MITRE ATT&CK 및 D3FEND 프레임워크의 관점을 통한 제로 트러스트 도입의 이점

사이버 공격자는 표적 조직의 네트워크와 어플리케이션( 디지털 공격 표면)을 스캔하여 발견된 제로데이 취약점을 악용하는 여러 기술과 절차를 사용하여 다단계 공격을 수행합니다. 이 백서에서는 기업이 방어해야 하는 여러 종류의 위협을 고려하고 제로 트러스트 원칙을 사용하여 공격자의 활동으로 인한 피해를 억제할 가능성을 높이는 방법을 강조합니다. 그런 다음 MITRE ATT&CK 프레임워크에 체계화된 공격자의 전술, 기술 및 절차를 간단히 살펴봅니다. 마지막으로 MITRE D3FEND 프레임워크에 대해 논의하고 이를 제로 트러스트 원칙에 매핑합니다.

미국 국립표준기술연구소(NIST)는 컴퓨터 보안 리소스 센터(CSRC) 용어집에서 "공격 표면"을 "공격자가 해당 시스템, 시스템 요소 또는 환경에 침입하여 영향을 미치거나 데이터를 추출할 수 있는 시스템, 시스템 요소 또는 환경의 경계에 있는 지점 집합"이라고 추상적으로 정의하고 있습니다

"공격 표면"을 생각하는 또 다른 방법은 디지털 환경의 다양한 구성 요소에 숨어 있는 알려진 취약점과 알려지지 않은 취약점을 모두 고려하는 것입니다. 이러한 구성 요소의 전체 목록에는 다음이 포함될 수 있습니다.

• 물리적 및 가상 네트워크, 컴퓨팅, 스토리지 자산
  
• 하이퍼바이저, 가상 머신, 컨테이너 오케스트레이션 시스템, 서비스 메시
  
• 펌웨어, 운영 체제, 데이터베이스 관리 소프트웨어, 어플리케이션 소프트웨어 등 이러한 자산에서 실행되는 소프트웨어
  
• 컨테이너 이미지 리포지토리, VM 이미지 리포지토리, 코드 리포지토리
  
• 내부 및 외부 API, 마이크로서비스 엔드포인트, 어플리케이션 포털
  
• 로컬 환경 외부에 있지만 로컬에서 소비되는 서비스(예: 신원 확인 서비스, 시간 서버, 원격 데이터 저장소)
  
• ID 저장소, 사용자 계정 데이터베이스, 비즈니스 데이터 저장소

비즈니스 리스크를 최소화하기 위해 조직은 자체 디지털 자산과 지적 재산, 고객과 직원의 개인 정보를 보호하는 동시에 모든 규정 준수 요건을 준수해야 합니다. 동시에 비즈니스 워크플로와 디지털 경험의 가용성과 안정성을 지속적으로 보장해야 합니다. 이 문제에 대한 해결책은 최소 권한 사용, 명시적 검증, 지속적인 평가, 위반 가정과 같은 제로 트러스트 원칙을 준수하는 것입니다.¹ 이를 통해 조직은 다음 섹션에서 설명하는 것처럼 다양한 위협 클래스에 대처할 수 있습니다.

데이터는 현대 디지털 기업의 생명과도 같으므로 공격자는 조직의 데이터를 노리는 강력한 금전적 동기가 있습니다. 일단 도난당한 데이터는 다크웹에서 판매되어 다른 당사자가 데이터 소유자에게 추가적인 피해를 입히는 데 사용될 수 있습니다. 또한 공격자가 데이터를 암호화하거나 조직의 인프라에서 완전히 제거하여 조직의 데이터를 사용할 수 없게 만드는 랜섬웨어의 희생양이 될 수 있습니다. 공격자는 데이터를 복원하는 대가로 피해자에게 "몸값"을 요구합니다. 단순히 피해를 주려는 행위자가 사용하는 세 번째 유형의 데이터 공격은 데이터를 교묘하게 손상시켜 비즈니스 프로세스 및 그에 의존하는 디지털 경험을 방해하는 것입니다.

데이터 유출 또는 데이터 침해는 공격자가 소유자의 동의 없이 기밀 정보에 액세스할 때 발생합니다. 이러한 공격은 지적 재산에 미치는 영향 외에도 브랜드 손상과 신뢰 상실을 초래하는 경우가 많습니다. 법에 따라 침해된 조직은 개인 식별 정보가 포함된 모든 데이터 손실을 보고해야 합니다. 피싱 기술, 공개 어플리케이션의 취약점 악용, 공급망 침해는 모두 데이터가 저장되는 디지털 환경에 침투하는 데 널리 쓰이는 방법입니다.

최근 주목할 만한 사례로는 SolarWinds 공급망 공격이 있습니다.² 이 공격은 공격자들이 수천 개의 기업과 정부 기관에 침투하는 데 사용했습니다. 이러한 초기 액세스는 디지털 인프라에 지속적인 존재감을 구축하여 여러 피해 어플리케이션과 네트워크에서 측면 이동을 가능하게 함으로써 후속 공격 악용 단계의 발판을 제공했습니다. 궁극적으로 이러한 전술은 공격자의 최종 목표인 자격 증명/비밀번호를 손상시키고 피해자의 데이터를 유출하는 데까지 이어졌습니다.

