유출 및 공격 시뮬레이션이란 무엇인가요?

유출 및 공격 시뮬레이션(BAS)은 자동화되고 지속적인 소프트웨어 기반 공격 보안 방식입니다. 레드팀 구성과 침투 테스트와 같은 다른 형태의 보안 검증과 마찬가지로, BAS는 사이버 공격을 시뮬레이션하여 보안 제어를 테스트하고 실행 가능한 인사이트를 제공함으로써 기존 보안 도구를 보완합니다.

유출 및 공격 시뮬레이션(BAS)은 레드팀 훈련과 마찬가지로, 해커가 사용하는 실제 공격 전술, 기법과 절차(TTP)를 사용하여 보안 취약점을 실제 위협 행위자가 악용하기 전에 파악하고 보합니다. BAS 도구는 그러나 레드팀 구성이나 침투 테스트와 다르게 완전히 자동화되어 있어서, 더 적은 리소스로 더 많은 실전 보안 테스트를 하면서 좀 더 종합적인 결과를 제공할 수 있습니다. SafeBreach, XM Cyber, Cymulate 같은 기업이 새로운 하드웨어 없이도 BAS 도구를 쉽게 통합할 수 있는 클라우드 기반 솔루션을 제공합니다.

BAS 솔루션은 조직이 보안 틈새를 더 잘 이해하도록 도와주고 교정 조치의 우선 순위를 조정하는 데 있어 중요한 지침을 제시하는 보안 제어 검증 도구입니다.

유출 및 공격 시뮬레이션은 보안 팀에 다음과 같은 도움을 줍니다.

• 잠재적 사이버 위험 완화: 발생 가능한 내부 또는 외부 위협을 조기에 경고해서 보안 팀이 심각한 데이터 유출, 접근 권한 상실, 이와 유사한 부작용이 있기 전에 문제 해결 활동의 우선 순위를 정할 수 있게 합니다.
• 사이버 공격 성공 가능성 최소화: 끊임없이 변화하는 위협 환경에서 자동화를 하면 지속적인 테스트를 통해 복원력을 높일 수 있습니다.

BAS 솔루션은 다양한 유형의 공격 경로, 공격 벡터, 공격 시나리오를 모사합니다. BAS 솔루션은 MITRE ATT&CK 및 Cyber Killchain 프레임워크의 위협 인텔리전스에 설명된 것처럼 위협 행위자가 사용하는 실제 TTP를 기반으로 다음을 시뮬레이션합니다.

• 네트워크 및 침투 공격
• 수평 이동
• 피싱
• 엔드포인트 및 게이트웨이 공격
• 멀웨어 공격
• 랜섬웨어 공격

BAS 플랫폼은 공격 유형에 관계없이 전체 공격 경로를 따라 APT(지능형 지속 위협)를 비롯한 악의적 개체가 사용하는 최신 공격 기술을 시뮬레이션, 평가, 검증합니다. 공격이 완료되고 심각한 취약점이 발견되면 BAS 플랫폼은 상세 보고서를 통해 우선 순위가 지정된 복원 단계 목록을 제공합니다.

BAS 프로세스의 시작은 맞춤형 대시보드에서 특정 공격 시나리오를 선택하는 것입니다. 새로운 위협이나 사용자 정의된 상황에서 파생된 다양한 유형의 알려진 공격 패턴을 실행하는 것 외에도, 알려진 APT 그룹의 전략을 기반으로 공격 시뮬레이션을 수행합니다. 이때 사용되는 방법은 조직의 산업 영역에 따라 다를 수 있습니다.

공격 시나리오가 개시되고 나면 BAS 도구는 조직의 네트워크에 가상 에이전트를 배포합니다. 이 에이전트는 보호된 시스템을 뚫고 수평으로 이동해서 중요한 자산이나 민감한 데이터에 접근하려고 시도합니다. 기존의 침투 테스트나 레드팀 구성과 달리 BAS 프로그램은 공격자가 가지고 있지 않을 수도 있는 자격 증명과 내부 시스템 지식을 사용할 수 있습니다. 이렇게 해서 BAS 소프트웨어는 퍼플팀 구성과 비슷한 프로세스로 외부 및 내부 공격을 모두 시뮬레이션할 수 있습니다.

시뮬레이션을 완료한 후 BAS 플랫폼은 다음을 포함하여 방화벽에서 엔드포인트 보안에 이르기까지 다양한 보안 제어의 효율성을 검증하는 포괄적인 취약성 보고서를 생성합니다.

