제로 트러스트 보안은 액세스 요청을 지속적으로 분석하고 검증하는 동시에 암시적 신뢰를 없애 조직이 보안을 처리하는 방식을 변화시킵니다. 경계 기반 보안과 달리 환경 내의 사용자는 액세스 권한을 얻을 때 자동으로 신뢰되지 않습니다. 제로 트러스트 보안은 모든 장치와 사용자에 대한 지속적인 모니터링을 장려하여 성공적인 사용자 인증 후에도 지속적인 보호를 보장합니다.
기업이 제로 트러스트 보안을 채택하는 이유
기업은 복잡하고 점점 정교해지는 사이버 위협으로부터 보호하기 위해 제로 트러스트 보안을 채택합니다. 이는 동서 트래픽 보안 부재, 내부자의 암묵적 신뢰, 적절한 가시성 부족 등을 포함하는 기존 경계 기반 보안 모델의 한계를 해결합니다.
 |
| 기존 보안과 제로 트러스트 보안 |
제로 트러스트 보안은 다음을 제공하여 조직의 보안 상태를 업그레이드합니다.
- 향상된 보안 태세: 조직은 해당 환경 내에서 네트워크 트래픽, 액세스 요청, 사용자/시스템 활동에 대한 데이터를 지속적으로 수집하여 보안 상태를 개선할 수 있습니다.
- 내부 위협으로부터 보호: 제로 트러스트 보안은 “신뢰하지 않고 항상 확인”이라는 원칙을 채택하여 액세스 권한을 부여받기 전에 네트워크 경계 내의 모든 사용자를 인증합니다.
- 원격 근무에 대한 적응: 제로 트러스트 보안은 각 장치/사용자에 대한 신원 확인, 보안, 지속적인 모니터링을 우선적으로 수행하여 원격 근무 조직의 보안을 향상시킵니다.
- 규정 준수: 규제 표준에 부합하는 엄격한 제어, 지속적인 모니터링 및 데이터 보호를 시행하여 조직이 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.
- 위반 완화: 자동화된 대응 메커니즘을 구현함으로써 조직은 손상된 계정 및 장치에 대한 액세스 권한을 신속하게 제한하여 잠재적인 피해를 억제하고 위반으로 인한 전반적인 영향을 줄일 수 있습니다.
제로 트러스트 보안을 적용하는 방법
조직에 제로 트러스트 보안을 구현할 때 고려해야 할 요소는 다음과 같습니다.
- 지속적인 모니터링: 이를 통해 모든 네트워크 및 시스템 활동을 모니터링하고 분석할 수 있습니다. SIEM(보안 정보 및 이벤트 관리) 플랫폼을 채택할 수 있습니다. SIEM은 조직이 보안 위협과 취약점을 식별하고 해결할 수 있도록 실시간 가시성을 제공하는 보안 솔루션입니다.
- 사고 대응: 이를 통해 조직은 보안 사고에 신속하게 대응할 수 있습니다. 조직에서는 XDR(확장된 탐지 및 대응) 플랫폼을 사용하여 보안 위반에 신속하게 대응하고 피해를 최소화하며 가동 중지 시간을 줄입니다.
- 초기 접근 방지: 취약성 악용, 비정상적인 사용자 행동, 무차별 로그인 시도를 지속적으로 모니터링함으로써 조직은 공격자가 진입점을 설정하기 전에 실시간으로 위협을 탐지할 수 있습니다.
- 최소 권한: 사용자에게 필요한 액세스 권한만 부여해야 하므로 시스템 내에서 최소한의 권한 귀속을 권장합니다. 이는 IAM(Identity and Access Management) 솔루션을 사용하여 달성할 수 있습니다. IAM 솔루션은 역할 기반 액세스 제어(RBAC)를 사용하여 사용자에게 특정 권한을 할당합니다. SIEM 및 XDR 플랫폼을 활용하여 IAM 구성의 무단 변경을 모니터링할 수 있습니다.
