기본 보안부터 철저히 해야

현재의 비밀번호로는 계정을 충분히 지킬 수 없다는 거, 보안 전문가라면 다 알고 있다.

 

주요 인프라 공격의 85%가 "패치, 2차 인증(추가 인증), 최소 권한 원칙" 등 기본적인 수준의 보안을 지키지 않아서 발생한 것으로 나타났다.

​

랜섬웨어를 포함한 침해 사고의 80~90%가 원격 접속과 관련된 문제다.

 

보안 솔루션 중 도입해야 할 1순위가 우회 및 원격접속을 차단할 수 있는 2차 인증 솔루션이이다.

 

기본 보안 정책만 지켜도 대부분의 공격은 막을 수 있다.

​

또한, "망분리"는 새로울 것도, 특별할 것도 없는 보안 전략이자 개념이이다.

​

"망분리" 했다고 해커들의 침투를 100% 막을 수 없다는 걸 인정해야만 하는 때가 도래했습니다. 이 시대에는 피해를 줄이는 게 보안의 가장 큰 임무였다.

​

이게 어디까지 갔냐면, "사이버 공격자들이 이미 네트워크에 들어와 있는 걸 상정하고 보안 전략을 마련해야 한다"가 보안의 명제가 되었다.

​

외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한하고, 보안의 위험을 분산함으로써 피해를 최소화해야 한다.

​

최근 들어, 중앙 집중식 관리 서버의 운영체제(OS) 및 관리자 계정이 해킹되어, 관리 서버를 장악하고 정보를 유출하여 도용 및 악용하거나, 악성코드 삽입, 정보를 삭제한 후 관리 서버를 무력화시켜 서비스를 불능 상태로 만드는 "단일 지점 공격"의 침해사고가 발생하여 기업에 많은 피해를 주고 있다.​

​

이런 침해 사고가 발생한 기업들의 특징은 다음과 같다.

​

▶OS 최신패치 및 업데이트 하지 않음.

​

▶2차 인증(추가 인증)을 사용하지 않음.

​

▶기본 포트를 그대로 사용함.

예) SSH/SFTP:22, VPN: 4433, RDP: 3389, SMB: 139, 445 등

​

▶불필요한 서비스를 비활성화 하지 않음.

​

▶정기적인 보안 감사를 하지 않음.

​

▶직원들의 보안에 대한 인식 결여(보안 교육 미비).

​

사이버 보안은 현대 기업의 IT 환경에서 복잡하고 중요한 문제다.

​

최근 해커들은 중앙 집중식 시스템에 침투(단일 지점 공격)하여 시스템을 장악, 정보를 유출하여 도용 및 악용하거나, 악성코드 삽입, 정보를 삭제한 후 시스템을 무력화시켜 서비스를 불능 상태로 만든다.

​

이젠 중앙 집중식에서 벗어나 탈중앙화 방식으로 보안의 위험은 분산 시키는 것이 기본이다.

​

그러면, 2차 인증 적용 순서는 어떻게 해야 할까?

​

1) 운영체제(OS)

​

최우선적으로 Windows, Windows server, Linux, Unix, MacOS 등의 다양한 운영체제(OS)와 VPN이다.

​

해커들은 2차 인증이 적용되어 있지 않은 OS의 원격접속에 주로 사용되는 RDP나 SSH 등을 이용하여 서버에 침투하여 서버를 장악한 후 불능 상태로 만든다.

​

또한, VPN은 사용자와 전체 네트워크로 접근 권한을 부여하기 때문에 내부 시스템에 보안 경계를 설정하기 어려워 해커들의 집중 공략 대상이다.

​

2) 관리자 계정이나 관리 콘솔

​

다양한 애플리케이션, WAS, 가상화, 클라우드 등의 관리자 계정이나 관리 콘솔에 대한 2차 인증 설정이다.

​

계정 정보를 유출하여 도용 및 악용하거나, 관리콘솔에 악성코드 삽입 또는 계정정보 또는 VM을 삭제한 후 시스템을 무력화시켜 서비스를 불능 상태로 만든다. 이는 기업에 커다란 피해를 준다.

​

3) 일반 사용자 계정

​

회사 내에서 업무를 위해 사용하는 애플리케이션(ERP, 포탈, 그룹웨어, 웹메일), 가상화, 클라우드 등의 일반 사용자 계정에 대한 2차 인증 설정이다.

​

특히, 외부에서 접속할 수 있는 시스템에 2차 인증을 설정해 보안을 강화할 수 있도록 해야 한다.

​

"망분리" 했다고 해커들을 침투를 100% 막을 수 없다는 걸 인정하고, 해커들이 이미 망 내에 들어와 있는 걸 상정하고 보안 전략을 마련해야 한다.

​

아직도 보안에 취약한 이런 방식이 사용되고 있다는 현실이 안타깝다.

​

▶2차 인증 중 해커들의 가장 좋아하는 적용 방식: Gateway(+Proxy) 방식

▶2차 인증 중 가장 취약한 인증 방식: SMS, 이메일 등 문자기반의 인증

▶2차 인증 중 해커들이 가장 애용하는 우회 기술과 피로공격에 취약한 인증 방식: 2 채널 인증

▶피싱 공격에 잘 속는 링크 방식: QR 코드 방식

​

정보자산의 보안 강화를 위해서는 가장 중요한 기본 사항은 다음과 같다.

​

▶보안 관점에서 위험을 얼마나 분산 시킬 것인지?

▶인증 절차 시 데이터 위변조를 어떻게 방어할 것인지?

▶계정 정보 도용 및 악용은 어떻게 차단할 것인지?

▶브라우저 자동 로그인은 어떻게 방어할 것인지?

▶단일 지점 공격을 어떻게 방어할 것인지?

▶우회/원격접속을 어떻게 차단할 것인지?

▶중간자 공격을 어떻게 방어할 것인지?

▶다중인증(MFA)의 우회기술을 어떻게 차단할 것인지?

▶다중인증(MFA)의 피로공격을 어떻게 방어할 것인지?

​

무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 접근하고자 하는 정보자산에 직접 입력 및 검증해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.

​

결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.