Home > 전체기사
파이브아이즈 국가들, 합동으로 사이버 보안 권고문 발표
  |  입력 : 2020-09-08 17:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
호주, 캐나다, 뉴질랜드, 영국, 미국의 사이버 보안 담당 기관이 합동으로 발표
통상적 가이드라인...참고할 수 있지만 맞춤형 전략 수립하는 것이 중요


[보안뉴스 문가용 기자] 이른 바 파이브아이즈(Five Eyes)라고 불리는 동맹국인 호주, 캐나다, 뉴질랜드, 영국, 미국의 사이버 보안 관련 정보 기관들이 합동으로 ‘악성 행위 탐지 및 대응’에 관한 가이드라인을 발표했다.

[이미지 = utoimage]


이 가이드라인에 의하면 가장 모범적인 사건 대응 절차는 아티팩트, 로그, 데이터의 수집부터 시작한다고 한다. 수집한 건 따로 모아서 추가적인 심층 분석을 이어가며 동시에 복구 및 완화 절차를 계속해서 도입시키는 것이 관건이며, 특히 이 과정 중 공격자들이 탐지된 것을 알아채지 못하게 하는 것이 핵심이라고 보고서는 강조했다.

또한 다섯 정보 기관들은 서드파티 IT 보안 전문 조직과의 협력 체계를 구축하는 게 중요하다고 주장했다. 그래야 보다 충분한 기술 지원을 받을 수 있고, 이를 통해 네트워크 내 악성 세력을 깨끗하게 제거할 수 있으며 추가 침해도 효과적으로 막을 수 있다는 것이다.

이번 보고서는 사건이 일어난 후 대응 체계에 집중되어 있다. 보고서 내에도 “관계 기관과 파트너들, 네트워크 관리자들의 사건 대응력을 강화하고, 수사 진행 시 플레이북 역할을 하게 하는 것이 이 보고서의 목적”이라고 명시되어 있다. 결국 공격을 예방하는 것도 중요하지만 국가 기관 입장에서는 대응이 더 실질적인 과제라는 것이다.

악성 행위를 탐지하기 위한 기술적 방법들에는 다음과 같은 것들이 제시되어 있다.
1) 침해지표 검색
2) 트래픽 패턴 분석(네트워크와 호스트 시스템)
3) 데이터 분석(반복되는 패턴 찾기)
4) 비정상 행위 탐지

또한 네트워크 조사나 호스트 분석을 위해서는 광범위하고 다양한 아티팩트를 찾도록 보고서는 제안하고 있다. 여기에는 다음과 같은 것들이 있다.
1) DNS 트래픽
2) RDP 세션
3) VPN 세션
4) SSH 세션
5) 가짜 악성 프로세스
6) 새로운 애플리케이션
7) 레지스트리 키
8) 열려진 포트
9) 성립된 연결
10) 사용자 로그인 데이터
11) 파워셸 명령

또한 사건을 대응할 때 조직들이 흔히 저지르는 실수들도 지적됐다.
1) 시스템 침해 사실을 알게 된 후 즉각적인 행동을 취한다. 이렇게 할 경우 공격자가 탐지된 사실을 알게 된다.
2) 아티팩트들을 충분히 확보하기 전에 시스템 복구부터 시작한다.
3) 공격자의 인프라를 먼저 차단한다.
4) 크리덴셜을 성급하게 재설정한다.
5) 로그 데이터를 삭제한다.
6) 공격의 뿌리가 되는 근원을 파헤치거나 해결하지 못한다.

비슷한 공격의 재발을 막기 위해 조직들이 할 수 있는 일로는 다음과 같은 것들이 제안됐다.
1) FTP의 제한 및 차단
2) 텔넷(Telnet)의 제한 및 차단
3) 조직이 허용하지 않은 VPN 서비스의 제한 및 차단
4) 사용되지 않는 서비스나 시스템의 제한 및 차단
5) 침해된 호스트의 깨끗한 청소
6) 불필요한 포트와 프로토콜의 폐쇄
7) 원격 네트워크 관리자 도구의 비활성화
8) 비밀번호 재설정
9) 늦지 않은 취약점 패치

피해를 최소화 시키는 방법에 대해서는 다음과 같은 것들이 망라됐다.
1) 네트워크 분리(망분리)
2) 민감한 데이터의 물리적 분리 보관
3) 권한 최소화의 원칙 준수하기
4) 분리된 망들의 환경설정 상황 주기적으로 모니터링하기

하지만 다섯 개 조직들은 권고문을 통해 “여기에 제안된 것이 모든 문제의 해결책은 아니고, 모든 상황에 통용되는 것도 아니”라며 “조직의 특성에 맞는 다양한 방어책을 겹겹이 구성하는 게 핵심”이라고 강조했다. “방어 장치가 많으면 많을수록 공격자는 더 많은 노력과 시간, 돈을 투자해야 합니다. 공격자 쪽에서 많은 손해를 보게 하는 것이 방어의 기본입니다. 공격자의 이상 행위가 탐지되면 식별, 격리, 대응의 절차가 순서대로 자동 발생하도록 하면 공격자의 투자 대비 성과를 낮출 수 있습니다.”

3줄 요약
1. 파이브 아이즈 국가들, 합동으로 사이버 보안 권고문 발표.
2. 적 세력의 움직임을 탐지하고 대응하는 방법에 관한 보고서.
3. 하지만 통상적인 가이드라인일 뿐 맞춤형 전략 독자적으로 수립하는 게 더 중요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상