1. 네트워크 보안 제어
2. 엔드포인트 탐지 및 대응(EDR)
3. 이메일 보안 제어
4. 액세스 제어 조치
5. 취약성 관리 정책
6. 데이터 보안 제어
7. 인시던트 대응 제어

BAS 솔루션은 다른 사이버 보안 프로토콜을 대체하지 않으면서도 조직의 보안 태세를 크게 개선할 수 있습니다. Gartner 연구 보고서에 따르면 BAS는 보안 팀이 기존 취약성 평가 도구에 비해 30~50%까지 많은 취약성을 발견하도록 지원합니다. 유출 및 공격 시뮬레이션의 주요 이점은 다음과 같습니다.

1. 자동화: 사이버 공격의 위협이 해마다 커지면서 보안팀은 효율성을 더 높게 유지해야 한다는 압박을 끊임없이 받고 있습니다. BAS 솔루션을 사용하면 회사 내부 또는 외부에 추가 직원을 두지 않고도 휴일 없이 하루 24시간 지속적으로 테스트를 실시할 수 있습니다. BAS를 사용하면 온디맨드 테스트를 실행하고 실시간으로 피드백을 제공할 수도 있습니다.
2. 정확성: 모든 보안 팀, 특히 리소스가 제한된 팀에게는 효율적인 리소스 할당을 위한 정확한 보고가 매우 중요합니다. 중요하지 않거나 잘못 식별된 보안 사고를 조사하는 것은 시간 낭비입니다. Ponemon Institute의 연구에 따르면 BAS와 같은 지능형 위협 탐지 도구를 사용하는 조직은 오탐이 37% 감소한 것으로 나타났습니다.
3. 실행 가능한 인사이트: BAS 솔루션은 보안 제어 검증 도구로서 특정한 취약점이나 잘못된 구성을 간파하기 위한 중요한 인사이트를 제공하고 조직의 기존 인프라 상황에 맞는 위험 완화 권고를 할 수 있습니다. 또한 데이터 기반 우선 순위 지정은 SOC 팀이 가장 치명적인 취약점부터 해결하는 데 도움이 됩니다.
4. 탐지 및 대응 개선: MITRE ATT&CK 및 Cyber Killchain과 같은 APT 지식 기반을 기반으로 구축되고 다른 보안 기술(SIEM, SOAR 등)과도 잘 통합되는 BAS 도구는 사이버 보안 인시던트 탐지 및 대응률을 크게 개선하는 데 기여할 수 있습니다. Enterprise Strategy Group(ESG)의 연구에 따르면 BAS와 SOAR를 함께 사용하는 조직의 68%가 인시던트 대응 시간을 개선한 것으로 나타났습니다. Gartner는 2025년까지조직이 SOAR와 BAS를 함께 사용하는 경우 인시던트를 감지하고 대응하는 데 걸리는 시간을 50% 단축할 것으로 예측합니다.

이들은 다양한 유형의 보안 도구와 수월하게 통합되고 있으며, 업계 데이터를 보면 가까운 유출 및 공격 시뮬레이션과 공격 표면 관리(ASM) 도구를 점점 통합하는 추세가 될 것을 알 수 있습니다. International Data Corporation의 보안 및 신뢰 연구 책임자 Michelle Abraham은 '보안 방어에 공격 표면 관리와 유출 및 공격 시뮬레이션을 사용하면 위험을 더욱 적극적으로 관리할 수 있다'고 말했습니다.

취약성 관리 및 취약성 스캔 도구가 내부에서 조직을 평가한다면, 공격 표면 관리는 조직의 공격 표면을 구성하는 사이버 보안 취약성과 잠재적 공격 벡터를 지속적으로 발견, 분석, 수정 및 모니터링합니다. ASM은 다른 공격 시뮬레이션 도구와 마찬가지로 외부 공격자의 관점을 가정하고 조직의 외부 존재를 평가합니다.

클라우드 컴퓨팅, IoT, 섀도우 IT(보안이 적용되지 않은 디바이스 무단 사용)가 증가하는 추세는 모든 조직의 사이버 노출 가능성을 높입니다. ASM 솔루션은 이러한 공격 벡터에 존재할 수 있는 취약성을 검사하는 반면, BAS 솔루션은 해당 데이터를 통합하여 공격 시뮬레이션과 보안 테스트를 더 잘 실시하여 보안 제어의 효율성을 정합니다.

전반적인 결과는 내부 직원 인식부터 정교한 클라우드 보안 문제에 이르기까지 조직의 방어 체계를 훨씬 더 명확하게 이해하는 것입니다. 아는 것이 전투의 절반을 차지한다고 할 때, 이렇게 결정적인 인사이트는 보안을 강화하려는 조직에게 매우 중요합니다.