"데이터가 없다면 당신은 단지 의견을 가진 사람일 뿐입니다."
피터 드러커의 시대를 초월한 원칙을 현대적으로 재해석한 것입니다. 측정하지 않으면 관리할 수 없다는 원칙입니다. 문제를 이해할 수 있는 통찰력이 없다면 어떻게 문제를 해결할 수 있겠습니까? 문제가 무엇인지 정말 알고 있기나 할까요?
이것이 오늘날 사이버 보안 전문가들이 직면한 딜레마입니다. 지난 한 해 동안 업계는 마침내 신원 보안 단순히 중요한 것이 아니라 사이버 보안의 근본입니다. 하지만 대부분의 조직은 여전히 실질적인 가시성이나 노출 정도를 정량화할 유의미한 데이터가 부족합니다. 몇 년 전, 제가 대형 컨설팅 회사의 CIO로 재직했을 때, 저와 제 팀은 바로 그런 상황에 처해 있었습니다.
신원 보호의 가시성 격차
저희 IT 팀은 데이터 중심적이었습니다. 프로그램 관리, 서비스 관리, 가용성 등 운영 전반에 걸쳐 강력한 보고 기능을 갖추고 있었습니다. 사이버 보안 보고 시스템도 경계 보호 및 취약성 관리와 같은 영역에서 마찬가지로 성숙도가 높았습니다.
하지만 신원 정보 계층에 관해서는 보고가 부족했습니다. "우리는 얼마나 노출되어 있는가?"라는 근본적인 질문에 대한 답은 나오지 않았습니다. 이러한 통찰력 부족은 그저 "우리가 할 수 있는 최선"으로 받아들여졌습니다.
우리는 숙련된 팀, 글로벌 SOC, SIEM 시스템에 의해 뒷받침되는 강력한 경계 방어를 믿었습니다. ITDR, 우리를 안전하게 지켜줬습니다. 하지만 레드팀이 도착하는 순간 그 믿음은 사라졌습니다.
깨어나라는 경고
초보자를 위해 설명드리자면, NIST에서 "잠재적 적의 공격을 모방할 권한이 있는 사람들로 구성된 그룹"으로 정의하는 레드팀은 공격자가 경보를 울리지 않고 방어선을 얼마나 깊이 침투할 수 있는지 테스트합니다. 레드팀의 궁극적인 목표는 전체 도메인에 대한 관리 권한을 얻는 것입니다.
저희의 경우, 레드팀의 진입 지점은 교묘하게 고안된 피싱 공격이었습니다. 정기적인 내부 피싱 훈련에도 불구하고 소수의 사용자가 여전히 클릭했고, 그것만으로도 충분했습니다.
그 뒤를 이은 것은 더욱 놀라운 일이었습니다. 최첨단 방어 체계에도 불구하고 레드팀은 몇 주 동안 탐지되지 않은 채 작전을 수행했습니다. SIEM 데이터의 쓰나미 속에서 아무런 경보도 SOC에 전달되지 않았습니다. 레드팀이 중단을 선택했을 때만 훈련은 끝났습니다. 그때쯤 레드팀은 오랫동안 잊힌 도메인 접근 권한을 획득했습니다. 특권 계정.
가혹한 현실
최고 수준의 도구를 사용하여 5년간 수백만 달러 규모의 사이버 보안 강화 프로그램을 완료한 직후였습니다. 그런데도 숙련된 적대 세력이 침투했습니다. 자격 증명 오용을 막지 못했기 때문입니다.
그 이후로 저는 조직의 규모와 관계없이 많은 조직에서 똑같은 상황이 반복되는 것을 목격했습니다. 이러한 위협에 면역이 있다고 생각하지만 데이터로 증명할 수 없다면, 그저 희망에 기대는 것과 같습니다. 그리고 희망은 전략이 아닙니다.
우리가 배운 것
- 신원 보호 기본입니다.
경계 방어는 필수적이지만, 침해 이후의 상황이 정말 중요합니다. 창문을 깨는 것은 위험하지만, 귀중품을 모두 잃는 것은 더 심각합니다. 모든 공격에서 특권 자격 증명의 오용은 그러한 손실의 핵심입니다. - 위험을 정량화하세요.
보안 태세에 대한 의견만으로는 충분하지 않습니다. 데이터로 뒷받침하세요. 경계뿐만 아니라 내부 신원 방어 체계까지 테스트하는 레드팀 훈련을 실시하세요. 위험을 정량화하면 위험을 완화할 수 있는 기회를 얻을 수 있습니다. - 가시성이 전부입니다.
많은 신원 저장소가 수십 년에 걸쳐 진화하면서 기존 위험을 숨기는 경우가 많았습니다. 단일 창에서 모든 시스템의 고위험 계정을 식별할 수 있어야 합니다. 이것이 없다면 팀은 맹목적으로 맞서 싸워야 할 것입니다. - 기본 사항을 다룹니다.
당신은 자신이 완전하다고 믿을 수도 있습니다 MFA 적용 범위가 넓지만, 실제로는 그렇지 않을 가능성이 높습니다. 레거시 시스템, 파일 공유, 명령줄 도구는 MFA 지원이 부족하여 쉽게 진입할 수 있는 지점이 되는 경우가 많습니다. 마찬가지로, 링 펜싱도 마찬가지입니다. 인간이 아닌 정체성 따라서 의도된 목적이 꼭 필요한 곳에만 사용할 수 있습니다.
"특권 계정을 오용하는 것은 인간이든 아니든 대부분의 성공적인 공격의 핵심입니다."
전구가 켜지는 순간
전환점은 우리의 Red Team 훈련 직후에 찾아왔습니다. Silverfort 플랫폼이었습니다. 저와 CISO 모두에게 새로운 발견이었습니다.
개념 증명을 통해 이를 확인할 수 있었습니다. 레드팀은 초기 접근 권한을 확보할 수는 있었지만, 측면으로 이동하거나 피해를 입힐 수는 없었습니다. 더 중요한 것은, 수년간 부족했던 신원 저장소에 대한 가시성을 마침내 확보했다는 것입니다. 이는 사이버 위험 감소에 있어 엄청난 진전이었습니다.
보이지 않는 것은 보호할 수 없다
제 경험과 그 이후 수많은 사람들의 경험을 통해 얻은 교훈은 분명합니다. 보이지 않는 것을 안전하게 지킬 수는 없습니다. 신원 정보는 사이버 보안의 새로운 전장이 되었지만, 여전히 제대로 측정되지 않고 가장 오해받는 영역입니다. 신원 위험을 정량화하지 않으면 조직은 사실상 눈가리개를 하고 증거 대신 가정과 의견에 의존하며 위험을 헤쳐나가고 있는 셈입니다.
실제 테스트, 지속적인 가시성, 그리고 실행 가능한 데이터는 보안을 확신하는 조직과 실제로 보안을 유지하는 조직을 구분하는 핵심 요소입니다. 조직 환경 전반에서 ID가 어떻게 사용되고 오용되는지 확인하고, 측정하고, 이해할 수 있는 능력은 보안을 사후 대응적에서 사전 예방적 방식으로 전환합니다.
신원 위험을 정량화하면 단순히 취약점을 드러내는 데 그치지 않고, 팀이 정보에 기반한 결정을 내리고, 효과적으로 우선순위를 정하고, 공격자가 악용하는 허점을 메울 수 있도록 지원합니다. 사이버 보안에서 이는 최선의 결과를 바라는 것과 가장 중요한 것을 자신 있게 방어하는 것의 차이입니다.