공통 - 최신 보안 동향

*화이트햇 스쿨 2기에서 이수한 이론교육 내용을 바탕으로 작성되었습니다.

1. 제로 트러스트

 

현황

- 코로나 19 등으로 인해 근무 형태가 급변하며 이에 대응해야 하는 보안 방식도 다양해짐

- 이로 인해 다양한 변수들로 인한 보안 취약점이 확대됨

- 현재의 보안 시스템의 구조는 방화벽 컨셉의 방어 시스템을 사용하고 있으며 이를 경계 보안 모델(Perimeter Security Model)이라고 부르고 있음

 

경계 보안 모델

- 경게 보안 모델이 적용된 보안 시스템의 경우 문제가 되는 접근을 차단하는 데 목적이 있음

- 2010년, John Kindervag는 경계 기반 보안 모델의 위험성에 대해 다음과 같이 정리한 바 있음

  → ‘신뢰’ 네트워크를 식별하는 것은 불가능하다.

  → ‘신뢰하지만 검증하라’는 문구는 허황된 표현이다.

  → 악의적 내부자들은 때때로 ‘신뢰’된 위치에 있다.

  → ‘신뢰’는 패킷에 적용할 수 없다.

 

기존 문서에서의 제로 트러스트 정의

NIST SP 800-207, Zero Trust Architecture

제로트러스트는 정적·네트워크 기반 경계로부터 사용자·자산·리소스에 중점을 둔 방어로 이동 및 진화하는 사이버 보안 패러다임의 집합을 나타내는 용어이며 네트워크가 이미 침투당했다는 관점에서 정보 시스템 및 서비스에서 ‘정확한’, ‘최소 권한의’, ‘요청 단위 접근 결정’을 강제하여 불확실성을 최소화하기 위해 설계된 개념과 아이디어 모음이다.

CSA, Software Defined Perimeter (SDP) and Zero Trust

제로트러스트는 조직이 기존 경계 내부 혹은 외부의 어떤 것도 신뢰해서는 안 된다는 믿음을 중심으로 하는 네트워크 보 안 개념으로, 기업 자산을 보호하는 것을 목표로 한다.

NSA, Embracing a Zero Trust Security Model

제로트러스트는 위협이 전통적인 네트워크 경계의 내외부 모두에 존재한다는 인식에 기반한 보안 모델, 시스템 설계 원 칙과 조직화된 사이버 보안 및 시스템 관리 전략이다.

Gartner, Predicts 2023: Zero Trust Moves Past Marketing Hype Into Reality

제로트러스트는 위험 관점의 최적화를 위해, 조직의 보안 태세를 암묵적 신뢰 대신 보안 인프라에서 지원하는 ID 및 컨 텍스트를 기반으로 지속적으로 명시적 위험 및 신뢰 수준을 평가하는 보안 패러다임이다.

 

제로 트러스트란?

- 제로트러스트는 위협이 언제 어디서든 발생 가능하다는 인식하에 기업 내부의 네트워크, 시스템 혹은 리소스에 접근하고 자 하는 어떤 사용자·기기에 대해서도 지속적인 인증, 세밀한 접근제어를 통한 최소 권한 부여 등 적극적인 신뢰도 평가 없 이 접근을 허용하지 않는 보안 모델 및 이를 구현·실체화하기 위한 아이디어의 집합을 의미함

- 제로트러스트 아키텍처란, 제로트러스트의 개념을 활용하여 기업 내부의 네트워크, 시스템 및 리소스를 보호할 수 있는 추 상적인 보안 구조이며 해당 목적을 달성하기 위한 기업망의 구성 요소, 구성 요소 간 인터페이스 정의와 인증, 접근제어, 보 안 모니터링 및 가시화 등 보안 정책을 포함함

- Never Trust, Always Verify

 

경계 보안 모델과 제로 트러스트 모델의 차이점

- 차단을 중점으로 두는가, 아니면 인증을 중점으로 두는가로 볼 수 있음

- 경계 보안 모델은 . IT 시스템의 로그인 시스템에서 ID 및 패스워드의 인증이 실패하면 접속을 차단하거나, IP 등의 기기 정보가 등록되지 않는 단말기가 접속하려고 한다면 접속을 차단하는 등 허가받지 않은 사용자나 단말기에 대한 접근 차단을 그 목적으 로 하고 있음

- 제로 트러스트 모델이 적용된 보안 시스템도 허가 받지 않은 사용자나 단말기에 대해 접근을 차단하는 것도 목적에 포 함되어 있습니다만 경계 보안 모델이 차단에 초점을 둔 것에 비해 제로 트러스트 모델은 차단보다는 철저한 신원 인증에 초점을 둔다는 점 에서 차이가 있음

 

제로 트러스트의 기본 원칙

- 모든 종류의 접근에 대해 신뢰하지 않을 것 (기본 원칙, 명시적인 신뢰 확인 후 리소스 접근 허용) 

