조직 내 모든 구성원의 훈련 기회로 활용될 수 있습니다. 이러한 공격 연습은 인식을 제고하고 팀이 실제 위협에 신속하고 조율된 대응을 할 수 있도록 준비시키는 데 도움이 됩니다. 이는 기존 관행을 개선하고 방어팀과 공격팀 간의 개방적인 협력을 촉진합니다.

공격적 사이버 보안 서비스의 4가지 유형

공격적 사이버 보안 서비스는 공격자보다 먼저 취약점을 탐지하기 위해 조직의 시스템, 네트워크, 인력을 파악합니다. 이 서비스는 네 가지 주요 방식을 통해 위험을 선제적으로 인식합니다:

1. 침투 테스트

침투 테스트 또는 펜 테스트는 시스템, 네트워크 또는 애플리케이션에 대한 실제 사이버 공격을 시뮬레이션하여 잠재적 취약점을 식별합니다. 공격자가 사용하는 기술과 전략을 재현함으로써 조직은 악용될 수 있는 약점을 발견합니다. 작동 방식은 다음과 같습니다.

• 정보 수집: 정보 수집의 첫 단계는 네트워크 정보, 소프트웨어 버전, 시스템 구조 등 시스템 구성에 대한 데이터를 수집하는 것입니다. 이를 통해 가능한 진입점이 어디에 존재할 수 있는지 더 잘 파악할 수 있습니다.
• 취약점 스캔: Singularity™ Vulnerability Management와 같은 자동화 도구는 시스템에 알려진 취약점이 있는지 스캔합니다. 이는 악용될 수 있는 취약점의 초기 목록을 제공합니다.
• 악용: 침투 테스트 담당자는 식별된 취약점을 악용하여 한계를 조금 더 넓히려고 시도합니다. 이는 잠재적 공격자가 실제로 수행할 수 있는 행동을 현실 세계의 위험 평가로 전환하는 과정입니다.
• 악용 후 단계: 침투에 성공한 후 테스터는 민감한 시스템과 데이터에 더 깊이 접근하기 위해 권한 상승을 시도합니다.
• 보고 및 대응: 테스트 완료 후 발견 사항, 위험 요소, 취약점 해결 방안을 제시하는 종합 보고서가 작성됩니다. 기업은 보고서의 발견 사항을 해결함으로써 잠재적 위협에 대응할 수 있는 정보 기반 조치를 계획할 수 있습니다.

2. 레드 팀 활동&

레드 팀 은 윤리적 해커 팀이 정교한 위협 행위자의 공격을 시뮬레이션하는 보다 심층적이고 광범위한 공격적 서비스입니다. 조직에 제공하는 이점은 다음과 같습니다:

• 실제 공격 시뮬레이션: 레드팀은 디지털 경계를 넘어서는 공격이나 물리적 보안 침해를 포함한 실제 공격과 동일한 전술을 사용합니다. 또한 자격 증명을 위조하고 모범 사례의 목록 권한 기준을 우회하는 등 사회공학적 기법을 시도하여 시스템 접근을 시도합니다.
• 종합적 보안 테스트: 레드팀 활동은 물리적 보안, 네트워크 방어, 사고 대응(또는 재해 복구), 직원 수준 보안까지 포괄하는 종합적인 보안 테스트입니다. 이는 조직의 취약점이 IT 분야뿐만 아니라 전반적으로 어디에 존재하는지 보여줍니다.
• 실행 가능한 통찰력: 레드팀은 방어 체계가 정확히 어떻게 실패하는지, 그리고 조직이 이러한 결함을 수정하기 위해 무엇을 할 수 있는지에 대한 분석을 제공합니다. 이 통합된 접근 방식은 개별적으로 수행된 테스트보다 더 큰 통찰력을 제공하여 그 가치를 높입니다.

