오늘날과 같은 디지털 시대에 회사들은 비즈니스를 위해 점점 더 기술과 온라인 시스템에 의존하고 있습니다. 이로 인해 사이버 위협에 맞서 보호하고 위험을 최소화하며 비즈니스의 실행 가능성을 지속적으로 확보하기 위해 사이버 위생의 최소 기준을 충족하는 것은 필수적인 일이 되었습니다.
기본적인 보안 위생만으로도 공격의 98%에 대응할 수 있습니다.1
지금 등록 하여 Microsoft 디지털 방어 보고서 2024의 인사이트를 제공하는 주문형 웹 세미나를 시청하세요.
기본적인 사이버 위생으로 공격의 99% 예방하기
모든 조직이 채택해야 하는 최소 표준은 다음과 같습니다.
- 피싱 방어용 MFA(다단계 인증) 요구
- 제로 트러스트 원칙 적용
- 최신 맬웨어 방지 사용
- 시스템 최신화 유지
- 데이터 보호
내 계정에 대한 공격이 줄었으면 하고 바라시나요? MFA를 사용하세요. 다단계 인증이라는 이름에서 알 수 있듯, 두 가지 단계 이상에서 인증을 요구합니다. 둘 이상의 인증 단계에 대응해야 한다는 것은 암호 하나를 알거나 크랙하는 것 만으로는 시스템에 액세스할 수 없게 된다는 것이기 때문에 공격자에게는 중대한 문제로 다가오게 됩니다. MFA를 사용하도록 설정해 두면 계정에 대한 공격의 99.9%를 예방할 수 있습니다.2
훨씬 더 쉬운 MFA 만들기
이름에도 이미 여러 단계임이 드러나 있듯, 다단계 인증 옵션은 장치에 생체 인식 데이터를 사용하거나 Feitan 보안 키 또는 Yubico 보안 키와 같은 FIDO2 규격 준수 단계를 사용하는 것과 같이 직원들의 마찰을 가장 적게 일으킬 수 있게끔 사용하려 노력해야 합니다.
MFA가 성가신 작업이 되지 않도록 합니다.
매번 상호작용 때마다 적용하기보다는 중요한 데이터와 주요 시스템을 보호하기 위해 추가적인 인증을 사용하는 것이 도움이 될 경우에만 MFA를 선택합니다.
MFA가 최종 사용자에게 부담이 되어야 할 필요는 없습니다. 위험 검색에 기반한 2단계 인증과 통과 인증, SSO(Single Sign On)을 트리거하도록 조건부 액세스 정책을 사용합니다. 이렇게 함으로써 최종 사용자는 디바이스가 최신 소프트웨어로 업데이트되어 있는 동안에는 회사 네트워크로 중요하지 않은 파일 공유나 일정에 액세스할 때 복잡한 로그온 시퀀스를 굳이 참지 않아도 됩니다. 또한 사용자들은 90일을 주기로 암호를 재설정하지 않게 되어 획기적으로 환경이 개선됩니다.
일반적인 피싱 공격
피싱 공격 시, 범죄자들은 소셜 엔지니어링 전략을 사용해 사용자들이 액세스 자격 증명을 알려주거나 중요한 정보를 공개하도록 속입니다. 다음과 같은 것들이 일반적인 피싱 공격에 속합니다.
암호와 ID에 대한 자세한 내용은 아래의 Microsoft 리소스를 참조하세요.
- CISO 시리즈: 단계별 로드맵을 통해 권한 있는 관리자 계정 보호하기, 블로그 게시자: Mark Simos, Microsoft
제로 트러스트 원칙은 모든 복원력 계획의 초석으로, 조직에 대한 영향을 제한합니다. 제로 트러스트 모델 은 모든 트랜젝션을 명시적, 지속적으로 확인하고, 최소 권한 액세스를 확고히 하며, 위협에 맞서 인텔리전스, 고급 탐지, 실시간 대응에 의존하는 디지털 자산의 모든 계층에 대한 선제적이고 통합적인 보안 접근 방식입니다.
제로 트러스트 방식을 채택하면 다음과 같은 것들을 할 수 있게 됩니다.
