사이버 보안의 네트워크 세분화 부족
이 글은 최근에 발표된 NSA/CISA 합동 사이버 보안 자문 를 통해 이들 기관에서 실시한 레드/블루팀 훈련에서 확인된 주요 사이버 보안 문제에 대해 살펴봅니다. 이 글에서는 특정 이슈에 대해 보다 심층적으로 살펴보고, 해당 이슈가 적용되는 실제 시나리오와 이를 제한하거나 극복하기 위해 채택할 수 있는 완화 전략에 대해 알아봅니다. 이는 NSA/CISA 보고서에서 제공한 정보를 확장한 것입니다.
-
네트워크 세분화는 네트워크 내에 보안 경계를 설정하는 중요한 사이버 보안 관행입니다. 적절한 네트워크 세분화가 이루어지지 않으면 조직은 광범위한 보안 침해에 취약해질 수 있습니다. 이 도움말에서는 부적절한 네트워크 세분화와 관련된 위험을 다루고 효과적인 구현을 위한 전략을 간략하게 설명합니다.
부적절한 네트워크 세분화의 위험성
보안 경계 없음
네트워크 세분화가 없으면 사용자, 프로덕션, 중요 시스템 네트워크와 같은 서로 다른 네트워크 영역 간에 정의된 보안 경계가 없습니다. 네트워크가 분리되지 않으면 네트워크의 한 부분을 손상시킨 공격자가 여러 시스템을 가로질러 아무런 제지 없이 횡적으로 이동할 수 있습니다.
랜섬웨어 및 사후 익스플로잇 기법에 대한 취약성 증가
세분화되지 않은 네트워크는 랜섬웨어 공격과 사후 익스플로잇 기술에 훨씬 더 취약합니다. 구획화가 없다는 것은 공격자가 일단 액세스 권한을 얻으면 잠재적으로 전체 네트워크를 악용할 수 있다는 것을 의미합니다.
운영 기술(OT) 환경의 리스크
IT 환경과 OT 환경 간의 세분화가 부족하면 OT가 위험에 처하게 됩니다. 에어 갭 네트워크가 보장되어 있음에도 불구하고 평가 팀은 간과하거나 실수로 네트워크에 연결하여 OT 네트워크에 액세스하는 경우가 많습니다.
모니터링 체크포인트 설정의 어려움
모든 시스템이 다른 모든 시스템과 통신할 수 있다면 시스템 간의 활동을 제대로 기록하고 모니터링하는 것은 사실상 불가능합니다. 모니터링 프로브를 배포할 수 있는 명확하게 정의된 체크포인트가 있는 아키텍처를 채택하면 보안이 강화되고 비정상적인 활동을 더 빨리 발견할 수 있습니다.
완화 전략
차세대 방화벽 구현하기
심층 패킷 필터링, 상태 저장 검사, 애플리케이션 수준 패킷 검사를 위해 차세대 방화벽을 사용하세요. 이 방법은 허용된 애플리케이션 프로토콜에 맞지 않는 트래픽을 거부하거나 삭제하여 공격자가 네트워크 취약점을 악용할 수 있는 능력을 제한하는 데 도움이 됩니다.
엔지니어 네트워크 세그먼트
네트워크 세그먼트를 엔지니어링하여 중요한 시스템, 기능, 리소스를 격리하세요. 물리적 및 논리적 세분화 제어를 모두 구현하여 네트워크 내에 별도의 보안 구역을 생성하세요. 이러한 격리는 특정 세그먼트 내의 침해를 억제하여 전체 네트워크에 영향을 미치지 않도록 방지하는 데 도움이 됩니다.
네트워크 세그먼트를 구현하기 시작할 때 비즈니스 책임에 따라 우려 사항을 세분화하는 것이 적절한 출발점입니다(예: 여러 부서의 시스템을 서로 분리하는 것). 하지만 ID 관리와 같이 여러 부서를 넘나드는 문제를 처리하는 시스템은 이러한 경계를 넘나들며 운영하거나, 세그먼트별로 서로 다른 서버에서 효과적인 책임 위임이 이루어질 수 있도록 구현해야 합니다. 예를 들어, 모든 세그먼트의 모든 시스템이 연결할 수 있는 단일 도메인 컨트롤러가 아니라 각 세그먼트에 별도의 도메인 컨트롤러를 두고 서로 및 해당 세그먼트의 시스템과만 통신하는 경우를 상상해 보세요. 추가 분리는 가능하지만 관리 오버헤드가 높아지는 장단점을 적절히 비교해야 합니다.
강력한 액세스 제어 조치 수립
각 네트워크 세그먼트에 대해 엄격한 액세스 제어 조치를 구현합니다. 권한이 있는 사용자와 시스템만 네트워크의 민감한 영역에 액세스할 수 있도록 하세요.
정기 감사 및 모니터링
네트워크 세그먼트에 대한 정기적인 감사와 지속적인 모니터링을 수행하여 무단 액세스 또는 이상 징후를 감지합니다. 이러한 관행은 세분화된 네트워크의 무결성을 유지하는 데 필수적입니다.
교육 및 인식 제고
직원들에게 네트워크 세분화의 중요성과 사이버 보안에서의 역할에 대해 교육하세요. 세분화된 네트워크를 유지 관리하고 모니터링하는 절차를 이해하도록 하세요.
인시던트 대응 계획과 통합
인시던트 대응 계획에 세분화된 네트워크 아키텍처를 고려해야 합니다. 이러한 통합은 세분화된 영역 내에서 보안 인시던트를 더 빠르게 격리하고 대응하는 데 도움이 됩니다.
효과적인 네트워크 세분화는 조직의 공격 표면을 줄이고 보안 침해의 확산을 제한하는 데 필수적입니다. 이러한 권장 전략을 구현함으로써 조직은 다양한 사이버 위협에 대한 네트워크 보안과 복원력을 강화할 수 있습니다.