- 일관되고 중앙 집중적인 정책 관리 및 접근제어 결정, 실행 필요

- 사용자, 기기에 대한 관리 및 강력한 인증

- 리소스 분류 및 관리를 통한 세밀한 접근제어 (최소 권한 부여)

- 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용

- 모든 상태에 대한 모니터링, 로그 및 이를 통한 신뢰성 지속적 검증, 제어

 

제로 트러스트 구현을 위한 기반 사항

 

제로 트러스트 아키텍처 보안 모델

 

제로 트러스트 아키텍처 구현을 위한 접근 방법

- 인증 체계 강화

  → 인증체계를 강화하려면 각종 자원에 접근하는 단말, 자산 상태, 환경 요소 등의 신뢰도를 핵심요소로 설정하고 인증 정책을 수립해야 함

- 마이크로 세그멘테이션

  → 우선 보안 게이트웨이를 통해 보호되는 단독 네트워크 구역(Segment)에 개별 자원을 배치해야 한다. 이후 각종 접근 요청에 대한 지속적인 신뢰 검증을 수행하게 된다

- 소프트웨어 정의 경계

  → 경계 시 경계 기법을 사용해 정책 엔진 결정에 따르는 네트워크 동적 구성, 사용자·단말 신뢰 확보 후 자원 접근을 위한 데이터 채널을 형성

 

제로 트러스트 도입을 위한 기업망의 핵심 요소

- 식별자·신원 (Identity)

- 기기 및 엔드포인트 (Device/Endpoint)

- 네트워크 (Network)

- 시스템 (System)

- 응용 및 워크로드 (Application & Workload)

- 데이터 (Data)

 

구현을 위한 기능

- 가시성 및 분석 (Visibility and Analytics)

- 자동화 및 통합 (Automation and Orchestration)

 

2. 블록체인과 보안 이슈

 

웹 3.0 이란?

- 개인이 데이터 및 정보에 대한 통제권을 되찾고, 자신이 만든 콘텐츠를 수익화하며, 공통 관심사와 목표를 공유하는 다른 사람들과 쉽게 구성할 수 있는 보다 분산적인 온라인 경험이 가능함

- 웹 3.0의 모습은 블록체인 기반으로 암호화폐(대체가능성 토큰)와 탈중앙화 금융(DeFi), NFT(대체불가능한 토큰), 탈중앙화된 자율조직(DAO) 및 메타버스(Metaverse)의 중추적인 기능을 수렴하고 있음

 

블록체인

- 특징

  → 분산화

  → 불변성

  → 익명성

  → 추적성

- 기술 개발의 종류

  → 암호화폐

  → 자산발행기술

  → 자산중심기술

  → 응용플랫폼

  → 허가형 분산원장

 

웹 3.0과 블록체인 보안

- 웹3.0의 기술적 보안 위협은 애플리케이션, 시스템, 네트워크의 모든 부분에 존재함

- 애플리케이션은 보안 위협이 가장 큰데, 디앱의 문제가 스마트 컨트랙트와 월렛의 피해로 이어지는 경우가 잦음

- 시스템의 경우 블록체인의 코드 취약점이 전체 시스템에 영향을 주는 경우가 많고 네트워크는 인프라의 구조적인 취약점 을 활용해 허가 없이 채굴에 활용하는 피해가 발생하고 있음

- 악의적 코드를 통한 NFT 마켓플레이스 해킹 시도도 이어지고 있음

- NFT 서비스 이용자 해킹 피해도 발생하고 있는데 관리자 계정을 탈취하거나 관리자 사칭, QR코드 전송, 해킹 파일을 보내 탈취 프로그램 클릭이나 비밀번호 변경을 유도하는 등 대부분 피싱 링크와 연계되고 있음

 

암호화폐와 탈중앙화 금융(DeFi)

- 블록체인 네트워크상에서 스마트계약(Smart Contract) 기반으로 가상자산(암호화폐)을 이용해 동작하는 탈중앙화 된 금융 서비스 를 의미함

- DeFi는 원하는 사람은 누구든지 네트워크를 통해 자유롭게 금융 서비스(송금, 결제, 예금 및 적금, 담보대출, 금융투자, 증 권거래, 보험 등)를 이용하는 것이 가능하며, 금융거래 시 특정한 서비스 운영 주체(금융기관)나 중개인의 개입이 필요하지 않음

- 웹 3.0에서 디지털 가치는 사용자가 새로운 애플리케이션을 쉽게 만들고 다른 사용자로부터 직접 지불받을 수 있도록 해 주며, 디지털 거래를 중재할 중개자의 필요성을 크게 줄이는 데 이것을 가능하게 하는 것이 DeFi 임

 