데이터에 대한 또 다른 형태의 공격은 해커가 멀웨어를 배포하여 주요 비즈니스 프로세스를 방해하거나 완전히 차단하는 '랜섬웨어' 공격입니다. 가장 일반적으로 중요한 비즈니스 데이터가 암호화되거나 제거되어 중요한 워크플로가 중단됩니다. 경우에 따라 신원 인증 데이터 저장소의 데이터도 암호화되거나 제거되어 합법적인 사용자가 시스템에서 완전히 차단됩니다. 공격자는 "몸값"을 받아야만 시스템에 대한 액세스를 복원하거나 데이터를 해독합니다. 2021년 5월에 랜섬웨어 공격으로 인해 미국 남동부로 휘발유와 제트 연료를 운송하는 Colonial Pipeline³이 마비되었습니다.

일부 공격자는 데이터 공격에 더 미묘한 접근 방식을 사용합니다. 이러한 정교한 공격자는 데이터를 유출하거나 사용할 수 없게 만드는 대신, 피해 조직의 현장 데이터에 소수의 신중하게 표적화된 변경을 수행하며, 그 대가는 어플리케이션의 정상적인 외부 워크플로를 통해 전달됩니다. 예를 들어 할인 판매되는 항공 좌석의 비율을 높이거나 재고 공급 데이터베이스를 조작하여 판매 품목이 많거나 적은 것처럼 보이도록 하거나 전자 상거래 사이트에 특별 할인 코드를 추가합니다. 이러한 "은밀한" 변경은 종종 피해가 완료되기 전에는 탐지하기 어렵지만 피해자의 자체 비즈니스 워크플로를 활용하여 공격자에게 가치를 창출할 수 있도록 합니다.

해커는 네트워크와 컴퓨팅 인프라의 리소스를 소모하여 비즈니스 프로세스가 중단되거나 비효율적으로 작동하도록 하는 공격을 시작합니다. 이러한 공격의 목표는 대상 조직의 브랜드를 손상시키는 것부터 온라인 티켓 판매를 불가능하게 만드는 것과 같은 특정 비즈니스 결과를 달성하기 위한 금전 갈취까지 다양합니다. 또한 지능형 공격자는 이러한 유형의 공격을 다른 단계의 보다 정교한 동시 공격을 수행하는 동안 연막으로 사용하는 경우가 많습니다.

공격자는 봇넷을 사용하여 공격 트래픽을 공격 대상의 리소스로 보내 분산 서비스 거부(DDoS) 공격을 시작합니다. 볼륨 DDoS 공격은 공격 대상의 네트워크에 트래픽을 폭증시켜 사용 가능한 모든 대역폭을 소모합니다. 프로토콜 DDoS 공격은 방화벽과 같은 상태 저장 네트워킹 장치의 연결 테이블을 채우기 위해 특수 트래픽을 보내 합법적인 연결이 끊어지게 합니다. 어플리케이션 DDoS 공격은 불법적인 요청으로 서버의 리소스를 소모합니다.

공격자는 컴퓨팅 리소스에 무단으로 액세스하여 공격자를 대신하여 계산을 수행하고 그 결과를 명령 및 제어 서버에 보고할 수 있습니다. 이는 대부분 컴퓨터 소유자 모르게 백그라운드에서 암호화 채굴 코드를 실행하기 위해 수행됩니다. 피싱 및 드라이브 바이 다운로드는 컴퓨터에 암호화 채굴 코드를 배포하는 데 사용되는 일반적인 방법입니다. 해커는 MITRE ATT&CK 측면 이동 전술을 사용하여 탈취한 CPU 용량을 늘리고 지속성 전술을 통해 무단 계산 실행 능력을 지속합니다.

악의적인 의도를 가진 공격자가 원하는 워크플로 또는 사용자 경험을 악용하여 조직에 피해를 입힙니다. 이러한 위협은 매출 손실, 브랜드 손상, 사기 대응을 위한 운영 비용 증가로 이어질 수 있습니다.

개인적 이익을 노리는 해커가 합법적인 비즈니스 프로세스를 이용해 조직에 피해를 입힙니다. 예를 들어, 해커는 자동화를 이용해 인기 있는 이벤트의 티켓을 대량으로 구매하여 다른 사람이 구매할 수 없게 만든 다음 더 높은 가격에 판매할 수 있습니다.

비즈니스 정보를 조직의 공개 웹사이트에서 스크랩하거나 내부 시스템에서 도난당한 후 조직에 해로운 방식으로 사용할 수 있습니다. 예를 들어, 경쟁업체가 가격 정보를 스크랩하여 자체 가격을 낮추어 고객을 유인할 수 있습니다.

해커가 공개 웹사이트의 콘텐츠를 수정하여 조직을 곤란하게 만들 수 있습니다. 또한 콘텐츠를 변경하여 웹사이트 사용자에게 잘못된 정보를 전달할 수도 있습니다.

