2022년 해커 집단 랩서스(LAPSUS$) 그룹은 다크웹 등에서 크리덴셜을 구하고 VPN을 통해 내부 시스템으로 접속한후, 협업 툴 등을 뒤져 추가적인 정보를 확보한 뒤에 기밀정보에 접근하고 탈취했다. 가령 계정을 탈취한 뒤 슬랙에서 AKIA를 검색해 AWS 액세스 키를 확보하거나, 깃랩, 깃허브에 하드코딩된 크리덴셜을 찾는다. 또는 익스체인지 온라인 설정을 바꿔 모든 메일을 공격자에게 포워딩하는 방식으로 정보를 유출하기도 했다.
이러한 공격을 방어하기 위해서는 온프레미스와 클라우드 SaaS까지 완전한 통합 모니터링이 필요하다.
클라우드 포괄 위협 대응 필수
많은 회사는 업무를 위해 많은 종류의 SaaS와 클라우드를 사용하고 있다. 이에 따라 회사의 중요한 정보 자산은 회사 안과 밖, 다양한 곳에 흩어져 있다. 온프레미스 취약점을 이용해 클라우드와 SaaS를 탈취하거나, 반대로 클라우드와 SaaS를 통해 온프레미스를 탈취하는 등 유출 경로가 다변화됐다. SSO와 같은 통합 인증시스템이나, SaaS에 대한 관제를 누락하면 사고로 이어질 수 있다.
그런데 많은 스타트업은 본업인 서비스 개발을 하기에도 힘에 부치기 때문에, 보안 모니터링은 시작하지도 못하고 서비스 가용성 모니터링과 애플리케이션 디버깅에 필요한 로그 수집, 검색 정도만 구축돼 있는 경우가 많다.
수시로 변경되는 클라우드 인스턴스 특정 지원해야
스타트업이 반드시 고려해야 할 보안 운영 업무의 핵심은 다음의 세 가지로 구분할 수 있다.
자산 및 취약점 파악: 온프레미스 환경에서는 NAC을 활용하고 클라우드에서는 API 감사로그를 활용해야 한다. 예전이라면 자산 출입 대장을 만들고 관리해서 추적 관리가 가능했지만, 지금은 회사에서 BYOD 정책을 시행하는 경우도 많아 개인 소유 모바일 기기가 드나들기도 한다.
게다가 클라우드를 사용하면서 인스턴스가 수시로 생성, 삭제되기 때문에 자산 현황을 파악하는 것이 매우 어려운 일이 됐다. 심지어 온프레미스에서도 가상화 솔루션을 많이 사용하고 있어, 예전과 같은 방식으로 회사 내 인프라 현황을 파악하는 것은 힘들어졌다.
위협 탐지·대응을 위한 로그 통합: 전통적인 로그 수집은 온프레미스 보안 장비에 국한됐지만, 이제는 클라우드와 SaaS까지 모든 로그를 모아야 한다. 보안, 애플리케이션, 각종 인프라 로그까지 수집해야 가시성을 확보할 수 있다. 이렇게 모든 데이터를 수집해야 무슨 일이 일어나는지 파악할 수 있고, 위협을 발견했을 때 대응할 수 있게 된다. 특히 방화벽, 웹 로그는 반드시 보관해야 하는데, 침해사고가 발생했을 때 사고를 분석하기 위한 핵심적인 데이터이기 때문이다.
위험 우선순위 설정: 수집한 데이터를 기반으로 회사가 마주하고 있는 위험을 계량화하고, 해소해야 할 위험의 우선순위를 설정해야 한다. 비즈니스를 성공시키기 위해 보안 운영 업무를 한다는 것을 항상 생각해야 한다. 그렇기에 비즈니스 관점에서 자산의 중요도와 위험을 평가하고, 지속적으로 모니터링하며 위험을 줄여 나가야 한다.
온프레미스 방화벽, 안티바이러스, AWS 보안 로그, SaaS 감사 로그 관제 개념도
클라우드 SIEM, 클라우드 위협 대응 위해 필수
스타트업이라도 컴플라이언스를 위해 사무실 환경에 최소한 방화벽과, 안티바이러스, EDR을 구비해야 한다. 더불어 클라우드 로그, SaaS 감사 로그까지 한 곳에 수집해 통합 모니터링 해야 한다. 전통적인 SIEM은 하드웨어 포함해 억대의 예산과 시스템을 운영하고 유지보수하는 인원이 필요하다.
로그프레소 클라우드를 활용한다면 낮은 비용으로 온프레미스부터 클라우드, SaaS까지 모든 영역의 로그를 수집하고 모니터링할 수 있다. 더불어 많은 글로벌 서비스가 서울 리전을 운영하지 않지만, 로그프레소 클라우드는 서울 리전에서 운영되고 있어 개인정보 국외이전 등의 법률적 이슈에 부담 없이 도입할 수 있다는 장점이 있다.
CI/CD 보안 위해 클라우드 SIEM 활용
지난해 6월 미국 CISA와 NSA는 ‘CI/CD 환경 보호 가이드라인’을 공동 발간했다. 가이드라인에서는 CI/CD 환경에서는 코드를 커밋하면 운영환경까지 바로 배포되기 때문에, CI/CD 전체 파이프라인을 면밀하게 모니터링하는 것이 중요하다고 강조했다. 개발자의 SSH키나 토큰을 탈취해서 접근하는 것부터, 리뷰 과정을 우회하도록 관리자 권한 계정을 탈취하는 것, 소스코드 저장소와 빌드 머신에 코드를 삽입하는 공격까지 다양한 공격 벡터에 관심을 기울여야 한다.
클라우드 인프라(AWS), 인증(옥타, MS 엔트라 ID, 구글), EDR(MS 디펜더), 코드 저장소(깃허브) 등 분야를 넘나드는 로그를 수집하고, 실시간으로 모니터링해야 한다. 클라우드 SIEM을 사용하면 이러한 요건을 만족시킬 수 있다.