[RSAC 2022 트렌드 총정리] 변화의 흐름 속에서 보안솔루션 트렌드도 변화

RSAC 2022 보안솔루션 트렌드 정리

2022-06-16     길민권 기자
데일리시큐=샌프란시스코

[San Francisco / RSA Conference 2022] 미국 샌프란시스코에서 열린 RSAC 2022가 지난 6월 6일부터 9일까지 개최됐다. 예전에 비해 전시부스는 많이 줄었지만 세션 수는 크게 줄지 않았다. 명성에 맞게 전세계 2만명 이상의 보안 관계자들이 참석해 글로벌 정보보안 산업의 변화의 방향성을 체크하는 시간이 되기에는 충분했다. 

키노트에 로힛 가이 RSA CEO에 따르면, 인간은 변화(TRANSFORM)를 두려워하지만 코로나19와 같은 대혼란을 겪으면서 변화를 받아들인다. 혼란 속에서 우리는 변화하고 있다. 이런 상황에서 사이버상의 아이덴티티의 중요성이 부각되고 있으며 제로트러스트와 다중인증 기술 등이 핵심으로 떠올랐다. 또 보안과 편리함의 타협은 또 다른 혼란을 야기할 수 있기 때문에 적당한 타협은 위험하다고 강조했다. 

또 미국 국가정보국장 하이네스에 따르면, 디지털 혁명과 같은 변화로 인한 위협의 양은 크게 급증했다. 미국 정보기관은 미국의 국가안보를 목적으로 하고 있기때문에 공격자들이 기반시설 등 주요 자산을 공격하려고 하는것들에 대한 정보를 수집하는 것에 집중하고 있다. 국내외 정보를 수집하고 대응하는데 집중하고 있다. 또 공공과 민간의 협력이 없다면 사이버 위협에 언제나 노출될수 밖에 없다. 위협이 고도화되고 있지만 그에 따른 새로운 보안기술들도 함께 진화하고 있다. 미국 정부도 완벽한 보안 시스템을 만드는 것은 불가능하다는 사실부터 시작할 것이다라고 강조했다. 

한편 멘디언트는 키노트 강연에서, 러시아, 중국, 이란, 북한 등 4대 위협국가의 동향을 전하며 특히 러시아가 우크라이나와의 전쟁에서 사이버전을 중요한 전장으로 여기며 통신망 무력화와 사이버 심리전, 금융기관 대상 디도스 공격 등을 수행했다고 전했다. 

북한도 코로나19 대응을 위해 백신 개발정보를 노리고 사이버공격을 시도했고 스미싱, 랜섬웨어 공격으로 가사화폐 벌이에 집중하고 있다고 설명했다. 또 랜섬웨어 공격그룹들이 성공케이스를 통해 침투, 거점확보, 정보획득, 비용협의 등 다양한 노하우를 축적했고 공유하고 있다고 설명했다. 

또 오늘날 사이버위협에 맞서기 위한 제로트러스트 세상에서 신뢰 구축을 주제로한 키노트에서 패널들은, 공격은 정교해지고 제로데이 공격도 일반적으로 자행되고 있다. 보안 기술이 발전하는 만큼 공격기술도 발전하고 있으며 대부분의 기업들은 내부망까지 해커들이 침투할 수 있는 상황이라는 것.

특히 제로트러스트 기술이 중요하지만 가장 중요한 것은 사용자 교육이다. 개인의 책임이 패스워드 정책이나 다중인증을 사용하는 것 보다 더 중요하며 정부와 민간의 정보교류와 협력이 무엇보다 중요하다고 강조했다. 

한편 팔로알토네트웍스 CTO는 일반적으로 SOC팀이 모든 다른 레이어의 다른 정보와 로그를 정리, 타임라인 정리, 상황 판단하고 내용 정리까지 해야하는데, 이를 효과적으로 대응하기 위해서 SIEM을 넘어 SOAR를 통해 자동화 관리 방안을 도입해야 한다고 말했다. 하지만 완벽한 자동화 기술을 실현하기 위해서는 5~10년 정도는 기다려야 한다고 전했다. 