- 장치 접근 제어: 네트워크에 접속하는 모든 기기는 사전 인증 및 검증 과정을 거쳐야 합니다. 이 프로세스에는 장치의 ID, 보안 상태 및 조직 정책 준수 여부를 확인하는 작업이 포함됩니다. 초기 액세스가 허용된 후에도 장치에 손상 징후가 있는지 계속 모니터링하여 지속적인 보안을 보장할 수 있습니다.
- 미세 세분화: 이 제로 트러스트 보안 원칙은 조직이 네트워크 인프라를 더 작고 격리된 부분으로 나누도록 권장합니다. 각 부분은 보안 제어와 독립적으로 작동하여 측면 이동의 위험을 최소화하여 공격 표면을 줄입니다.
- 다단계 인증: 이는 사용자가 시스템, 애플리케이션 또는 데이터에 액세스하기 전에 여러 확인 양식을 제시하도록 요구하여 추가 보안 계층을 추가합니다. 비밀번호와 같은 한 가지 요소가 손상되더라도 무단 액세스의 위험을 줄여줍니다.
다음 섹션에서는 제로 트러스트 보안을 위해 Wazuh 기능을 활용하는 예를 보여줍니다.
제로 트러스트 보안을 위해 Wazuh를 활용하는 방법
Wazuh는 클라우드 및 온프레미스 환경의 워크로드 전반에 걸쳐 통합 XDR 및 SIEM 기능을 제공하는 무료 오픈 소스 보안 플랫폼입니다. Wazuh 문서를 활용하여 조직에 이 솔루션을 설정할 수 있습니다.
Wazuh 기능은 조직이 다양한 보안 위협으로부터 IT 환경을 보호하는 데 도움이 되므로 제로 트러스트 보안을 적용할 때 적합한 솔루션이 됩니다. 실시간 모니터링, 자동화된 사건 대응, 사용자 행동 및 시스템 구성에 대한 광범위한 가시성을 통해 Wazuh를 사용하면 잠재적인 위반이 확대되기 전에 이를 감지하고 대응할 수 있습니다. 다음은 제로 트러스트 보안에 Wazuh가 활용되는 사례입니다.
남용된 합법적인 도구 탐지
모니터링 시스템 호출, 보안 구성 평가(SCA), 로그 데이터 분석과 같은 Wazuh 기능을 사용하여 남용된 합법적인 도구를 탐지할 수 있습니다.
모니터링 시스템 호출 기능은 Linux 끝점에서 파일 액세스, 명령 실행 및 시스템 호출을 분석합니다. 이를 통해 위협 사냥꾼은 신뢰할 수 있는 도구가 권한 상승 또는 무단 스크립트 실행과 같은 악의적인 목적으로 사용되는 경우를 식별하는 데 도움이 됩니다.
Wazuh SCA 기능은 시스템 구성을 평가하여 공격자가 악용할 수 있는 잘못된 구성을 감지합니다. SCA는 불필요한 서비스, 취약한 비밀번호 정책 또는 안전하지 않은 네트워크 구성과 같은 취약성을 검색하여 공격 표면을 줄이고 합법적인 도구의 오용을 방지합니다.
Netcat은 위협 행위자가 백도어를 설정하고, 포트 검색을 수행하고, 파일을 전송하고, 원격 액세스를 위한 리버스 셸을 생성하는 데 널리 사용되는 도구입니다. Wazuh는 악성 명령 실행 모니터링 가이드에 설명된 대로 의심스러운 명령 사용을 모니터링하고 경고할 수 있습니다. 이 가이드에서는 모니터링 시스템 호출 기능이 Netcat 활동을 기록하고 경고를 생성할 수 있는 시나리오를 보여줍니다.
 |
| Wazuh는 Netcat 명령을 감사하여 의심스러운 활동을 감지합니다. |
위에 표시된 대로 nc 명령이 실행될 때마다 Wazuh는 위협 사냥꾼이 실행된 명령과 그 출력에 대한 가시성을 얻을 수 있도록 하는 경고를 생성합니다.