낮은 보안성, 해커의 먹잇감으로 전락한 DeFi

- DeFi 의 특성은 일부 프로그램 코드의 취약성으로 인한 문제를 해당 프로그램과 연결된 다른 프로그램들 및 DeFi 생태계 전체로 확대될 수 있는데 이는 DeFi 에서 보안이 매우 중요한 요소 중 하나로 꼽히는 이유임

- 2021년 가상자산 도난 자금은 2020년에 비해 그 액수가 516%가 증가해 32억 달러(약 4조 원)에 달하는데, 이 도난 자금 중 72%는 DeFi 플랫폼에서 발생한 것으로 알려짐

- 2023년 8월 7일 분산 금융(DeFi) 앱 '스테디파이＇가 공격당해 33만 4천 달러의 피해를 봄

- 한국자본시장연구원이 2021년 12월을 기준으로 DeFi 플랫폼에서 발생한 10대 보안 사고(피해액 기준)를 조사한 결과, DeFi 를 겨냥한 해킹은 주로 서비스 프로그래밍 코드상의 보안 취약점을 공격하거나 관리자의 계정을 탈취하는 방식으로 이뤄지고 있었음

 

탈중앙화된 자율조직(DAO)

- DAO(Decentralized Autonomous Organization)는 사람이 아닌 스마트계약을 통해 인코딩되고 시행되는 프로토콜을 통해 완전히 관리되는 조직임

- DAO를 사용하면 조직 구조, 거버넌스 및 활동의 주요 측면을 블록체인에 있는 스마트계약으로 프로그래밍할 수 있음

- 스마트계약은 특정 NFT를 보유한 사람들에게 DAO의 회원 자격을 부여할 수 있으므로 이러한 개인이 제안을 제출하고 다 른 회원의 제안에 투표할 수 있음

- 작동 방법

  → 작동을 위한 규칙을 스마트 컨트랙트로 인코딩

  → 자금 조달

  → DAO 배치 및 완전 자율화

 

The DAO 해킹 사건

- 'The DAO'는 특정 DAO의 이름으로서, 독일의 스타트업 slock.it의 설립 팀에 의해 개발됨

- The DAO의 코드는 완벽하지 않았고, 오픈 소스로서 누구라도 볼 수 있었기 때문에, 누군가가 악용할 수 있는 버그를 발견 함

- 이후 The DAO의 해킹 사태 이후로 가장 시급한 문제는 보안상의 문제로서, 이는 '제지 불가능한 코드(unstoppable code)' 라는 원칙과 관련이 있음

- 해커들이 공격하는 동안에 목격자들과 투자자들은 The DAO에서 자금이 빠져나가는 것을 속수무책으로 지켜보면서도 아무 것도 할 수가 없었는데. 엄밀히 따지자면, 이들 공격자들은 규칙을 따르고 있었기 때문임

 

NFT(Non-Fungible Token)의 정의

- 같은 종류의 토큰이라도 각각 고유한 값을 가져 서로 교환이 불가능

- NFT는 디지털 콘텐츠에 관한 정보를 담고 있는 토큰으로,블록체인에 거래 내역을 기록해 진위 여부 및 소유권 증명에 사 용 가능

구성 요소	설명
스카트 컨트랙트	디지털 합의를 실행, 확인, 촉진하는 것을 목표로 하며, NFT는 대부분 이더리움의 스마트 컨트랙트를 기반으로 발행
메타데이터	NFT 디지털 콘텐츠의 속성에 대해 설명하는 데이터로 작품명, 작품 세부 내역, 계약 조건, 미디어 링크 등
디지털 콘텐츠	NFT에 민팅하고자 하는 디지털 콘텐츠로 주로 텍스트, 이미지, 오디오, 비디오 등 다양한 형태의 미디어 파일

 

특징	설명
신뢰성	블록체인을 기반으로 하기 때문에, 데이터 위〮변조가 불가능하고, 신뢰성 있는 트랜잭션 증명이 가능
대체 불가능성	이더리움 토큰 표준 ERC721, ERC1155를 따름으로써 대체불가능한 토큰 발행
소유권 증명	주소와 트랜잭션을 명시함으로써 토큰의 소유권 증명
고유성	16진수 값으로 인코딩을 하여, 토큰의 고유성을 확보

 

NFT(Non-Fungible Token)의 보안 문제

- 블록체인 자체를 공격

  → 스마트 컨트랙트 

- 연계된 외부 서비스를 공격

  → 저장·관리하는 외부 저장소(클라우드, 외부 DB·서버 등)

  → NFT 기반 서비스 플랫폼 제공자의 지갑, 마켓 플레이스 및 이용자 관리 등을 위해 연결되는 기존 레거시 시스템(Lega cy system)

  → 해커가 발송한 NFT 서비스, 플랫폼 또는 마켓 플레이스의 허위 메시지·공지·알람으로 이루어지는 피싱, 스미싱 공격

 

CBDC(Central Bank Digital Currency)