데일리시큐=샌프란시스코

◇RSAC 2022, 보안솔루션 키워드

이번 RSAC 2022 솔루션 트렌드와 세션 강연 이슈들 키워드로 정리해 보면, 공격표면 확대에 대한 대응, 클라우드 플랫폼 보안, 공급망 보안, XDR, 제로트러스트, 랜섬웨어 대응, API 보안, 리스크 매니지먼트, 아이덴티티, 가시성 확보, 데브섹옵스, OT/ICS 보안, 위협 탐지와 차단 등이 주요 키워드로 등장했다. 전시회에서도 관련 솔루션들이 대부분을 차지했다. 

◇해킹 트렌드와 대응 솔루션들 

RSAC 2022에서 발표된 주요 해킹 트렌드는 다음과 같다. 

멘디언트 산드라 조이스 부사장에 따르면, 국가별 공격그룹으로는 중국의 LightBasin / UNC1945그룹이 통신업체와 정부기관을 타깃으로 공격하고 GPRS 프로토콜 제로데이 취약점을 악용하고 있다. 또 이란 SamSam그룹은 ICS를 타깃으로 정보유출과 랜섬웨어 공격을 감행하고, 북한 공격그룹들은 금융기관과 가상화폐를 타깃으로 내부침투와 랜섬웨어 공격을 주로 하고 있다. 

이에 대한 대응 전략으로는 보안인재 집중 육성과 효율적인 모니터링을 강화해야 한다. 내부 침투 해킹  공격 탐지 특히 최종 목표전 다단계 탐지 체계가 마련돼야 한다. 또 사고 대응프로세스 훈련을 강화해야 한다. 

더불어 크라우드스트라이크(CrowdStrike)에서는 차세대 해킹 기술에 대해, 클라우드 환경에서 컨테이너 서버 사용이 증가하면서 공격이 증가했다. 클라우드 컨테이너 해킹시 다른 컨테이너, 호스트 OS 해킹 위협이 증가한다. 하나의 호스트 OS를 공유하기 때문이다. 해커들은 호스트 또는 컨테이너 권한을 악용해 고객 데이터에 접근가능하며 랜섬웨어 공격도 가능하다. 이에 대해 컨테이너화된 시스템에 대한 심층 방어가 중요하고 최신 패치, 악의적 런타임 프로세스 모니터링 및 제어가 필수적이라고 밝혔다. 

트렐릭스(Trellix)는 5가지 랜섬웨어 공격 방법을 제시하며 내부 보안 홀을 파악하고 주요 계정 정보  유출에 대한 빠른 모니터링 탐지 기술을 활용할 것을 촉구했고 다른 공격 플레이북을 참고해 공격 패턴을 학습하고 주로 사용되는 비악성 도구에 대한 모니터링 강화, 보안 가시성 확보, 침투 단계별 방어 정책 설정을 강조했다. 

테너블(Tenable) 강연에서는, IT 운영자 설문자 중 18%만 액티브 디렉토리(AD)에 대한 보안 위협을 관리하고 있다. 공격자는 취약한 구성과 구성, 관리 권한 계정, 패스워드 등을 APT 공격으로 수행한다. AD 해킹 탐지와 대응 전략을 위해 취약한 설정 부분을 점검하고 실시간 자동 탐지 및 분석 솔루션이 필요하다. 또 패스워드 관리, 최소 권한 등이 필요하다고 전했다. 

RSAC 2022에서 이슈가 된 6가지 최신 해킹 트렌드를 요약하면 다음과 같다. 

-클라우드 타깃 공격: 컨테이너 서버 취약점 악용, 연동 API 취약점 공격. 

-공급망 공격: 공급망 업체 업데이트 서버 타깃, 해커 공급망 취약점 연구 지속. 

-국가기반시설 공격: 러시아-우크라이나 전쟁시 통신위성 해킹, 국가간 분쟁시 기반시설 타깃 공격. 

