클라우드 위협 감지에 대한 접근 방식

조직이 온프레미스에서 하이브리드 클라우드 또는 100% 클라우드로 전환하면 위협 감지에 대한 접근 방식도 진화해야 합니다. 여러 클라우드 환경에서 위협에 직면한 경우에는 더더욱 그렇습니다. 디지털 혁신의 보안을 강화하려면 퍼블릭 클라우드 컴퓨팅에서의 위협 감지에 대해 새로운 근본적인 프레임워크로 접근해야 합니다.

용어는 시간이 지나면서 그 의미가 달라질 수 있으므로 위협 감지, 감지, 대응의 의미부터 설명하겠습니다. 균형 잡힌 보안 전략은 예방, 감지, 대응 이라는 보안을 구성하는 세 가지 요소를 모두 포함합니다. 예방이 상황을 나아지게 할 수는 있지만 완벽한 예방이란 존재하지 않습니다. 보안 예방 조치를 취하더라도 여전히 방어 체계를 관통하는 위협을 경계해야 합니다. 악의적인 활동을 찾아 확인하고 자동적으로 대응하거나 보안팀에 알리는 행위가 감지 및 대응에 해당합니다.

중요한 변화는 기존 환경에서 클라우드로 전환하는 과정과 다음과 같은 세 가지 주요 영역에 영향을 미칩니다.

• 위협 환경
• IT 환경
• 감지 방법

첫째, 위협 환경은 변화합니다. 다시 말해 새로운 위협이 진화하고, 기존의 위협이 사라지며, 다양한 위협의 중요성이 달라집니다. 현재 환경에서 위협 평가를 수행한 다음 전체 환경을 퍼블릭 클라우드로 마이그레이션하는 경우 리프트 앤 시프트 방식을 사용하더라도 위협 평가는 매우 다르게 이루어질 것입니다. MITRE ATT&CK Cloud는 일부 위협 활동이 퍼블릭 클라우드 컴퓨팅에 어떻게 적용되는지 이해하는 데 도움이 될 수 있습니다.

둘째, 우리 주변의 모든 기술 환경이 변화합니다. 이는 방어자가 마주치게 되는 시스템 및 애플리케이션 유형뿐만 아니라 기술 및 운영 관행에도 적용되는 사항입니다. 기본적으로, 위협을 감지해야 하는 영역인 클라우드는 색다릅니다. 위협을 받는 애셋과 감지를 수행하는 기술도 그렇습니다. 때때로 클라우드는 기존의 '블루팀(보안 전문가팀)' 입장에서 난관만이 가득한 다소 생소한 환경처럼 보입니다. 사실 클라우드는 새로운 감지 기회를 많이 제공합니다. 여기서 핵심 주제는 변화이며 그 변화의 방향이 좋을 수도, 나쁠 수도 있습니다.

클라우드의 특성은 다음과 같이 요약할 수 있습니다.

• 일반적으로 분산되어 있으며 많은 리전과 데이터 센터에서 실행됩니다.
• 많은 경우 변경 불가능하며 업데이트가 아닌 대체되는 시스템을 활용합니다.
• 임시로 사용되며 워크로드가 종종 작업별로 생성된 후 삭제됩니다.
• API 기반이며 광범위한 API가 사용됩니다.
• ID 레이어를 중심으로 하며, 네트워크 경계만이 아니라 주로 ID를 사용하여 워크로드를 분리합니다.
• 자동으로 확장되므로 증가하는 워크로드에 맞게 확장될 수 있습니다.
• 제공업체와 공유됩니다.

이처럼 분산되고(Distributed), 변경 불가능하고(Immutable), 임시로 사용되는(Ephemeral) 클라우드의 속성을 조합하여 DIE 3요소라고 부릅니다. 세 가지 요소는 모두 클라우드 환경에서의 감지에 영향을 미칩니다.

셋째, 원격 분석 소스와 감지 방법도 변합니다. 이는 앞서 언급한 변화에서 비롯된 것처럼 보이지만 꼭 그렇지만은 않습니다. SaaS를 포함한 일부 클라우드 서비스의 경우 EDR과 같은 에이전트를 사용하는 일반적인 방식은 작동하지 않습니다. 하지만 새롭고 다양한 원격 분석 소스를 사용할 수 있습니다. Cloud 감사 로그가 단적인 사례입니다.