- 중앙은행이 발행하는 디지털 화폐를 의미함

- 실물 명목 화폐를 대체하거나 보완하기 위해 등장함

- 이용 목적에 따라 나뉘는데 일반 거래에 사용되는 소액 결제용 CBDC와 은행 등 금융기관 간 거래에 사용되는 거액결제용 CBDC으로 구분됨

- CBDC는 현금과 달리 관련 거래의 익명성을 제한할 수 있으며 ,이자 지급, 보유한도 설정, 이용시간 조절 가능 등의 특징이 있음

- 구현방식 : 단일원장, 분산원장방식

 

3. 클라우드 보안

 

클라우드 컴퓨팅 정의

- 클라우드 컴퓨팅은 구성 가능한 컴퓨팅 리소스(예: 네트워크, 서버, 스토리지, 애플리케이션 및 서비스)의 공유 풀에 대한 편재성, 편리한 온디맨드 네트워크 액세스를 가능하게 하는 모델

- 컴퓨팅 리소스를 인터넷을 통해 서비스로 이용하는 형태

 

클라우드 컴퓨팅 서비스 모델

- 인프라 서비스(Infrastructure as a service, IaaS): 물리적 자원 제공

- 플랫폼 서비스(Platform as a service, PaaS): 소프트웨어 개발을 돕는 플랫폼 제공

- 소프트웨어 서비스(Software as a service, SaaS): 고객이 사용하는 소프트웨어 제공

 

클라우드 컴퓨팅 배포 모델

- 퍼블릭 클라우드 : 인터넷을 통해 서버 및 스토리지와 같은 컴퓨팅 리소스를 제공하는 타사 클라우드 서비스 공급자가 소유하고 운영함

- 하이브리드 클라우드 : 퍼블릭 클라우드와 프라이빗 클라우드 간에 데이터와 애플리케이션을 공유할 수 있는 기술

- 프라이빗 클라우드 : 퍼블릭 클라우드와 프라이빗 클라우드 간에 데이터와 애플리케이션을 공유할 수 있는 기술

 

CSP와 MSP

- CSP (Cloud Service Provider, 클라우드 서비스 공급자 )

  → 클라우드 인프라를 제공하는 역할

  → 자체 데이터 센터를 가상화한 네트워크, 스토리지 등을 제공

- MSP (Managed Service Provider, 매니지드 서비스 공급자)

  → CSP와 고객을 연결하는 역할

  → 클라우드 도입에 필요한 컨설팅, 아키텍처 구축, 모니터링, 보안 등을 제공

 

클라우드 책임 공유 모델 (Shared Responsibility Model)

- 클라우드를 사용하면서 발생하는 사고의 책임 소재를 누구에게 물을 것인가라는 질문에서 시작한 클라우드 사용자와 클 라우드 서비스 제공자 간의 책임 비율을 논의하는 모델

- 주로 클라우드 사용자는 ID와 패스워드, 클라우드를 공유하는 내부 사용자 간의 액세스, 클라우드 설정 등을 책임을, 클라 우드 서비스 제공자는 하드웨어, 네트워크, 보안 등을 책임지고 있음

- 구글 클라우드에서는 다른 기업의 모델과 다르게 공동된 운명, 공유 운명이라는 단어를 사용하며 클라우드 관련 모든 당 사자가 더 나은 상호작용을 통해 보안을 지속적으로 개선하는 방법에 초점을 맞춤

 

클라우드 책임 공유 모델_AWS

 

클라우드 책임 공유 모델_ Azure

 

클라우드 특화 보안기술

- SASE(Secure Access Service Edge): 기업에서 필요한 네트워크와 네트워크 보안 기술을 클라우드를 활용하여 기업의 IT 자 산에 편하고 안전하게 접근할 수 있는 보안 프레임워크

- CASB(Cloud Access Security Broker): 클라우드 접근 보안 중개 서비스를 의미하며 클라우드와 사용자 중간에 위치하여 데 이터 보안, 인증, 접근 통제, 정보 유출 방지 등의 역할을 수행하며 API 혹은 에이전트 형태로 제공

- CSPM(Cloud Security Posture Management): 클라우드 보안 형상 관리를 의미하며 기업의 보안 정책에 따라 클라우드 상의 위험 요소를 사전에 탐지, 예방, 대응하는 기술

- CWPP(Cloud Workload Protection Platforms): 클라우드 가상 머신, 서버리스, 컨테이너 등의 워크로드에 대한 가시성과 보안성을 제공

 

SECaas

- Security as a Service의 약자로, 클라우드 시스템의 여러 종류의 모델을 기반으로 삼아 보안서비스를 제공하는 서비스를 의 미함

- SECaaS는 SaaS의 한 종류로, ‘클라우드 기반 보안’ 또는 ‘보안 클라우드’으로 불림

- 미국의 클라우드보안연합(Cloud Security Alliance, CSA)에서는 2016년 2월 기준 SECaaS를 12가지 영역으로 정의함