-램섬웨어 공격: 돈벌이 랜섬웨어 공격은 계속 증가, 더욱 악랄해지고 진화할 것으로 전망. 

-시스템 백업 공격: IBM, 베리타스, 카세야, 델 등 밴더 백업 시스템 취약점 다수 존재. 

-아이덴티티 공격: 유출된 계정을 입수해 추가 공격을 수행하고 Fail open 접근 방식 남용 MFA 우회 기법 활용. 

RSCA 2022 전시장에서 주를 이루었던 솔루션 트렌드는 위 공격에 대응하기 위한 솔루션들이 주를 이루었다. 

클라우드 타깃 공격에 대응하기 위해서는 클라우드 컨테이너 환경을 강화하고 최신 업데이트 유지, 정기 로그 점검, 사용자별 권한 강화, 이미지 취약점 검사, API 취약점 강화로 사용자 권한 통제, 이상행위 탐지 등이 필요하다. (컨테이너 보안솔루션/API 보안솔루션)

아이덴티니 공격에 대응하기 위해서는, △임직원 계정 유출 모니터링 강화 △Mult-Factor 예외구간 점검(소유기반 적용) △사전 승인•지정 단말 접근 정책 적용 △임직원 이상 행위 모니터링 체계, △업무 협업, 관리 시스템 보안 패치 △중요자료 식별 및 암호화 △정보 유출 탐지/차단 체계 구축 등이 필요하다. 

여기에 필요한 솔루션들로는 △계정 유출 탐지 솔루션 △E-Mail APT △Multi-factor 인증 솔루션 △FDS(Fraud Detect System) △패치•취약점 관리 시스템 △N/W APT, EDR 솔루션 △암호화 솔루션 △SIEM 솔루션 등이다. 

공급망 및 랜섬웨어 공격 대응을 위해서는 △예외처리 도메인 등록 △PC, 서버 악성코드 탐지 체계 강화 △PMS 배포 점검 체계 및 로그 분석 강화 △백업 시스템 패치 최신화 △정보 유출 탐지/차단 체계 구축 등이 필요하다. 요구되는 솔루션들은 △E-Mail APT △N/W APT, EDR 솔루션 △SIEM 솔루션 등이다. 

데일리시큐=샌프란시스코

◇공급망 보안

특히 공급망 공격은 취약한 공급업체의 네트워크 공격을 통해 여러 고객의 네트워크로 한 번에 침투할 수 있는 공격으로 기업 간 신뢰 관계를 악용하는 공격이다. 솔라윈즈와 같은 공급망 공격으로 인해 예기치 못한 보안사고들이 점차적으로 확대되고 있고 이러한 공격을 사전에 예방하고 대응하기 위한 여러가지 솔루션이 RSAC 2022에서 소개됐다. 

리스크IQ(RISK IQ), 랜도리(Randori), 인테로스(Interos), 코드42(CODE42), 세이프브리치(SafeBreach), 체크막스(CheckMarx), 그램마테크(GrammaTech)이 참가했다.  

◇제로트러스트 보안

특히 RSAC 2022에서 제로트러스트를 빼놓을 순 없다. 제로트러스트는 절대 신뢰하지 않고 항상 확인하는 최소 권한 개념에 따라 작동하는 보안 모델이다. 최근 클라우드, 모바일 및 IoT의 폭발적인 증가로 인해 기존 네트워크 경계가 없는 환경이 만들어졌으며 많은 전문가들은 제로트러스트로부터 보안에 대한 답을 찾기위해 노력하고 있다. 

새로운 액세스 문제를 해결하기 위해 ZTNA(제로트러스트 네트워크 액세스)를 포함하도록 에지 솔루션 제품군들이 만들어 지고 있다.

800명의 IT 및 보안 전문가를 대상으로 한 설문 조사 결과, 응답자의 77%가 내년에 제로트러스트에 대한 지출을 늘릴 것이라고 한 만큼, 제로트러스트의 성장성은 크다고 볼 수 있다. 