마찬가지로, 경계에서 트래픽을 스니핑할 수 있고 심지어 경계를 확보할 것이라는 예상조차 빗나갈 수도 있습니다. 광범위한 암호화는 레이어 7 트래픽 분석을 저해하고, 공개 API는 경계의 정의에 대한 규칙을 다시 작성합니다. 마지막으로, 감지 소스 및 방법은 본질적으로 클라우드 제공업체에 공유되는데 일부는 클라우드 서비스 제공업체가 관리하지만 일부는 클라우드 사용자가 관리합니다.

이로 인해 클라우드에서 위협을 감지할 수 있고, 또 감지해야만 하는 몇 가지 영역이 있습니다.

몇 가지 클라우드 위협 감지 시나리오를 살펴보겠습니다.

모두가 클라우드 보안에서 ID의 역할을 강조합니다. ID는 위협 감지에서도 매우 중요한 역할을 합니다. 퍼블릭 클라우드에서 IAM 실수가 곧 정보 유출로 이어진다는 상투적인 말을 여기서 반복하고 싶지는 않지만, 클라우드 보안과 관련된 실수로 인해 큰 비용이 발생할 수 있다는 점은 아무리 강조해도 지나치지 않습니다. Google Cloud는 조직을 보호하기 위해 모든 IAM 권한 부여를 실시간으로 자동 분석하여 직간접적으로 추가된 외부인을 감지하는 서비스를 제공합니다.

에이전트를 사용하여 가상 머신(VM)과 같은 컴퓨팅 인스턴스 내부의 위협을 감지하는 것은 이제 과거의 방식으로 보입니다. VM은 그저 서버일 뿐이니까요. 하지만 클라우드는 바로 이 영역에서 새로운 기회를 제공합니다. 예를 들어 보안팀은 VM Threat Detection을 사용해 에이전트 없이 컴퓨팅 전반에 YARA 규칙을 실행할 수 있습니다.

마지막으로, BigQuery와 같은 제품에는 데이터 무단 반출 감지에 관한 새로운 접근 방식이 필요합니다. Security Command Center 프리미엄은 다양한 Google Cloud 조직으로 데이터를 복사하는 BigQuery의 쿼리 및 백업을 감지합니다.

물론 클라우드에서 동일하게 유지되는 요소도 있습니다. 내부인 또는 외부인과 같은 광범위한 위협 카테고리, 대략적인 공격 단계와 같은 사이버 익스플로잇 체인 단계, MITRE ATT&CK 전술 등은 크게 달라지지 않았습니다. 또한 광범위한 감지 사용 사례는 여전히 유효한 것으로 보입니다.

방어하는 조직에 이것은 무엇을 의미할까요?

• 클라우드로 이전하면 위협과 IT 환경이 크게 달라집니다.
• 즉 온프레미스 감지 기술 및 접근 방식을 향후 개발의 토대로 삼으면 그다지 바람직하지 않은 결과를 얻을 수 있습니다.
• 또한 이는 모든 온프레미스 감지 도구와 위협 감지 콘텐츠를 단순히 복사하는 것이 최적의 방안이 아님을 뜻합니다.
• 대신 Google Cloud로 이전하면 클라우드의 기술과 프로세스로 창출된 새로운 기회를 활용하여 기밀성, 무결성, 가용성이라는 지속적인 목표를 달성하는 방식을 혁신할 수 있습니다.

더 알아보기:

• '위협 모델 및 클라우드 보안'(ep12)을 들어 보세요.
• '클라우드에서 어떤 감지 및 대응이 바람직할까요? Expel MDR의 인사이트'(ep72)를 들어 보세요.
• '클라우드 위협과 해당 위협을 포착하는 방법'(ep69)을 들어보고 관련 블로그 '오늘날 클라우드 위협을 바라보는 방식'도 읽어 보세요.
• 클라우드 감지를 테스트하는 방법을 살펴보세요.
• SCC와 Chronicle을 사용한 클라우드 위협 조사에 관한 안내를 읽어 보세요.