- 원격 및 하이브리드 작업 지원
- 위반으로 인한 비즈니스 손실의 예방 또는 경감을 지원
- 중요한 비즈니스 데이터 및 ID의 식별 및 보호 지원
- 경영진, 직원, 파트너, 관계자, 고객 모두에게 보안 태세 및 프로그램에 대한 신뢰도 구축
제로 트러스트 원칙은:
- 위반을 가정합니다. 공격자가 ID, 네트워크, 디바이스, 앱, 인프라, 기타 요소 중 어떤 것이든 성공적으로 공격할 능력과 의도가 있다는 가정 하에 이에 맞춰 계획을 세웁니다. 즉, 가능한 공격이 있는지 환경을 지속적으로 모니터링합니다.
- 명시적으로 확인 리소스에 대한 액세스를 허용하기 전에 사용자와 디바이스가 정상적인 상태인지 확인합니다. 모든 신뢰 및 보안 결정이 사용 가능한 관련 정보와 원격 분석을 사용한다는 사실을 명시적으로 확인하여 공격자의 제어로부터 자산을 보호합니다.
- 최소 권한 액세스 사용 JIT(just-in-time)/JEA(just-enough-access)는 물론 적응형 액세스 제어와 같은 위험 기반 정책을 통해 손상 가능한 자산에 대한 액세스를 제한합니다. 리소스에 액세스하는 데 필요한 권한만 허용하고 그 이상의 권한은 허용하지 않아야 합니다.
제로 트러스트 보안 계층
과도한 보안이라는 것도 존재합니다.
보안이 과도하다는 것은 일상적인 사용자에게 지나치게 통제적으로 느껴질 만한 보안이라는 의미이며, 이는 애초에 충분한 보안을 갖추지 못한 것과 동일한 결과, 즉 가중된 위험으로 이어질 수 있습니다.
통제적인 보안 프로세스는 사람들이 작업을 수행하는 것을 어렵게 만들 수 있습니다. 설상가상으로, 이렇게 하면 사용자가 창의적으로 섀도 IT 스타일의 해결책을 찾도록 만들며, 사용자가 개인적으로 가지고 있는 디바이스, 이메일, 스토리지를 사용하는 식으로 아예 보안을 우회하게끔 생각할 구실을 주게 되며 역설적으로 보안이 낮아 위험이 높은 시스템을 비즈니스에 사용하게 만듭니다.
제로 트러스트에 대한 자세한 내용은 아래의 리소스를 참조하세요.
- 비즈니스에 제로 트러스트 보안 전략을 받아들여야 하는 다섯 가지 이유 블로그 게시자: Vasu Jakkal, Microsoft
확장된 감지 및 대응 맬웨어 방지 기능을 사용합니다. 공격을 탐지하고 자동으로 차단하는 소프트웨어를 구현하고 보안 운영에 대한 인사이트를 제공합니다.
위협 탐지 시스템의 인사이트를 모니터링하는 것은 시기적절하게 위협에 대응하는 기능에 필수적입니다.
보안 자동화와 오케스트레이션 모범 사례
최대한 많은 작업을 탐지자에게 넘기기
분석가에게 보내기 전에 발견한 내용을 자동화하고 상관 관계를 확인하여 상호 연결할 센서를 선택하여 배포합니다.
경고 수집 자동화
보안 운영 분석가는 오프라인일 수도 있고 아닐 수도 있는 시스템에 쿼리를 하거나 자산 관리 시스템 또는 네트워크 디바이스 등의 추가적인 출처에서 정보를 수집하는 등의 추가적인 정보 수집을 일체 할 필요 없이 경고를 심사하고 대응하기 위해 필요한 모든 항목을 갖추고 있어야 합니다.
경고 우선 순위 지정 자동화
위협 인텔리전스 피드, 자산 정보, 공격 표시자에 기반하여 이벤트 우선 순위를 지정하는 데 실시간 분석을 이용해야 합니다. 분석가와 인시던트 응답자는 심각도가 가장 높은 경고에 주목해야 합니다.
작업 및 프로세스 자동화
빈번하고 반복적이며 시간을 오래 잡아먹는 관리 프로세스를 우선 대상으로 삼아 대응 절차를 표준화합니다. 대응이 표준화되면, 보안 운영 분석 워크플로를 자동화하여 어떤 경우에도 있을 수 있는 인위적인 개입을 배제하도록 함으로써 보다 중요한 작업에 집중할 수 있도록 합니다.
