이전 포스팅을 통해서 랜섬웨어 (Ransomware)에 대해서 살펴보았다. 랜섬웨어를 100% 막는다는 것은 거의 불가능한 시대에 우리는 살고 있다. 그렇기 때문에 피해를 최소한으로 막기 위해서 Laternal Movement (옆으로 확장해나가면서 감염시키는 것)을 방어하는 것이 효과적이라고 이야기 했다 (이전 글은 아래 링크를 참조하길 바란다)
이러한 Laternal movement 중에 패스워드가 동일해서 발생하는 문제를 해결하기 위해서 Microsoft Local Administrator Password Solution 을 사용한다고 이전 포스팅을 통해서 살펴보았다. 또한 PAM (Privillege Access Management) 등으로 불필요한 접속 권한을 최소한으로 줄여서 랜섬웨어로부터의 피해를 최소화 할 수있다.
이전 포스트는 아래 링크를 참조하길 바란다
랜섬웨어 공격으로부터의 피해를 막을 수 없다면 최소한으로 줄이자
어떠한 전쟁이든 상관없이, 전쟁의 목적은 모든 방법을 동원해서 승리를 얻어내는 것이다. 이러한 공격의 술수는 날이 갈수록 점점 진화한다. 그 이유는 전쟁에 사용되는 기술들이 계속 발전되
washington.doniq.net
이 두가지 솔루션 이외에도 Laternal movement의 감염을 최소화하는 것이 랜섬웨어를 방어함에 있어서 핵심이다. 이렇게 옆으로 감염되는 경로는 동일한 패스워드 그리고 PAM (사용자 권한 관리) 뿐만 궁극적으로는 네트워크를 동해서 연결이 된다.
이번 포스팅에서는 네트워크 보안을 통해서 랜섬웨어의 피해를 최소화하는 방법에 대해서 살펴보자. Remote work가 보편화된 현재, 랜섬웨어의 진입 과정은 꼭 외부 네트워크가 아니라, 내부인 경우도 있다. 리모트로 일하는 컴퓨터가 VPN 등으로 내부 네트워크와 연결되어지는 순간, 이미 컴퓨터 안에 있던 랜섬웨어는 안전한 VPN을 통해서 감염 경로를 넓혀갈 수 있기 때문이다. 혹은 OneDrive, Google Drive, Box등의 온라인 저장공간은 VPN 연결이 없더라고, 로컬 컴퓨터에서 바로 인터넷으로 싱크가 되기 때문에 바로 감염이 가능하다.
네트워크 보안, 그 중에서도 랜섬웨어 공격에 피해를 최소화하기 위해서 Zero Trust Network가 필요한데, 이때 2가지 네트워크 단어의 이해가 필요하다. 그것은 바로 아래와 같다.
1. Network Virtualization - 네트워크의 가상화
2. Identity detection (a.k.a Network Access Control) - 네트워크 사용자 엑세스 컨트롤
Zero Trust Network (제로 트러스트 네트워크로 랜섬웨어 피해 최소화하기)
이전 글을 통해 이야기했지만, 랜섬웨어 및 해커에 대한 공격을 100% 막는다는 것은 거의 불가능하다. 창과 방패, 즉 해커와 그를 방어하는 시스템의 싸움에서는 해커가 보통의 경우 우선권을 가지고 있다. 즉, 해커의 침입경로 및 방법론이 빠르게 진화해 가지만, 이를 방어하는 쪽의 보안 시스템은 이에 비해 타이밍적으로 늦기 때문이다. 이러한 경향은 영세한 비지니스들의 경우일수록 더 뚜렷하게 나타난다. 왜냐하면 이러한 보안 시스템의 업그레이드 및 follow-up에는 많은 비용이 들어가기 때문이다.
위의 다이어그램에서 보는것과 같이 Firewall (방화벽)은 외부와 내부의 경계선에 놓여있고, 이곳에서 외부로부터의 유입되는 트래픽을 조정한다. 이것은 전형적인 네트워크 보안이었고, 해커들의 침입을 막기위해서 방화벽을 계속 업그레이드 하는 것이 traditional한 방법이었다. 하지만, 랜섬웨어의 유입 경로가 이제는 꼭 외부로부터만이 아니기 때문에, 내부 네트워크의 보안도 필수가 되었다. (내부 네트워크는 위의 그림에서 초록색 영역을 의미한다). 즉 방화벽 뒤에 위치한 내부 네트워크 안에서는 서버와 서버간 통신은 자유롭다는 것이 문제이다.
