top of page
NEWS
[2024 가트너 보안 서밋 현장-4] “아이덴티티 위협 완화를 위한 기술 통찰”
June 20, 2024
가트너 “Identity Threat Detection and Response는 시장이나 도구가 아닌, 실천 방법론을 의미”
지난 6월 3일부터 6월 5일까지 워싱턴DC에서 개최된 ‘가트너 시큐리티 서밋 2024 (Gartner Security & Risk Management Summit 2024)에서 Sr. Director Analyst Paul Rabinovich(이하 폴)는 “Technical Insights: Mitigate Identity Threats With Identity Threat Detection and Response”를 주제로 강연했다.
폴은 ITDR (Identity Threat Detection & Response)는 실천 방법론이라 얘기했지만, 이를 운영하기 위해서는 구체적인 도구와 아키텍처가 필요하다고 말하면 첫째 ITDR 정의, 둘째 Identity Threat 탐지 및 대응에 필요한 아키텍처와 통합, 셋째로 다양한 ITDR 공급업체에 대해서 내용을 공유했다.
■ ITDR 정의 부문
가트너와 폴은 “ITDR은 Identity(이하 ID) 인프라를 공격으로부터 보호하는 위협 인텔리전스, 도구 그리고 프로세스를 포괄하고 있으며, 위협 탐지 차단 및 공격에 대응하면서 필요에 따라 운영을 복원을 할 수 있다” 고 정의했다.
ID 인프라는 공격자의 주요 표적이 되었고, 자격 증명 오용은 보안 침해 사고의 공격 경로로 자주 사용되고 있다.
공격이 진화하고 정교해지면서 ID 및 접근 관리(Identity and Access Management 이하 IAM)시스템을 직접적인 공격 표적으로 삼고 있으며, 사회공학공격, OTP에 대한 MITM 공격 등을 예방하기 위해서 다중인증(MFA)를 적용해 온 것도 ID 인프라에 대한 위협 예방 및 탐지가 정말 중요하다는 부분을 강조한다.
폴은 “2019-2020년의 솔라윈즈 사건을 언급하면서, Golden SAML 공격, 다중 인증 우회, 피해자의 ID 악용을 통해 피해를 입혔던 사건이다.”고 말했다.
아울러 ID 인프라에 대한 위협을 ITDR이 보호하고, 공격 단서를 식별, 탐지 및 대응할 수 있는 기능을 제공할 수 있다고 설명했다.
■ Identity Threat 탐지 및 대응에 필요한 아키텍처와 통합 부문
폴은 Identity Threat 탐지 및 대응을 위해서 상호 통합해야 할 아키텍쳐를 아래와 같이 6개의 환경으로 구분했다.
▲Active Directory(액티브 디렉토리)
세계 조직의 90% 이상이 사용하고 있는 ID 인프라로 계정, 권한, 조직, 정책, 객체 감사 등을 관리할 수 있다. AD가 제공하는 이벤트로 모니터링 활동이 가능하지만 굉장히 많은 이벤트 소음에 시달릴 수 있다.
그래서 일부 벤더의 보안 솔루션은 도메인 컨트롤러와 연동해 실시간으로 AD 환경에서 발생하는 변경 사항 등을 탐지하고 대응하고 있다.
▲Network(네트워크)
현대 사회의 모든 조직은 크기와 상관없이 네트워크에 연결되어 있다. 흔히 폐쇄망이라 일컫는 OT 네트워크 또한 IT 네트워크를 통하면 접근할 수 있는 형태로 설계되어 있다.
이런 환경에서는 네트워크 트래픽 가시성 확보 및 모니터링은 필수적이고, 나아가 ID 관련 이벤트를 식별할 수 있다면 ITDR 도구로서 훌륭하게 동작할 수 있다. 나아가서는 의심스러운 인증 트래픽을 관리해 다중 인증을 강제 활성화시켜야 한다.
▲Endpoint(엔드포인트)
가트너는 2026년까지 많은 기업과 조직이 EDR 제품 검토 및 도입이 더 활발할 것이라고 발표했고, 이와 관련, 일부 EDR 공급업체는 ID 관련 위협 경고를 EDR 솔루션에 통합하고 있다.
EDR을 통해 ID 관련 이상행위 발생시 탐지 및 대응으로 네트워크에서 격리하는 등의 기능을 함께 제공한다.
▲Deception Technology(기만 기술)
공격자를 기만하는 방식은 조직의 ID 인프라를 학습하고, 이와 유사한 자격 증명 등을 생성해 공격을 유도하는 방식이다.
