사이버 공격에 대비하기 위한 7가지 최고의 BAS 도구

사이버 공격 방어를 위한 BAS 플랫폼 소개

사이버 공격으로부터 조직을 지키는 일은, 특히 공격자들의 표적이 될 수 있는 수많은 시스템을 보유한 대규모 조직에게는 매우 어려운 과제입니다.

일반적으로 보안 담당자들은 파란색 및 빨간색 팀 운영, 규정 준수 테스트, 모의 침투 테스트 등 다양한 보안 테스트 방법을 활용하여 조직의 방어 체계가 공격에 얼마나 잘 대응하는지를 평가합니다. 하지만 이러한 접근 방식들은 많은 리소스를 필요로 하고 수동적이며 시간이 오래 걸려서, 매일 수행하기에는 무리가 있습니다.

이러한 문제점을 해결하기 위해 개발된 BAS(Breach and Attack Simulation, 침해 및 공격 시뮬레이션)는 고급 사이버 보안 도구입니다. BAS를 통해 조직은 소프트웨어 에이전트를 이용하여 시스템에 대한 다양한 사이버 공격을 지속적으로 시뮬레이션하고 자동화할 수 있습니다. 또한 기존 취약점에 대한 상세 보고서를 얻어 개선 방안을 모색할 수 있습니다.

BAS를 활용하면 엔드포인트에 대한 악성코드 공격, 내부자 위협, 측면 이동, 데이터 유출 등 공격의 전 과정을 시뮬레이션할 수 있습니다. BAS 도구는 사이버 보안 팀 내에서 블루팀과 레드팀 구성원이 수행하는 역할을 자동화하여 효율성을 높입니다.

보안 테스트 과정에서 레드팀은 실제 공격자를 모방하여 시스템을 공격하고 취약점을 식별하는 역할을 합니다. 반면 블루팀은 레드팀의 공격을 방어하는 역할을 수행합니다.

BAS 플랫폼 작동 원리

BAS 소프트웨어는 컴퓨터 시스템에 대한 공격을 시뮬레이션하기 위해 공격자가 시스템을 침해하고 공격하는 방식에 대한 연구, 관찰, 지식을 바탕으로 미리 구성된 다양한 사이버 공격 시나리오를 제공합니다.

많은 BAS 소프트웨어가 MITRE ATT&CK 프레임워크를 사용합니다. MITRE ATT&CK 프레임워크는 실제 사이버 공격 관찰을 통해 얻은 전술과 기술을 담은 전 세계적으로 접근 가능한 지식 기반입니다. 이 프레임워크는 또한 컴퓨터 시스템에 대한 사이버 공격과 침입을 분류하고 설명하기 위한 지침을 제공합니다.

BAS 시뮬레이션에서는 미리 구성된 공격들이 대상 시스템에 적용됩니다. 이러한 공격들은 실제 공격을 모방하지만, 서비스 중단 없이 안전하고 낮은 위험 수준에서 수행됩니다. 예를 들어 악성코드를 배포할 때, 알려진 악성코드의 안전한 복제본을 사용합니다.

시뮬레이션 과정에서 프로그램은 사이버 공격의 전체 수명 주기를 다룹니다. 기본적인 시스템 정보 파악을 위한 정찰 활동을 시작으로, 취약점 스캔 후 이러한 취약점을 악용하려고 시도합니다. 이 과정에서 BAS는 발견된 취약점, 악용 방법, 취약점 수정 방안 등을 상세하게 설명하는 실시간 보고서를 생성합니다.

BAS가 시스템 침투에 성공하면 공격자의 행동을 모방하여 시스템 내부를 측면 이동하고, 데이터를 유출하며, 공격의 흔적을 지웁니다. 시뮬레이션이 완료되면 조직은 발견된 취약점을 해결하는 데 도움이 되는 포괄적인 보고서를 받습니다. 이러한 시뮬레이션은 취약점이 제거되었는지 확인하기 위해 여러 차례 반복하여 실행할 수 있습니다.