내부 네트워크안에서 서버와 서버, 컴퓨터와 컴퓨터 사이에 아무런 제약이 없다면, 이곳은 마치 외부와의 장벽을 높이 쌓은 성 안과 같은데, 문제는 이 성 안에서 이루어지는 공격에 대해서는 속수무책이 되어버리는 것이다. 그렇기 때문에, 내부 네트워크 간에도 Firewall (방화벽)이 놓아서 마치 외부로부터 오는 공격을 막듯이 내부에서도 방화벽이 필요하다. 이때 내부 네트워크안에 서버 혹은 컴퓨터가 100개 라고 가정해보자. 그렇다면 방화벽이 몇개나 필요한 것인가? 답은 엄청나게 필요하다. 또한 새로운 서버 혹은 컴퓨터가 내부 네트워크에 설치되었을때마다 방화벽을 설치해야 한다.
이러한 단점을 보완하기 위해 소개된 테크놀로지가 바로 네트워크 가상화 (Network Virtualization)이다. 즉 네트워크 자체를 가상화하여서 방화벽을 일일이 서버와 서버간에 설치하지 않아도 된다. 네트워크 가상화가 된 환경에서는 내부 네트워크 안에서의 방화벽 설치가 아주 수월해진 것이다. 네트워크 가상화에서의 선두주자는 VMware 라는 회사이며, 아래의 그림은 VMware NSX 라는 네트워크 가상화를 도식화한 것이다. 아래의 그림을 기준으로 예를들어 보자면, Web VM1은 DB VM1과 자유롭게 연결을 할 수 있는 상태이고, 동시에 Web VM1은 App VM1과의 연결을 막을수도 있다.
네트워크 가상화를 통해 얻을 수 있는 장점은 내부 네트워크안에서도 방화벽을 아주 쉽게 설치할 수 있다는 것이다. 즉, 랜섬웨어가 침입해 들어왔다고 해도, 내부 네트워크안에서 자유롭게 Laternal Movement (옆으로 감염되는 경로)를 막아 그 피해를 최소화할 수 있게 되는 것이다.
두번째 네트워크 보안의 개념인 Identity detection (network access control)은 아래의 그림을 통해서 설명해보자. 네트워크 가상화로 인해서 내부 네트워크 간의 트래픽을 제어할 수 있게 되었다. 위의 예를 다시 한번 이용해보자. Web VM1은 DB VM1과 자유롭게 소통이 가능하다. 하지만, 사용자 A라는 사람이 Web VM1으로 접속할 경우에만 DB VM1으로의 연결을 허용하고, 사용자 B는 동일한 Web VM1에 접속해도 DB VM1의 접속을 차단하려고 할때 필요한 것이 바로 Identity detection (network access control)이다. 즉 사전 인가된 사용자만이 원하는 리소스에 접속을 할 수 있도록 네트워크 가상화 위에 하나의 보안을 더 추가하는 것이다.
이를 영어로는 Depth in defense 라고 표현한다. 즉 하나의 보안이 뚫려도 다른 layer의 보안이 침입을 차단하는 형태를 말한다.
이렇게 네트워크 가상화 (Network Virtualization)와 사용자 액세스 제어 (Network Access Control)로 랜섬웨어를 네트워크단에서 그 피해를 최소화하는 방법을 Zero Trust network라고 이야기한다.
이외에도 랜섬웨어를 막기 위해서는 직원들의 보안 교육이 필요하다. 또한 보안 회사에서의 업데이트 패치를 시간에 맞춰서 제때 해주는 것도 중요하다. 이렇게 랜섬웨어에 대한 방어는 시간에 따라 계속 변해가고, 해커들의 침입 경로에 따라서 바꿔어갈 것이다. 어떠한 테크놀로지가 나오든 가장 핵심은 Laternal Movement (옆으로의 감염)을 어떻게 최소화시키느냐가 랜섬웨어의 피해를 최소화하는 키 포인트임을 명심하자.
'미국 IT 이야기' 카테고리의 다른 글
| 핏빗 데이터로 코로나 예측하기 (0) | 2021.10.07 |
|---|---|
| AWS Washington D.C. Summit 2021 후기 (2) | 2021.09.30 |
| 랜섬웨어 공격으로부터의 피해를 막을 수 없다면 최소한으로 줄이자 (0) | 2021.09.17 |
| LinkedIn 사용법을 아시나요? (미국 IT이야기 12) (0) | 2021.09.14 |
| 미국 IT 직장에서 요구하는 협업이란 무엇인가? (0) | 2021.08.31 |