지속적인 개선
주요 메트릭을 모니터링하고 센서와 워크플로를 조율하여 증분적 변화를 유도합니다.
위협 방지, 탐지, 대응 지원
통합된 XDR(확장된 감지 및 대응)과 SIEM(보안 정보 및 이벤트 관리) 기능을 이용하여 종합적인 예방, 탐지, 대응 기능을 활용함으로써 모든 워크로드 상의 위협을 방어합니다.
원격 액세스
공격자들은 어떤 환경에 침입하여 진행 중인 작업을 실행함으로써 내부 리소스를 손상시키기 위해 원격 액세스 솔루션(RDP, VDI, VPN 등)을 노리는 경우가 많습니다.
공격자의 침입을 예방하기 위해 다음과 같은 것들이 필요합니다.
- 소프트웨어와 어플라이언스 업데이트 유지
- 제로 트러스트 사용자 및 디바이스 유효성 검사 적용
- 타사 VPN 솔루션 보안 설정
- 온-프레미스 웹 앱 게시
이메일 및 공동 작업 소프트웨어
환경에 침입하기 위해 흔히 사용되는 또 다른 전략은 이메일이나 파일 공유 도구를 통해 악성 콘텐츠를 전달하여 사용자가 이를 실행하게끔 하는 것입니다.
공격자의 침입을 예방하기 위해 다음과 같은 것들이 필요합니다.
- 고급 이메일 보안 구현
- 공격 표면 감소 규칙을 사용하도록 하여 일반적 공격 기술 차단
- 매크로 기반 위협에 대응하여 첨부 데이터 검사
엔드포인트
인터넷에 노출된 엔드포인트는 공격자가 조직의 자산에 액세스할 수 있게 만들어 준다는 점에서 공격자들이 흔히 이용하는 침입 벡터가 됩니다.
공격자의 침입을 예방하기 위해 다음과 같은 것들이 필요합니다.
- 파일을 다운로드하거나 실행하도록 시도하는 실행 파일이나 스크립트를 시작하거나, 난독 처리되어 있거나 기타 의심스러운 스크립트를 실행하거나, 보통의 일상적 업무에서라면 앱이 시작하지 않을 행동을 하도록 하는 등 특정 소프트웨어 행동을 대상으로 하는 공격 표면 감소 규칙에 관련된 알려진 위협을 차단합니다.
- 소프트웨어의 업데이트 및 지원 상태를 유지
- 불안한 시스템이나 프로토콜의 격리, 비활성화, 사용 중지
- 호스트 기반 방화벽 및 네트워크 방어를 통해 예기치 못한 트래픽을 차단
지속적인 경계 상태 유지
통합된 XDR과 SIEM을 사용하여 고급 경보를 알리고 대응 중의 마찰이나 수동 작업 단계를 최소화합니다.
레거시 시스템에 주의
바이러스 백신이나 EDR(엔드포인트 감지 및 응답)과 같은 보안 컨트롤이 없는 오래된 시스템을 사용하면 공격자들이 시스템 하나에서 전체 랜섬웨어와 반출 공격 체인을 실행할 수 있습니다.
보안 도구를 레거시 시스템에 설정할 수 없는 경우라면 해당 시스템을 방화벽 등을 통해 물리적으로 격리하거나 다른 시스템과 겹치는 자격 증명을 제거하여 논리적으로라도 격리하여야 합니다.
상용 랜섬웨어를 무시하지 말 것
클래식하게 자동화된 랜섬웨어로는 정교한 hands-on-keyboard 공격이 불가능할 수는 있지만 그 사실이 위험성을 줄여주는 것은 아닙니다.
악의적인 보안 해제에 주의하기
이벤트 로그 정리(특히 보안 이벤트 로그 및 PowerShell Operational 로그 정리)나 (특정 그룹 관련) 보안 도구 및 컨트롤 해제 등 일련의 공격 단계 중 하나로서 이루어지는 경우가 많은 악의적 보안 해제에 대비하여 사용 중인 환경을 모니터링합니다.
최신 맬웨어 방지 사용에 대한 자세한 내용은 아래의 Microsoft 리소스를 참조하세요.