더불어 특정 데이터는 접근이 불가하게 설정하고 이를 접근하려고 시도하는 경우 탐지할 수 있는 기술도 제공한다.
결과적으로 실제 환경과 완전히 반대되는 환경을 가짜로 공격자에게 노출시키는 것을 기만 기술로 통합 구현한다.
▲Event(이벤트)
이벤트는 보안 조직이 흔히 아는 형태의 로그 전송과 유사하다. 예를 들면 AD 환경에서는 윈도우가 제공하는 이벤트 추적 기능을 사용해 이상행위를 탐지한다.
▲Log(로그)
로그는 실시간에 가까운 탐지 및 대응에는 적합하지 않을 수 있다. 그렇지만 현재 어떤 상황에 놓여있는지 이전에 위협행위들은 어떤 것들이 있었는지에 대한 위협 모델링을 가능하게 해준다.
폴은 위 6가지의 ID 위협 탐지 및 대응 환경에 대해서 “현재 ITDR은 여러 도구 통합에 대한 초기 단계에 있다. 각 솔루션의 기술 아키텍처 및 통합 패턴이 다르기 때문에 경우에 따라 여러 도구를 사용해야 될 수도 있다.”고 말했다.
■ 다양한 ITDR 공급업체
가트너는 Identity Threat에 대한 다양한 탐지 및 대응 방법을 기준으로 ITDR 공급 업체를 소개했다. 금번 기고문에서는 기고자인 본인이 직접 특정 공급업체에 대한 언급은 지양해야 하기 때문에, 다음 이미지를 참고해서 기업 및 조직에서 필요로 하는 ITDR 솔루션에 대한 인사이트를 얻기를 희망한다.
마지막으로 폴은 “ID 인프라에 대한 초기 시작은 AD와 같은 시스템에서 시작됐지만, 현재 클라우드뿐만 아니라 인증 및 권한에 특화된 솔루션을 함께 사용하고 있기 때문에, 미션 크리티컬한 ID 시스템을 먼저 통합해 나가는 방법”을 찾도록 권고했다.
더불어 “ITDR은 이제 모든 조직에게 필수적인 보안 고려 사항으로써, 기업과 조직의 환경에서 완화하고 대응하고자 하는 ID 관련 공격 유형을 잘 파악하고, 동시에 완화 및 적합한 대응을 하기 위한 도구를 선택해야 한다”고 강조하면서 강연을 마무리했다.
가트너는 2022년부터 2023년 사이에 ITDR과 관련된 문의하는 부문이 눈에 띄게 증가했다는 보고서를 작성한 적이 있다.
본 기고자 또한 최근 들어서 VPN, AD 등의 자격증명과 관련된 보안 사고 상황을 경험하고, 고객과 함께 대응했던 경험이 다수 있다.
이런 보안 사고가 발생하고 나면 위협 행위자 또는 공격자는 지속적으로 고객사 인프라스트럭쳐에 접근하기 위한 주요 데이터와 환경은 이미 확보한 상태일 것으로 가정해야 한다.
일반적으로 가장 먼저 실행하는 대응활동은 모든 사용자 및 시스템 계정과 패스워드 재설정을 주로 고려하지만, 서비스에 영향을 줄 수 있기 때문에 주저하는 조직이 많음을 알 수 있었다.
결과적으로는 자격증명 등의 데이터는 유출되지 않도록 보안을 강화하는 것이 가장 좋은 상황일 것이다.
본 기고문을 통해 ITDR에 대해 생각 할 수 있는 계기와 더불어 적절한 예방과 ID 인프라를 보호하기 위한 계획으로 가져갈 수 있기를 기대해본다.
권표 파고네트웍스 수석
[글. 권표 수석 / 파고네트웍스 MDR센터 / CPTO (Chief Product & Technology Officer)]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
o 원문 기사 링크-[2024 가트너 보안 서밋 현장-4] “아이덴티티 위협 완화를 위한 기술 통찰”
PAGO Networks, Inc.
사업자등록번호 : 474-86-00694 | 대표 : 권영목
본사 / 영업본부
서울시 용산구 회나무로65 (이태원동 경리단길)
파고 DeepACT 매니지드 탐지 및 대응 센터
서울시 용산구 회나무로65 (이태원동 경리단길)
-
사일런스(Cylance)
- Master MSSP & Distributor
-
스텔라사이버(Stellar Cyber)
- MSSP Partner
-
센티넬원(SentinelOne)
- Master MSSP(MSSP Distributor)
- Incident Response Partner
-
브이엠레이(VMRay)
- South Korea & APAC Distributor
bottom of page