 

SECaas 영역

- SIEM(Security Information and Event Management) : 로그 및 이벤트 정보, 상관 및 사고 데이터를 수용하고 실시간 분석 및 상관 관계 제공

- 암호화 : 해독할 수 없도록 데이터를 암호와 숫자를 사용하여 암호문으로 변환

- BC/DR(Business Continuity and Disaster Recovery) : 서비스 중단 시 운영상의 탄력성을 보장하도록 설계된 조치

- 네트워크 보안 : 네트워크 액세스를 할당하고 네트워크 서비스를 배포·모니터링·보호하는 서비스

- 취약점 검사(Vulnerability Scanning) : 공용 네트워크를 통해 대상 인프라 또는 시스템의 보안 취약점을 검색

- 지속적인 모니터링(Continuous Monitoring) : 조직의 현재 보안 상태를 나타내는 지속적인 위험 관리 기능 수행

- IAM(Identity and Access Management) : 인증, 신원보증, 정보 접근, 권한 있는 사용자 관리를 포함한 관리 및 접근 제어 제공

- DLP(Data Loss Prevention) : 이동 및 사용중인 데이터의 보안을 모니터링, 보호 및 보안에 대한 검증 제공

- 웹 보안 : 클라우드 서비스 공급자를 통해 웹 트래픽을 프록시 처리하여 일반적으로 제공되는 공개된 애플리케이션 서비 스를 실시간으로 보호

- 이메일 보안: 인바운드 및 아웃바운드 전자 메일을 제어하고 피싱 및 악의적인 첨부 파일과 스팸으로부터 조직을 보호하 고 비즈니스 연속성 옵션을 제공

- 보안 감사(Security Assessments) : 업계 표준을 기반으로 한 클라우드 서비스에 대한 제3자 감사

- 침입 관리(Intrusion Management) : 패턴 인식을 사용하여 통계적으로 비정상적인 이벤트를 감지, 칩입 시도 방지 또는 탐지해 사건을 관리

 

클라우드 보안 위협과 사고 사례

- 위협 1 : 서드파티 소프트웨어와 공급망의 위험

- 위협 2 : 클라우드 랜섬웨어

- 위협 3 : APT 공격자들

- 위협 4 : 멀티클라우드의 확산

- 위협 5 : 셰도우 데이터

- 위협 6 : 클라우드 내의 과도한 권한 허용

- 위협 7 : 인간적인 실수와 설정 오류

 

4. AI와 보안

 

AI(Artificial Intelligence, 인공지능)란?

- AI(Artificial Intelligence, 인공지능)란 인간의 지능(인지 추론 학습 등)을 컴퓨터나 시스템 등으로 만든 것 또는 만들 수 있는 방법론이나 실현 가능성 등을 연구하는 기술 과학을 의미함

- AI 기술을 활용한 장점

  → 워크플로우 및 프로세스 자동화

  → 휴먼 에러 감소

 

AI 기술의 범주_NLP(자연어 처리)

- 인간과 컴퓨터 간의 상호 작용을 용이하게 하기 위해 인간의 언어를 컴퓨터 프로그래밍 한 것을 의미함

- 기계 학습, 언어학 및 컴퓨터 과학을 사용하여 자연어를 분석, 이해 및 생성할 수 있는 알고리즘을 개발함

- NLP 기술 종류

  →  자연어 분석: 형태소 분석, 통사 분석, 의미 분석 등

  →  자연어 이해: 컴퓨터가 자연어로 주어진 입력에 따라 동작하게 하는 기술

  →  자연어 생성: 동영상이나 표의 내용 등을 사람이 이해할 수 있는 자연어로 변환하는 기술

 

AI 기술의 범주_CV(컴퓨터 비전)

- 카메라를 사용하여 시각적 정보를 캡처하고, 아날로그 이미지를 데이터로 변환하고 처리하는 작업

- CV를 사용한 작업

  → 이미지 분류: 주어진 이미지가 어떤 클래스에 속하는지 예측

  → 객체 감지: 특정 클래스 이미지를 식별한 다음 모양을 감지하고 표로 만듦

  → 객체 추적: 감지된 객체를 추적함

  → 세그멘테이션: 보이는 픽셀을 기준으로 물체의 이미지를 여러 영역을 나누어 물체를 식별

  → 컨텐츠 기반 이미지 검색: 대규모 데이터 저장소에서 이미지를 탐색하고 검색함

 

보안의 인공지능 적용 분야

- 통합 보안 관제

- 사용자 이상 행위 분석

- 사용자 인증과 사기 탐지

- 악성 코드 분석

- 위험 인텔리전스

 