BAS 플랫폼을 사용해야 하는 이유

조직이 BAS를 사용하면 시스템 보안 측면에서 다양한 이점을 얻을 수 있습니다. 주요 이점은 다음과 같습니다.

BAS를 통해 조직은 보안 시스템의 실제 작동 여부를 확인할 수 있습니다.

조직이 사이버 보안에 막대한 투자를 하고 있지만, 실제 정교한 공격에 대해 시스템이 효과적으로 방어할 수 있는지 완전히 확신하기는 어렵습니다. 하지만 BAS 플랫폼을 사용하여 모든 시스템에 반복적이고 정교한 공격을 시뮬레이션함으로써 실제 공격에 대한 시스템의 대응 능력을 확인할 수 있습니다.

또한, 필요한 시점에 낮은 위험도로 테스트를 수행할 수 있으며, 시스템의 어떤 취약점이 악용될 가능성이 있는지에 대한 포괄적인 보고서를 얻을 수 있습니다.

BAS는 블루팀과 레드팀의 한계를 극복할 수 있습니다.

레드팀이 시스템을 공격하고 블루팀이 이를 방어하는 방식은 많은 리소스를 소모하며 매일 지속하기 어렵습니다. BAS는 블루팀과 레드팀이 수행하는 작업을 자동화하여 조직이 1년 내내 지속적이고 저렴하게 시뮬레이션을 실행할 수 있도록 지원합니다.

BAS는 인간의 경험과 오류의 한계를 보완합니다.

보안 테스트는 시스템을 테스트하는 사람들의 기술과 경험에 크게 의존하므로 주관적일 수 있습니다. 또한 인간은 실수를 할 수 있습니다. BAS를 사용하여 보안 테스트 프로세스를 자동화함으로써 조직은 보안 상태에 대한 더 정확하고 일관된 결과를 얻을 수 있습니다.

BAS는 또한 광범위한 공격을 시뮬레이션할 수 있으며, 공격을 수행하는 인간의 기술과 경험에 제한되지 않습니다.

BAS는 보안팀이 위협에 더 효과적으로 대처할 수 있도록 지원합니다.

보안팀은 침해 발생이나 소프트웨어 공급업체의 취약점 발견 및 패치 발표를 기다리는 대신, BAS를 사용하여 시스템의 취약점을 지속적으로 조사할 수 있습니다. 이를 통해 공격자보다 한발 앞서 나갈 수 있습니다.

침입을 기다리고 공격에 대응하는 대신, 침입에 사용될 수 있는 영역을 미리 파악하고 공격자가 악용하기 전에 해결할 수 있습니다.

보안을 중시하는 모든 조직에게 BAS는 공격에 대한 기반을 마련하고 공격자가 악용하기 전에 취약성을 무력화하는 데 도움이 되는 필수 도구입니다.

올바른 BAS 플랫폼 선택 방법

시중에는 다양한 BAS 플랫폼이 있지만, 모든 플랫폼이 모든 조직에 적합한 것은 아닙니다. 조직에 적합한 BAS 플랫폼을 선택하려면 다음 요소를 고려해야 합니다.

사전 구성된 공격 시나리오의 다양성

BAS 플랫폼은 시스템의 공격 감지 및 대응 능력을 테스트하기 위해 미리 구성된 공격 시나리오를 제공합니다. 플랫폼을 선택할 때 사이버 공격의 전체 수명주기를 포괄하는 다양한 공격 시나리오가 포함된 것을 선택해야 합니다. 여기에는 시스템 액세스에 사용되는 공격과 시스템이 손상된 후 실행되는 공격이 모두 포함되어야 합니다.

지속적인 위협 시나리오 업데이트

공격자들은 컴퓨터 시스템을 공격하는 새로운 방법을 끊임없이 개발하고 있습니다. 따라서 변화하는 위협 환경에 발맞추어 최신 공격으로부터 조직을 보호할 수 있도록 위협 라이브러리를 지속적으로 업데이트하는 BAS 플랫폼을 선택해야 합니다.