3. 취약점 평가

취약점 평가는 컴퓨터 시스템을 체계적으로 검사하여 보안 위험을 식별하는 것을 의미하며, 이러한 위험을 시스템 공격에 이용하지 않습니다. 다음과 같은 점에서 그 중요성이 분명합니다:

• 자동화된 스캐닝: SentinelOne 과 같은 자동화 도구는 시스템에서 구식 소프트웨어, 취약한 비밀번호, 잘못된 구성 등의 취약점을 찾습니다. 이러한 평가는 네트워크 전반에 존재하는 보안 허점에 대한 높은 수준의 개요를 제공합니다.
• 수동 검증: 수동 식별 과정에서 분석가는 오탐(false positive)만 발견했음을 증명하고, 자동화된 스캔에서 식별된 결과가 특정 결함 패키지에 대해 사실임을 확인해야 합니다. 이를 통해 진정한 위험만 우선순위로 처리됩니다.
• 위험 우선순위 지정: 취약점이 식별된 후에는 어떤 위험을 먼저 처리할지 결정해야 합니다. 이를 통해 조직은 우선순위가 낮은 문제를 먼저 해결하면서도 최우선 문제들은 가능한 한 신속하게 수정할 수 있습니다.&

4. 사회공학적 테스트

사회공학적 테스트는 기술적 취약점보다는 인간의 약점을 이용하는 방식으로, 직원이 속아 무단 접근 권한을 제공할 수 있는 상황을 시뮬레이션합니다. 이 서비스는 가장 취약한 연결 고리, 즉 직원을 강화하는 데 중점을 둡니다.& 테스트는 기술적 취약점보다는 인간의 약점을 악용하여, 직원이 속아 무단 접근 권한을 제공할 수 있는 상황을 시뮬레이션합니다. 이 서비스는 대부분의 보안 인프라에서 가장 취약한 연결고리인 '사람'을 강화하는 데 초점을 맞춥니다.

• 피싱 시뮬레이션: 직원들에게 가짜 피싱 이메일이나 SMS 메시지를 발송하여 반응을 관찰합니다. 이 테스트를 통해 직원들이 피싱 시도를 얼마나 잘 식별하는지 측정하고 추가 교육이 필요한 부분을 파악할 수 있습니다.
• 프리텍스팅: 테스트 담당자가 동료나 IT 지원 직원으로 위장하는 등 시나리오를 꾸며 직원을 속여 기밀 정보를 알아내는 방법입니다.
• 미끼 공격(Baiting): 감염된 USB 드라이브나 유혹적인 다운로드 파일 같은 악성 항목을 직원 환경에 배치하여 속이는 방식입니다. 직원이 이러한 장치나 파일을 조작하면 침입 시도가 발생하며, 이는 공격자가 인간의 호기심을 이용해 민감한 시스템이나 정보에 접근하는 방식을 시뮬레이션합니다.

공격적 사이버 보안 구현을 위한 모범 사례

공격적 보안의 목표는 공격자보다 먼저 취약점을 식별하는 것이므로 조직은 모범 사례를 준수해야 합니다. 아래 실천 사항은 이러한 훈련이 공격적 보안(OffSec)의 유용하고 집중적이며 효율적인 목적을 달성하도록 보장합니다.

1. 위험 평가를 통한 취약점 파악

철저한 위험 평가를 수행하지 않는 것은 중대한 실수입니다. 위험 평가에는 시스템의 현재 보안 수준 평가, 자체 자산 파악, 다양한 유형의 대상이 정보를 어떻게 받아들이고 심각하게 여길지에 대한 평가가 포함됩니다.

위험 평가를 효과적으로 완료하려면 기업은 가장 위험이 크고 가장 중요한 데이터가 있는 영역에 우선 집중해야 합니다. 비즈니스 위험을 반영하는 취약점을 우선순위화함으로써 기업은 실행 계획을 수립할 수 있습니다.

2. 윤리 우선: 합법성과 책임성 유지

모든 공격적 보안 활동은 법적·윤리적 범위 내에서 이루어져야 합니다. 법적 책임을 피하기 위해서는 모든 시스템 테스트에 대해 사전 승인을 받는 것이 필수적입니다. 또한 기업은 원격 공격에 대해 엄격한 윤리 지침을 마련하여 자신들에게 의도치 않게 문제를 초래하거나 데이터 보호 규정을 위반하지 않도록 해야 합니다. 이는 모든 공격적 보안 기법이 책임감 있게 수행되고 업계 표준에 따라 완전히 관리되도록 하기 위함입니다.