보안의 인공지능 활용 예시

- 보안 관제 분야

  → 방화벽, IDS, IPS, 서버보안솔루션 등 다양한 보안 장비에서 빅데이터 수준 데이터를 생성하여 머신러닝을 위한 학습 데이터로 활용

  → 이상행위가 탐지되었을 경우 바로 방어

- 개인정보 오남용 모니터링 분야

  → 대기업, 금융권, 포털의 회원 정보 유출 탐지

  → ID 소유자의 행동 패턴 인지 및 이상행동에 대한 탐지 및 방지

- 전자금융사기 탐지를 위한 FDS(Fraud Detective System)

  → 기존 발생한 전자금융사기 사건을 기반으로 비정상 거래의 거래 특성 유추 및 사기 패턴 인지

  → 사기 패턴 등록 후 해당 패턴과 매칭되는 거래 차단 및 추가 인증 요청

 

보안에 영향을 미치는 인공지능 6가지 속성

- 이중성

- 효율성, 확장성

- 우수성

- 익명성

- 보급성

- 취약성

 

인공지능 6가지 속성에 의한 위협 속성 변화

- 인공지능의 효율성, 확장성 등을 바탕으로 공격 행위자, 속도, 대상이 확대되는 등 기존 위협 확대됨

- 성공적인 공격을 위해 인공지능 활용 시스템의 취약점을 공격함

- 고 빈도, 고 효과의 공격이 가능해짐

 

인공지능을 활용한 대표적 보안 위협

- 적대적 스티커

- 스피어 피싱

- 모방 및 흉내

- 개인정보 유출

 

적대적 공격(Adversarial Attack): 회피 공격

- 적대적 공격은 딥러닝의 심층 신경망을 이용한 모델에 적대적 교란(Adeversarial Perturbation)을 적용하여 오분류를 발생시키는 것을 의미함

- 회피 공격이란 적대적 예제를 사용해서 AI가 잘못된 의사 결정을 하도록 하는 공격으로 입력 공격이라고도 함

 

적대적 공격(Adversarial Attack) : 중독 공격

- 중독 공격이란 공격자가 AI 모델의 학습 과정에 관여하여 AI 시스템 자체를 손상시키는 공격으로 데이터 셋을 손상시키는 방법이 대표적임

- 모델 구축 과정에서 악의적인 학습 데이터를 주입해 모델 자체를 망가뜨리며, 이를 통해 완성된 인공지능이 정상적이지 않은 결과를 내보내게 됨

 

적대적 공격(Adversarial Attack) : 탐색적 공격

- 탐색적 공격이란 전도 공격과 모델 추출 공격이 대표적임

- 전도 공격이란 학습에 사용된 데이터를 추출하는 공격기법을 말함

- 모델 추출 공격은 모델을 추출하기 위해 쿼리를 계속 던지면서 결과 값을 분석하는 방식으로 전도 공격과 같은 2차 공격을 위해 사용될 수 있음

 

시사점

- AI는 굉장히 많은 분야에서 활용되고 있음

- AI를 제대로 활용하면 보안 분야에 큰 도움이 되지만 악용 사례는 지속적으로 늘어날 것임

- AI 기술 활용도 중요하지만 AI 자체에 대한 보안도 필요할 것이라고 전망됨

 

5. 사이버 테러

 

사이버 테러란?

- 컴퓨터 통신망 상에 구축되는 가상 공간인 사이버 공간을 이용한 폭력 행위를 가리키는 용어로, 컴퓨터 통신망을 이용하여 정부 기관이나 민간 기관의 정보 시스템에 침입, 중대한 장애를 발생시키거나 파괴하는 등의 범죄 행위를 말함

- 세계 각국에 컴퓨터 통신망이 광범위하게 보급되어 있으며, 이를 이용한 정부 기관이나 공공 기관, 은행, 기업 등의 중요한 컴퓨터 데이터베이스 등 정보 시스템의 교란, 파괴 또는 악용 행위가 각종 테러리스트 집단의 목표 달성 수단이 되고 있음

 

주요 사업 테러 사례

- 전국 19개 PC방을 대상으로 총 59회에 걸쳐 '해외 IP'에서 '국내 IP'로 대량의 트래픽을 전송하는 방식으로 공격 (2022. 5. 17. YTN)

- 국회의원실 등을 사칭하며 악성 이메일을 발송, 외교, 안보, 통일 등 북한 관련 전문가의 전자 우편을 실시간 감시 (2022. 12. 25. MBC)

- '영상 편집도구'로 위장한 악성 프로그램을 유포하여 문화체육관광부 등 정부 기관에서 운영하는 유튜브 채널 3개의 관리자 권한을 탈취하여 가상자산 사기 사이트를 홍보하는 영상 게시 (2022. 9. 3. 연합뉴스)

- 아파트 40만 가구 월패드 해킹해 영상 유출, 보안 전문가 체포 (2022. 12. 20. 동아일보)

 

사이버 테러 양상

- 조직의 익명화, 점조직화

- 범죄 수단의 외주화

- 가상자산과 다크웹 활용

- 대표적인 유형으로 디도스(DDoS) 공격과 공격지 IP 주소까지 위조하는 '익명화 공격 수법'을 활용

 