- 효과적인 보안 운영 센터를 위한 Microsoft의 4대 원칙, 블로그 게시자: Jonathan Trull, Microsoft
- 보안 운영 자동화를 위한 최선의 모범 사례 다섯 가지, 블로그 게시자: Jonathan Trull, Microsoft
많은 조직은 주로 패치되지 않고 오래된 시스템 때문에 공격의 희생자가 되곤 합니다. 펌웨어, 운영 체제, 애플리케이션을 비롯한 모든 시스템이 최신 상태인지 확인합니다.
모범 사례
- 패치를 적용하고 기본 암호와 기본 SSH 포트를 변경하여 디바이스의 보안을 강화하세요.
- 불필요한 인터넷 연결과 개방형 포트를 제거하고 포트 차단, 원격 액세스 거부, VPN 서비스 사용으로 원격 액세스를 제한하여 공격 표면을 줄이세요.
- IoT(사물 인터넷)/OT(운영 기술) 인식 NDR(네트워크 탐지 및 대응) 솔루션과 SIEM(보안 정보 및 이벤트 관리)/SOAR(보안 오케스트레이션 및 대응) 솔루션을 사용하여 일반적이지 않은 호스트와의 통신과 같은 비정상적이거나 승인되지 않은 동작이 디바이스에서 발생하는지 모니터링하세요.
- 네트워크를 세분화하여 초기 침입 후 공격자가 수평으로 이동하여 자산을 손상시킬 수 있는 능력을 제한하세요. IoT 디바이스와 OT 네트워크는 방화벽을 통해 회사 IT 네트워크와 격리되어야 합니다.
- ICS 프로토콜의 인터넷 직접 노출 피하기
- 네트워크의 IoT/OT 디바이스에 대한 심층적인 가시성을 확보하고 디바이스가 손상될 경우 기업에 미치는 위험에 따라 우선 순위를 지정하세요.
- 펌웨어 검사 도구를 사용하여 잠재적인 보안 취약점을 파악하고 공급업체와 협력하여 고위험 디바이스의 위험을 완화할 수 있는 방법을 파악하세요.
- 공급업체가 보안 개발 수명 주기 모범 사례를 채택하도록 요구하여 IoT/OT 디바이스의 보안에 긍정적인 영향을 미치세요.
- 시스템 정의가 포함된 파일은 안전하지 않은 채널을 통하거나 필수 인력이 아닌 사람에게 전송하지 마세요.
- 이러한 파일 전송이 불가피한 경우에는 네트워크 활동을 모니터링하고 자산이 안전한지 확인하세요.
- EDR 솔루션으로 모니터링하여 엔지니어링 스테이션을 보호하세요.
- OT 네트워크에 대한 인시던트 응답을 선제적으로 수행하세요.
- Microsoft Defender for IoT 등의 솔루션으로 지속적인 모니터링을 배포하세요.
자세한 내용은 아래의 Microsoft 리소스를 참조하세요.
- 손상에 맞서 환경을 견고하게 다지는 방법 7가지, 블로그 게시자: Alan Johnstone & Patrick Strijkers, Microsoft
- 사이버 보안 위험의 이해를 통한 복원력 확보: Part 4—현존하는 위협의 탐색, 블로그 게시자: Mark Simos & Sarah Armstrong-Smith, Microsoft
중요한 데이터와 해당 데이터의 위치 및 적절한 시스템이 구현되어 있는지 여부를 아는 것은 적절한 보호 기능을 구현하는 데 매우 중요합니다.
데이터 보안과 관련된 어려움에는 다음과 같은 것들이 있습니다.