제로트러스트 주요 기업으로는 △일루미오(Illumio) △시스코(CISCO) △팔로알토네트웍스(Palo Alto Networks) △힐스톤네트웍스(Hillstone Networks) △핑 아이덴티티(Ping Identity) △넷스코프(netskope) △사이버아크(Cyber Ark) △포어스카우트(Forescout) △알미스(ARMIS) 등이 참여했다. 

◇XDR(eXtended Detection and Response)과 Managed XDR

XDR도 이번 RSAC 2022에서 빼놓을 수 없다. XDR은 여러 보안 제품을 응집력 있는 보안 운영 시스템에 기본적으로 통합하는 SaaS 기반 공급 업체별 보안 위협 탐지 및 사고 대응 도구로 정의할 수 있다. 

또 포레스터 리서치(Forrester Research)에서는 XDR을 위협 탐지, 조사, 대응 및 헌팅을 실시간으로 최적화하는부분까지 확장하고 있다. RSAC 2022에서는 SIEM 업체와 MSSP 업체에서 자체적인 EDR을 구성하거나 파트너 쉽을 통해서 XDR 아키텍쳐를 구성했다. Managed XDR과 같은 MDR(관리형 탐지및 대응) 개념으로 변모하면서 Managed XDR의 서비스 개념도 볼 수 선보였다. 

이번에 참가한 주요 밴더로는 △사이넷(Cynet)  △크라우드스트라이크(CrowdStrike) △AT&T △블랙베리(Blackberry) △IBM △엘라스틱(Elastic) △엑사빔(Exabeam) △센티넬원(SentinelOne) 등이다. 

◇클라우드 보안

역시 대세는 클라우드 보안이었다. 가트너에서는 2021년 30%에서 2025년까지 새로운 디지털 워크로드의 95% 이상이 클라우드 네이티브 플랫폼에 배포될 것이라고 전망한 바 있다. 최근까지 구글, 마이크로소프트, 아마존(AWS) 등 거대 기업의 사이버 보안기업 인수가 일어나고 더 강력하고 안전한 클라우드 환경을 구축하기 위해 노력하는 모습들이 보이고 있다. 

RSAC 2022에서는 어플리케이션 보안(API 보안), 데브섹옵스(DevSecOps), 사용자 인증, 데이터보안 및 자동화 부분이 클라우드 보안 영역으로 선보였다. 주요 기업으로는 △아쿠아(Aqua) △팔로알토네트웍스(Palo Alto Networks) △하시코프(HashiCorp) △인빅티 시큐리티(Invicti Security) △쓰렛X(THREATX) △체크포인트(Check Point) △SALT △옥타(Okta) △snyk 등을 들 수 있다. 

◇다양한 위협 인테리전스

한편 위협 인텔리전스는 보안 침해 사건 또는 예방 업무에 있어서 누가, 언제, 어디서, 어떻게, 무엇을 왜 했는지에 대한 답을 일목요연하게 정리한 맥락 정보다. 이를 통해 즉각적인 대응 조치가 가능하도록 도움을 주는 보안에서 가장 근본이 되는 중요한 보안 요소다.

RSAC 2022 역시 많은 위협 인텔리전스 플랫폼(Threat Intelligence Platform) 기업들이 참여했지만 각각 다른 성격의 위협 인텔리전스를 소개했다. OSINT(Open Source Intelligence)기반의 데이터를 분석해서 IOC 기반의 인텔리전스를 전달하는 기업에서부터 전문 보안사고 분석 인력을 통해 실제 공격자의 사용 툴, 공격기법(TTPs)을 현장해서 수집해 반영하는 기업에 이르기까지 다양한 위협 인텔리전스 기업들이 참가했다. 위협 인텔리전스 기업으로는 제로 폭스(Zero Fox), 레코디드 퓨쳐(Recorded Future), 어노말리(ANOMALY), 플래쉬포인트(FLASHPOINT), 사이버 GRX(Cyber GRX), 멘디언트(MANDIANT) 등이 참여했다. 

(샌프란시스코 RSAC 2022 / 데일리시큐)

★정보보안 대표 미디어 데일리시큐!★