Akamai + Guardicore: 엔드투엔드 제로 트러스트
랜섬웨어 공격이 2020년에 약 150% 이상 급증했다는 사실은 명백합니다. 범죄자들은 네트워크와 시스템에 접속하는 새로운 수법을 고안하고 있으며, 이러한 위협은 지속되는 재택근무와 인터넷 지원 디바이스의 확산으로 인해 공격표면이 확대되면서 더욱 커질 전망입니다. 바로 이러한 이유로 Akamai는 Guardicore의 공식 합병에 커다란 기대를 걸고 있습니다. 랜섬웨어가 야기하는 문제는 그 어느 때보다 심각해졌고, 이제 하나가 된 두 기업이 공격을 막을 수 있는 기회가 그 어느 때보다 명확해졌습니다. 힘을 합치면 밀물처럼 밀려드는 위협을 막아낼 수 있습니다.
랜섬웨어는 복잡한 문제입니다. 하지만 랜섬웨어를 방어하는 일은 엔드포인트와 관계없이 '모든 트래픽 흐름은 검사 및 제어가 필요하다'는 하나의 간단한 원칙으로 요약할 수 있습니다.
랜섬웨어는 실제로 공격을 감행하기 위해 '이동'해야 합니다. 랜섬웨어는 발생 위치에 상관없이 가치가 높은 데이터에 접속해 이를 암호화할 수 있는 장소를 찾아야 합니다. 일반적으로 이러한 이동에는 다양한 디바이스와 서버에서 여러 홉이 필요합니다. 각 홉은 남북(사용자 디바이스와 서버 간) 또는 동서(서버 간) 방향의 트래픽 흐름입니다. 따라서 랜섬웨어 차단은 결국 이러한 트래픽 흐름을 모두 검사하고 제어해 흐름이 인증을 받았는지, 멀웨어가 포함되어 있지 않은지 확인하는 일입니다.
Akamai와 Guardicore는 이제 이 전략을 함께 추구하게 되었습니다. 이제 고객은 Akamai의 통합 기술을 이용해 남북 및 동서 방향의 기업 트래픽 흐름을 검사하고 제어할 수 있습니다.
공격자들은 처음에 어떻게 접속할까요?
공격자들은 기업에서 초기 거점 확보를 위해 사용할 수 있는 몇 가지 전략을 가지고 있습니다. 그러한 거점이 첫 번째 홉입니다. 공격자가 첫 번째 홉을 위해 사용하는 방법에는 피싱, 스쿼팅, 도난당한 인증정보 사용, 퍼블릭 애플리케이션 취약점 악용, 노트북 또는 서버에 대한 물리적 접속 확보 등이 있습니다. 랜섬웨어 방어는 이 모든 방법을 고려해야 합니다.
피싱 방어의 경우 교육에 지나치게 의존하는 경우가 많습니다. 물론 교육은 중요하지만, 의심스러운 것이 있는지 확인하는 부담을 직원들이 전적으로 떠맡아서는 안 됩니다. 위협 환경과 범죄자가 사용하는 툴은 너무나 빠르게 바뀌고 있기 때문입니다. 이상적으로는 직원이 판단을 내리기 전에 기술이 개입해야 합니다. 또한 기술은 가령 직원이 악성 링크를 클릭하는 경우에도 의심스러운 웹사이트를 차단하는 등 사람의 실수를 수정함으로써 또 다른 방어 레이어를 제공할 수 있습니다.
Akamai는 랜섬웨어가 거점 확보를 시도하는 이 첫 번째 홉에서 랜섬웨어를 차단할 수 있는 여러 제품을 보유하고 있습니다.
Secure Internet Access Enterprise의 일부인 DNS 방화벽과 보안 웹 게이트웨이(SWG)는 호스트 이름과 URL 필터링을 통해 피싱 및 스쿼팅 사이트 접속을 차단할 수 있습니다.
이상적으로 그 어떤 요소도 비밀번호가 되지 않는 피싱 방지 멀티팩터 인증(MFA)은 도난당한 인증정보를 사용하려는 공격자를 차단할 수 있습니다.
Akamai의 현재 Enterprise Application Access로 알려진 제로 트러스트 접속 제품은 이미 인증을 받아 권한이 부여된 사용자만 서버를 볼 수 있도록 해 서버 취약점 악용을 차단할 수 있습니다.