초기 접근 감지
Wazuh는 로그 데이터 수집 기능을 사용하여 IT 환경 내 다양한 소스의 로그를 집계합니다. 엔드포인트, 네트워크 장치, 애플리케이션에서 로그를 수집, 분석, 저장하고 실시간 분석을 수행합니다.
XZ Utils 취약점 악용 감지(CVE-2024-3094)에 대한 블로그 게시물은 Wazuh가 로그 데이터 수집 기능을 활용하는 방법을 보여줍니다. CVE-2024-3094는 널리 사용되는 데이터 압축 도구인 XZ Utils 버전 5.6.0 및 5.6.1의 심각한 취약점입니다. 이는 소프트웨어에 백도어를 도입하여 시스템에 대한 무단 원격 액세스를 허용하는 공급망 공격에서 비롯됩니다. 특히 OpenSSH의 종속성인 liblzma 라이브러리를 활용하여 공격자가 인증 전에 SSH를 통해 임의 명령을 실행할 수 있도록 합니다. 이로 인해 원격 코드 실행(RCE)이 발생하여 시스템 보안이 손상될 수 있습니다.
Wazuh는 사용자 정의 가능한 디코더 및 규칙을 통해 잠재적으로 악의적인 SSHD 하위 프로세스에 대한 로그를 식별하고 전달합니다. 이 접근 방식은 이 취약점에 대한 악용 시도를 조기에 감지하는 데 도움이 됩니다.
 |
| Wazuh는 CVE-2024-3094를 탐지하기 위해 sshd 서비스를 감사합니다. |
위와 같이 Wazuh는 sshd 서비스를 분석한 후 비정상적인 활동 패턴을 감지하고 플래그를 지정합니다.
사고 대응
Wazuh 플랫폼은 보안 이벤트에 대한 실시간 가시성을 제공하고, 대응 조치를 자동화하고, 경고 피로를 줄여 보안 팀의 사고 대응을 향상시킵니다.
Wazuh는 Active Response 기능을 활용하여 구성된 이벤트에 대해 트리거될 수 있는 자동화된 스크립트를 통해 팀이 사건을 효과적으로 관리할 수 있도록 지원합니다. 이러한 자동화는 리소스가 제한된 환경에서 특히 유용하므로 보안 팀은 시스템이 일상적인 대응을 처리하는 동안 중요한 작업에 집중할 수 있습니다.
CDB 목록 및 활성 응답을 사용하여 악성 파일을 탐지하고 대응하는 방법에 대한 블로그 게시물에서는 보안 전문가가 Wazuh 활성 응답 기능을 사용하여 특정 이벤트를 기반으로 대응 작업을 자동화하는 방법을 강조합니다.
 |
| Wazuh Active Response 기능은 CDB 목록에 해시 값이 있는 파일을 자동 삭제합니다. |
이 블로그에서는 Wazuh 파일 무결성 모니터링(FIM) 기능을 사용하여 악성 파일을 탐지하는 방법을 강조합니다. 알려진 악성 MD5 해시의 상수 데이터베이스(CDB) 목록과 함께 작동합니다. Wazuh Active Response 기능은 CDB 목록의 해시 값과 일치하는 파일을 자동으로 삭제합니다.
결론
이제 민감한 데이터와 애플리케이션이 여러 서버와 환경에 분산되면서 공격 표면이 확대되어 조직이 데이터 침해, 랜섬웨어 및 새로운 위협에 더욱 취약해졌습니다. 제로 트러스트 보안 접근 방식을 채택하는 조직은 변화하는 위협에 대해 강화된 사이버 방어 메커니즘을 구축할 수 있습니다.
Wazuh 통합 XDR 및 SIEM 플랫폼은 특히 로그 데이터 수집, 취약성 감지, 자동화된 사고 대응 기능을 사용하여 이 접근 방식의 측면을 구현할 수 있습니다. Wazuh 플랫폼이 귀하의 조직에 어떤 도움을 줄 수 있는지 웹사이트를 방문하면 자세히 알아볼 수 있습니다.