사이버전(Cyber Warfare)

- 사이버 공간에서 벌어지는 국가 간의 공방

- 전쟁 중에 벌어지는 사이버 공간에서의 공방이 협의의 사이버전이라 볼 수 있으며, 이외에도 국가 안보 차원에서 위협이 되는 대규모 사이버 공격 역시 사이버전이라고 광의적으로 보는 시각도 있음

- 사이버전은 사이버 공간의 비가시성, 초월성, 연결성, 익명성의 특성을 가짐

- 사이버저에서 사이버 공격은 대표적인 비대칭 전력으로서 은밀하게 진행되며 누가 언제 수행했으며 어떤 목적의 공격인지 파악에 시간이 소요되어 역추적이나 적시 대응이 어려움

- 대리자나 비국가 주체들 역시 사이버전에 개입할 수 있다는 특성이 있음

 

사이버전(Cyber Warfare) 사례: 러시아, 우크라이나 전쟁

- 2022년 2월, 러시아의 우크라이나 침공으로 전면적인 전쟁이 발생함

- 러시아는 전쟁 발발 전 전초전 성격으로 대규모 사이버 공격을 감행했으며, 전쟁이 본격화 된 이후에는 사이버전 성격의 공격은 예측한 것에 비하여 본격적으로 수행되지는 않음

- 반면 우크라이나를 지원하는 글로벌 기업들과 핵티비스트(Hacktivist) 그룹의 활동들이 러시아를 대상으로 대리전 양상을 보임

 

- 러시아

  → 2022년 1월, 우크라이나 외교부 등 70여개의 정부부처 홈페이지가, 2022년 2월, 금융 및 우크라이나 웹사이트 등이 DDoS 공격으로 접속 장애가 발생함

 

- 우크라이나

  →  위성 인터넷 기업인 스타링크는 우크라이나의 요청에 따라 인터넷 서비스를 제공해 우크라이나의 드론 제어 등 군사 작전이 수행될 수 있도록 지원함

  → 구글은 위성을 이용한 지도 서비스에서 우크라이나의 정보는 차단하고 러시아 군사 시설 등은 공개하며 우크라이나를 지원함

  →  어나니머스 같은 핵티비스트 그룹은 러시아 국영 TV 해킹과 정보 송출, 러시아군의 작전 정보 탈취 등 사이버 공격을 통해 우크라이나를 지원함

 

랜섬웨어(Ransomware)

- 랜섬웨어는 Ransome(몸값)과 Ware(제품)의 합성어로 컴퓨터 시스템을 악성 코드가 침투하여 시스템이나 주요 파일을 암호화 시켜 사용할 수 없게 만든 뒤 몸값을 요구하는 성격의 공격 행위를 의미함

- 사이버 테러에서 굉장히 많이 사용되고 있음

- 랜섬웨어는 추적은 어려우면서 쉽게 금전을 취득할 수 있는 특성상 급증하고 있으며, 맞춤형 랜섬웨어를 제작해주는

 

랜섬웨어(Ransomeware)의 악성 기능

- 잠금(Lock): 스마트폰 또는 태블릿 등 모바일이나 서버, 개인용 컴퓨터(PC)와 같이 피해자 기기의 화면을 강제로 잠그는 행위를 수행함

- 암호화(Encrypt): 파일이나 폴더 등을 암호화 알고리즘으로 암호화하는 행위임

- 삭제(Delete): 운영체제 주요 시스템 파일이나 소프트웨어를 삭제해 서비스 가용성 저해 및 영구적 복구 불능을 유발하는 공격 방식임

- 탈취(Steal): 자산에 존재하는 개인정보 등 중요 파일 등이 허가된 인프라 환경을 벗어나 가용성과 기밀성이 훼손되는 공격 방식임

 

피싱(Phishing)

- 사람들을 현혹하여 멀웨어를 다운로드하거나, 중요한 정보를 공유하거나, 자신 또는 자신의 조직을 사이버 범죄에 노출시키는 기타 조치를 취하도록 유도하는 사기성 이메일, 문자