사기꾼이 다른 사용자를 대신하여 금융 거래를 하고 거래에서 이익을 얻을 방법을 찾습니다. 도난당한 인증 정보를 사용하여 계정을 탈취하거나 의심하지 않는 사용자를 속여 평소 사용하는 사이트와 유사한 사이트로 이동하여 계정 인증 정보를 제공하도록 유도합니다. 이러한 종류의 사기는 일반적으로 전자상거래 사이트 또는 금융 기관 포털에서 이루어집니다. 코로나19 기간 동안 많은 사기꾼이 도난당한 신원을 사용하여 허위 실업 수당을 신청하고 혜택을 자신에게 직접 지급하는 실업 수당 사기를 벌이기도 했습니다.⁴

조직에 위협을 가하는 공격자는 끈질기고 조직적이며 고도로 숙련된 공격자입니다. 공격자는 피해를 입히기 위해 인텔리전스 수집, 초기 액세스 권한 확보, 거점 구축, 정보 탈취, 데이터 유출 등 여러 가지 전술적 목표를 달성해야 합니다. MITRE ATT&CK 프레임워크⁵에는 전술적 목표, 전술적 목표를 달성하기 위한 기술, 이러한 기술을 구현하기 위한 절차가 나열되어 있습니다. 방어자는 이 프레임워크를 사용하여 모든 공격을 전술, 기술, 절차(TTP)로 분석할 수 있으며, MITRE ATT&CK 프레임워크 사이트에서 확인할 수 있습니다. 각 전술과 관련 기술에 대해 디지털 환경에서 제로 트러스트 원칙을 준수하면 그림 1과 같이 공격자의 성공 확률이 줄어들고 활동을 조기 탐지할 확률이 높아진다는 점에 유의해야 합니다.

D3FEND 프레임워크는 "사이버 보안 대책 영역의 주요 개념과 이러한 개념을 서로 연결하는 데 필요한 관계를 모두 정의하는 의미적으로 엄격한 유형과 관계를 포함하는" 대책 지식 기반과 지식 그래프를 제공합니다.⁷ 이 프레임워크는 보안 실무자가 디지털 환경과 관련된 위협을 방어하기 위해 어떤 기능이 필요한지 고려하는 데 도움이 됩니다.

또한, D3FEND 프레임워크에 열거된 관련 대응책을 실행할 수 있는 능력을 검토함으로써 MITRE ATT&CK 프레임워크에 열거된 다양한 TTP에 대한 대비 측면에서 보안 위험을 생각할 수 있습니다. 두 프레임워크 사이의 연결은 일종의 "디지털 아티팩트" 추상화입니다. 공격자가 일련의 TTP를 사용하여 공격을 수행할 때, 그들의 활동은 관찰 가능한 디지털 아티팩트를 생성합니다. D3FEND 프레임워크는 실무자가 공격자의 활동으로 생성되는 디지털 아티팩트를 찾는 방법을 구체적으로 기록하고 실행 가능한 방어 계획을 수립하는 데 도움을 줍니다.

그림 2에서 볼 수 있듯이 MITRE D3FEND 대응책의 범주는 제로 트러스트 원칙에 기반한 제로 트러스트 보안 기술과 깔끔하게 매핑됩니다.

오늘날의 어플리케이션과 디지털 경험은 증가하는 모바일 인력과 고객 기반을 충족하는 상호 연결된 디지털 기업 생태계의 광범위한 맥락에서 사람과 스마트 장치를 포함한 다양한 대상 고객에 걸쳐 더욱 풍부한 참여를 원하는 비즈니스 요구에 의해 주도되고 있습니다. 동시에 비즈니스 민첩성과 효율성을 지속적으로 향상시켜야 한다는 요구로 인해 어플리케이션 아키텍처는 오픈 소스 및 SaaS 구성 요소를 훨씬 더 많이 활용하게 되었습니다. 결과적으로 오늘날 핵심 어플리케이션은 이전보다 더 깊고 덜 제어되는 인프라에 의존하고 있습니다. 최신 비즈니스 요구 사항으로 인해 어플리케이션 아키텍처의 복잡성이 증가하여 더 넓고 역동적인 위협 표면이 노출되고 있으며 그 어느 때보다 더 많은 자금과 동기를 가진 정교한 공격자들이 이를 악용하고 있습니다.

MITRE ATT&CK 프레임워크는 악의적인 공격자가 복잡한 공격을 구성하는 데 사용하는 전술, 기술 및 절차에 대한 체계적인 명명법을 제공합니다. MITRE D3FEND 프레임워크는 공격에 사용된 TTP가 생성하는 관찰 가능한 디지털 아티팩트를 탐지하는 데 사용할 수 있는 대응책의 지식 그래프를 지정합니다. MITRE D3FEND 대응책은 제로 트러스트의 다양한 원칙과 연관될 수 있으며 이러한 원칙을 준수하면 대응책을 구현하는 특정 메커니즘이 더 효과적이 됩니다.

보고서 다운로드