3. 피드백 루프를 통한 지속적인 테스트와 개선

지속적인 테스트를 통해 조직은 새롭게 발생하는 보안 취약점을 신속하게 식별하고 대응할 수 있습니다. 따라서 모든 조직은 잠재적 위험을 조기에 발견하기 위해 정기적인 취약점 매핑, 침투 테스트 및 레드팀 활동을 수행해야 합니다.

피드백 루프 역시 매우 중요합니다. 발견된 결과는 공격적 보안 테스트의 개선을 이끌어냅니다. 이러한 지속적인 반복 프로세스는 실제 경험을 바탕으로 회사가 발전하고 강화하는 데 도움이 됩니다.

4. 공격적 노력과 방어적 노력의 조율

공격적 테스트 과정에서 얻은 유용한 정보는 대응 프로토콜, 방화벽 설정, 기타 보안 조치 강화 등 방어 체계에 반드시 반영되어야 합니다. 시간이 지남에 따라 이러한 접근 방식은 공격에 투입된 자원이 방어 전략에도 활용되도록 보장합니다. 이는 외부 위협을 차단하고 내부 침입에 대비하는 통합된 보안 태세입니다.

5. KPI로 측정하고 개선하기

KPI를 마련하면 성과 중심의 보안이 가능해집니다. 예를 들어 취약점 수정 소요 시간, '레드팀' 공격 중 성공률, 발견된 주요 취약점 수 등이 있습니다. 이러한 월별 통계를 확보하면 조직은 보안에서 선제적 대응이 가능해지며, 공격적 보안이 지속적으로 발전하는 성과임을 입증할 수 있습니다.

공격적 사이버 보안을 위한 SentinelOne

SentinelOne은 AI 기반 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 통해 공격적 사이버 보안을 간소화합니다. 이 플랫폼은 조직이 악용 가능한 취약점을 식별할 수 있도록 합니다. 센티넬원은 또한 실시간 대응을 관리하고 다음을 통해 지속적인 보호를 유지합니다:

• AI 기반 위협 탐지: SentinelOne’s Offensive Security Engine 실제 공격을 시뮬레이션하여 취약점 우선순위를 지정합니다. 보안 팀에 실행 가능한 인사이트를 제공하는 검증된 익스플로잇 경로에 집중합니다.
• 실시간 위협 대응: 플랫폼의 실시간 보호 및 에이전트 없는 스캔 기능으로 위협을 즉시 탐지하고 대응할 수 있습니다.
• 포괄적인 가시성: SentinelOne은 멀티 클라우드 환경 전반에 걸쳐 데이터를 수집하여 가시성을 강화하고 취약점 관리를 간소화합니다. 이를 통해 보안 팀은 최소한의 노력으로 위협을 감시하고 대응할 수 있습니다.
• 시프트 레프트 보안 통합: SentinelOne은 인프라스트럭처 애즈 코드(IaC) 스캐닝을 통해 개발 워크플로우와 통합되어 개발자가 애플리케이션 라이프사이클 초기 단계에서 취약점을 발견하고 프로덕션 환경으로 넘어가는 위험을 크게 줄일 수 있도록 합니다.&
• AI를 통한 지속적인 개선: 싱귤러리티 데이터 레이크를 기반으로, SentinelOne은 데이터 기반 인사이트를 제공하고 인시던트 대응을 자동화합니다. 모든 공격으로부터 지속적으로 학습하여 탐지 및 방지 메커니즘을 개선합니다.

결론

공격적 사이버 보안은 공격자들보다 한 발 앞서 나가며 갑작스러운 위협에 당하지 않도록 합니다. 기업 곳곳에 숨어 있는 사각지대, 잠복 위협, 악의적인 활동에 작별을 고하세요. SentinelOne과 같은 고급 보안 솔루션을 활용해 피싱 시뮬레이션을 실행하고 직원들의 최신 공격적 사이버 보안 관행에 대한 이해도를 테스트할 수 있습니다. 보다 적극적인 보안 태세로 전환하여 새롭게 등장하는 위협에 대비하세요. 조직의 미래가 나중에 감사할 것입니다.

"

FAQs