구분	내용
보이스피싱	유선전화 발신번호를 수사기관 등으로 조작하여 해당 기관을 사칭하면서 금융을 편취하거나, 자녀납치, 사고 빙자 등 이용자 환경의 약점을 노려 금품을 편취하는 수법
메신저피싱	SNS, 모바일(또는 PC) 기반 메신저 등 신규 인터넷 서비스의 친구 추가 기능을 악용하여 친구나 지인의 계정으로 접속한 후 금전 차용 등을 요구하는 수법
피싱사이트	불특정 다수에게 문자, 이메일 등을 보내 정상 홈페이지와 유사한 가짜 홈페이지로 접속을 유도하여 개인정보 및 금융정보를 편취하는 수법
몸캠피싱	스카이프 등 스마트폰 채팅 어플을 통해 음란 회상 채팅(몸캠피싱)을 하자고 접근하여 상대방의 음란한 행위를 녹화한 후 피해자의 스마트폰에 악성 코드를 심어 피해자 지인의 연락처를 탈취한 다음 지인들에게 녹화해둔 영상(사진)을 유포하겠다고 협박하여 금전을 갈취하는 범죄 수법
스피어 피싱	고위 공직자, 유명인 등 특정 개인 및 회사를 대상으로 개인정보를 캐내거나 특정 정보 탈취 목적으로 하는 피싱 공격 수법
큐싱	출처가 불분명한 'QR코드'를 스마트폰으로 찍을 경우, 악성 앱을 내려 받도록 유도하거나 악성 프로그램을 설치하게 하는 금융사기 수법 QR코드 + phishing의 합성어로, 스미싱에서 한 단계 더 진화된 신종 금융사기 수법
로맨스스캠	SNS 및 이메일 등 온라인상으로 접근하여 호감을 표시한 뒤 체력, 외모 등으로 신뢰를 형성한 후 각종 이유로 금전을 요구하는 방법의 사기

 

6. 인간 중심 보안

 

현황

- 보안 관련 연구의 새로운 동향 가운데 하나가 '사람'에 대한 관심이 높아지고 있다는 점이며 새롭게 보안 문제 해결을 위해 부각되는 부분으로 사용자의 인식, 지식 및 경험 등이 있음

- 2023년 Version의 데이터 유출 조사 보고서에 따르면 모든 보안 위반 사고의 74%는 사회적 공격, 오류, 오용 등을 포함하는 인적요소와 관련되었다고 밝혀짐

- 전례없는 팬데믹 상황으로 인해 기존의 생활과 다른 방식으로 변화되었고 이는 곧 보안에도 영향을 미치고 있음

- 기존의 사이버보안 리더들은 프로그램을 지원하는 기술 및 프로세스 개선에 집중해 왔으며, 이러한 변화를 만드는 인적 자원은 크게 신경 쓰지 않았음

 

인간 중심 보안의 필요성

- 가트너의 조사에 따르면, 업무 중 보안 위반을 인정한 직원의 90% 이상이 "자신의 행동이 조직에 리스크를 증가시킬 수 있다는 점을 알고 있었음에도 그렇게 행동하였다"고 답함

- 보안 제어 설계 시 개인 중심으로 해 업무와 보안 사이 마찰을 최소화할 필요가 있다고 밝힘

 

인간 중심 보안이란?

- 현재 인간중심보안은 크게 People-Centric Security와 Human-Centric Security 용어를 중심으로 사용되고 있음

- People-Centric Security: 전반적인 사람들의 행동 변화를 이끌 수 있도록 환경 조성, 정책, 교육 등에 영향을 미치는 것을 목표로 함

- Human-Centric Security: 사람의 개인적인 경험이나 특성에 중점을 맞춰 사용자 친화적인 보안을 하는 등 인간의 다양한 측면을 고려한 보안을 하는 것을 목표로 함

 

전통적인 보안 vs 인간 중심 보안

전통적인 보안	인간 중심 보안
정책과 통제 중심	원칙, 권한 및 책임 중심
의심 기반	신뢰 기반
예방	교정
나쁜 사람을 통제하기 위해 좋은 사람을 방해	나쁜 사람을 통제
악의적 행동 기반	모범적 행동 기반
표준 지향	서비스 지향
위험 의사결정을 IT 및 보안부서가 담당	위험 의사결정을 정보 소유자와 사용자가 담당
관료주의적	민주주의적
높은 관리비용	관리비용 감소

 

인간중심보안 원칙

- 최종 책임성(Accountability)

- 수행 책임성(Responsibility)

- 자율성(Autonomy)

- 비례성(Proportionality)

- 투명성(Transparency)

- 즉시성(Immediacy)

 

인간중심보안 구현 방안

- 보안문화 변화관리 프로그램

  → 개별 사용자의 태도 및 실제 행동에 영향을 줄 수 있는 정교한 교육 프로그램

  → 개별 사용자의 책임과 자발성을 유도

  → 장기적이고 긍정적인 보안문화 형성

- 정교한 모니터링 프로그램

  → 보안탐지 기술을 통한 투명성 제고 (DLP, SIEM, DAM)

  → 사용자 행위분석(UBA)과 기존의 전사적 보안솔루션과의 연계

  → 이벤트 기반 메시지 시스템 (보안정책이나 지침에 대한 경각심 강화)

 

인간중심보안의 기대효과

- 목표 : Usable security(편의성과 보안성 간의 균형 추구)

- 사람들에게 보안을 편리하게 느껴지도록 함(ex. 사용자 인증)

- 자연스럽게 보안을 위한 행동을 할 수 있도록 하는 것이 목표임