또한 권한이 부여된 접속에도 공격이 포함될 수 있지만 웹 애플리케이션 방화벽(WAF)은 트래픽 흐름에 어떠한 공격도 포함되지 않도록 할 수 있습니다.
랜섬웨어 확산 방지
물론 완벽한 방어는 없습니다. 그렇다면 공격자가 침투 방법을 알아내면 어떻게 될까요? 공급망이 표적이 되고, 공격자가 즉시 네트워크에 접속할 수 있으면 어떻게 될까요?
예방하는 것이 언제나 최선이지만, 현실적으로는 종종 위협이 침투할 수밖에 없습니다. 기업은 랜섬웨어가 이러한 초기 방어를 무너뜨렸을 경우 중요 정보와 인프라를 보호하기 위한 전략을 갖추어야 합니다. 그러므로 동서 또는 내부 서버 간 트래픽의 검사와 제어도 중요합니다. 대부분의 경우 랜섬웨어가 높은 가치의 데이터를 찾아내 피해를 입히려면 최소한 한 번의 동서 홉이 필요합니다. 또한 물리적 접속에서 비롯된 공격의 경우 공격이 서버에서 서버로 호핑하지 못하도록 막는 것이 랜섬웨어 확산을 막을 수 있는 유일한 기회가 될 수 있습니다.
Guardicore의 마이크로세그먼테이션 기술은 기업 내부의 멀웨어 확산을 차단하는 중요한 보호 수단입니다. 이 기술은 기업을 논리적인 세그먼트로 나눕니다. 각 세그먼트는 잘 정의된 보안 제어를 보유해 각 프로세스가 반드시 필요한 프로세스와 통신할 수 있도록 합니다. 이 접근 방식은 동서 이동을 통해 기업 전체에서 확산되는 멀웨어 문제를 해결합니다.
차세대 최전선
Akamai와 Guardicore는 모든 기업 트래픽 흐름에 대한 검사 및 제어 기능을 제공하면서 경계 없는 기업이라는 새로운 영역을 개척하고 있습니다.
많은 기업들이 여전히 보안이 철저한 방화벽 기업 네트워크라는 구시대적인 개념으로 보안에 접근하고 있습니다. 하지만 이 접근 방식은 어디서든 일할 수 있는 클라우드 퍼스트 환경과는 어울리지 않습니다. 퍼블릭 애플리케이션, 가상화된 서버, 온프레미스와 클라우드 기술의 혼합은 보안에 관한 '보호된 경계' 접근 방식을 뜻합니다. 이 접근 방식은 네트워크 내 사용자 또는 애플리케이션은 신뢰하고 네트워크 바깥의 사용자 또는 애플리케이션을 신뢰하지 않는 방식으로, 기업을 매우 취약하게 만듭니다. 왜냐하면 방어가 실패하는 경우(또는 신뢰할 수 있는 디바이스에 공격자가 접속하는 경우) 공격자를 막을 방법이 없기 때문입니다. 더불어 기존 보안 방어 체계에 클라우드 기반 애플리케이션과 인프라를 두고서 성능을 유지하기가 매우 어렵기 때문이기도 합니다. 재택근무로 인해 개인적 환경과 업무 환경, 가정과 사무실의 경계가 계속 모호해지면서 이러한 복잡성은 증가할 것입니다.
기업은 제로 트러스트의 개념을 전적으로 수용해야 하며, 기업 네트워크 내부의 모든 것을 신뢰할 수 있다는 생각을 버려야 합니다. 특히 원격 근무가 계속 보편화되면서 기업 시스템에 대한 모든 접속을 원격 접속으로 간주해야 하며, 인턴 사원의 디바이스든 CEO의 디바이스든 어떤 디바이스에도 완전히 자유로운 접속 권한을 부여해서는 안 됩니다. 이렇게 하면 취약점 악용을 차단하고, 특정 디바이스가 감염되더라도 전체 기업 에코시스템은 감염되지 않도록 보장할 수 있습니다.
사용자, 위치, 디바이스에 관계없이 기업 보안에 접근할 때 트래픽 흐름을 신뢰할 수 없다는 통일된 전제를 통해 기업의 방어가 훨씬 강화됩니다. Akamai와 Guardicore의 방어를 결합한 포괄적인 제로 트러스트 접근 방식을 이용하면 랜섬웨어로부터 여러분을 보호할 수 있습니다.