- 사용자 오류 위험의 경감과 관리
- 대규모 수동 사용자 분류의 비현실성
- 네트워크 외부에서도 데이터를 반드시 보호해야 할 필요성
- 규정 준수와 보안에 완전한 전략이 필요하다는 점
- 점차 엄중해지는 규정 준수 요건 충족
데이터 보안을 위한 심층 방어 접근 방식의 5대 요소
오늘날과 같은 하이브리드 작업 영역에서는 다양한 디바이스, 앱, 서비스를 통해 세계 어디서나 데이터에 액세스해야 합니다. 플랫폼과 액세스 지점이 수적으로 방대한 현실에서, 데이터 도난과 유출에 대해 강력한 보호 조치를 취해야 합니다. 오늘날의 환경에서는 심층 방어를 활용하는 접근 방식이 데이터 보안을 강화하는 데 필요한 가장 우수한 수준의 방어를 제공해 줍니다. 이러한 전략을 구성하는 요소는 모두 다섯 가지로, 조직의 독특한 요구 사항이나 규정과 관련하여 있을 수 있는 요건을 만족하게끔 어떤 식으로든 순서를 짜서 이들 각각의 요소를 모두 사용할 수 있습니다.
- 데이터 지형의 파악
중요한 데이터를 보호할 수 있으려면 먼저 해당 데이터가 어디에 존재하고 어떤 식으로 액세스되는지 확인해야 합니다. 이를 위해서는 온-프레미스, 하이브리드, 다중 클라우드를 망라한 전체 데이터 자산에 대한 총체적인 가시성을 확보해야 합니다. - 중요한 데이터 보호 전체적인 지도를 그리는 것과 아울러, 미사용 데이터와 이동 중인 데이터를 두루 보호해야 합니다. 바로 이 지점에서 데이터의 작동에 대해 정확히 레이블을 지정하고 분류하여 해당 데이터의 액세스 방식, 저장 방식, 공유 방식에 대한 인사이트를 확보할 수 있어야 합니다. 데이터를 정확하게 추적하면 유출이나 위반의 대상이 되는 일을 막을 수 있습니다.
- 위험 관리 데이터를 적절하게 매핑하여 레이블을 지정했더라도 잠재적인 데이터 보안 인시던트를 야기할 수 있거나 내부적인 위협 요소를 가지고 있는 데이터나 활동에 대한 사용자 컨텍스트를 설명할 필요가 있습니다. 내부 위험을 해소하기 위한 최선의 접근 방식은 올바른 인원, 올바른 프로세스, 올바른 교육, 올바른 도구를 한꺼번에 활용하는 것입니다.
- 데이터 손실 방지 데이터의 무단 사용 역시 손실인 만큼, 이에 대해서도 잊어서는 안됩니다. 효과적인 데이터 손실 방지 솔루션이라면 보호와 생산성의 균형을 지켜야 합니다. 적절한 액세스 제어를 확실히 배치하는 것과 적절한 정책을 확실히 설정하여 중요한 데이터를 부적절하게 저장하거나 보관하거나 출력하는 행위를 방지하는 것이 중요합니다.
- 데이터 수명 주기 관리 데이터 거버넌스가 비즈니스 팀으로 하여금 자체적인 데이터를 관리하도록 하는 분위기로 바뀌어 가는 만큼, 조직이 기업 전체에 통용되는 획일화된 접근 방식을 구축하는 것이 중요해졌습니다. 이런 식의 선제적 수명 주기 관리가 이루어진다면 데이터 보안이 증진되는 동시에 해당 데이터가 비즈니스 가치를 증진할 수 있는 사용자에게 책임 있게 민주화됩니다.
데이터 보호에 관한 자세한 내용은 아래의 Microsoft 리소스를 참조하세요.
- 정보 보호 프로그램 빌드 관련 전략 3가지, 블로그 게시자: Microsoft Security 팀
- 효과적인 데이터 거버넌스 계획을 시작하기 위한 전략 3가지, 블로그 게시자: Erica Toelle & Anna Chiang, Microsoft
위협 행위자들은 지속적으로 진화해 가며 그 수법도 날로 정교해지지만 그럼에도 불구하고 사이버 보안에 관한 불변의 진실은 다음과 같은 사실을 반복적으로 보여 줍니다. MFA를 사용하도록 하고, 제로 트러스트 원칙을 적용하며, 최신화를 유지하고, 최신 맬웨어 방지를 사용하며, 데이터를 보호하는 기본적인 사이버 보안 위생으로도 공격의 98%는 막을 수 있다는 것입니다.
사이버 위협으로부터 보호하고 위험을 최소화하며 조직의 실행 가능성을 현행 수준으로 확보하는 데 도움을 주려면 사이버 보안 위생의 최소 기준을 충족하는 것이 필수적입니다.
Microsoft Security 팔로우