기존 시스템과의 통합 용이성

BAS 플랫폼을 선택할 때, 기존 보안 시스템과 쉽게 통합되는 플랫폼을 선택하는 것이 중요합니다. 또한 BAS 플랫폼은 조직이 테스트하고자 하는 모든 영역을 낮은 위험도로 처리할 수 있어야 합니다. 예를 들어 클라우드 환경이나 네트워크 인프라를 사용하고 싶을 수 있습니다. 따라서 이를 지원하는 플랫폼을 선택해야 합니다.

보고서 기능

BAS 플랫폼은 시스템 공격 시뮬레이션 후 발견된 취약점과 보안 격차를 수정하기 위해 필요한 조치를 상세하게 설명하는 실행 가능한 보고서를 생성해야 합니다. 따라서 시스템에서 발견된 취약점을 해결하기 위해 관련 정보를 제공하는 상세하고 포괄적인 실시간 보고서를 생성하는 플랫폼을 선택해야 합니다.

사용 편의성

BAS 도구는 아무리 복잡하고 정교하더라도 사용하기 쉽고 이해하기 쉬워야 합니다. 따라서 보안 전문 지식이 거의 없어도 작동 가능하고 적절한 문서가 제공되며, 직관적인 사용자 인터페이스를 통해 공격을 쉽게 배포하고 보고서를 생성할 수 있는 플랫폼을 선택해야 합니다.

BAS 플랫폼 선택은 신중하게 이루어져야 하며, 결정을 내리기 전에 위에서 언급한 요소들을 꼼꼼히 고려해야 합니다.

더욱 쉽게 선택할 수 있도록 시중에서 이용 가능한 최고의 BAS 플랫폼 7가지를 소개합니다.

Cymulate

Cymulate는 2021년 Frost & Sullivan으로부터 올해의 BAS 제품으로 선정된 SaaS(Software as a Service) 기반 BAS 솔루션입니다. SaaS 솔루션이므로 몇 번의 클릭만으로 몇 분 안에 배포를 완료할 수 있습니다.

단일 경량 에이전트를 배포하여 무제한 공격 시뮬레이션을 실행할 수 있으며, 몇 분 안에 보안 상태에 대한 기술 및 경영진 보고서를 얻을 수 있습니다. 또한 사용자 지정 및 사전 구축된 API 통합을 통해 다양한 보안 스택과 쉽게 통합할 수 있습니다.

Cymulate는 위반 및 공격 시뮬레이션을 제공합니다. 지속적인 퍼플 팀 구성, APT(Advanced Persistent Threat) 공격, 웹 애플리케이션 방화벽, 엔드포인트 보안, 데이터 유출, 이메일 보안, 웹 게이트웨이 및 피싱 평가를 위한 MITRE ATT&CK 프레임워크를 지원합니다.

또한 Cymulate를 통해 시뮬레이션하려는 공격 벡터를 선택할 수 있으며, 시스템에서 공격 시뮬레이션을 안전하게 수행하고 실행 가능한 통찰력을 얻을 수 있습니다.

AttackIQ

AttackIQ는 SaaS(Software as a Service) 방식으로 제공되며, 보안 시스템과 쉽게 통합되는 BAS 솔루션입니다.

AttackIQ의 가장 큰 특징은 해부학적 엔진입니다. 이 엔진은 인공지능(AI)과 머신러닝(ML)을 활용하는 사이버 보안 구성 요소를 테스트할 수 있도록 합니다. 또한 시뮬레이션에서 AI 및 ML 기반 사이버 방어를 활용합니다.

AttackIQ를 사용하면 MITRE ATT&CK 프레임워크에 따라 위반 및 공격 시뮬레이션을 실행할 수 있습니다. 이를 통해 다단계 공격에서 공격자의 행동을 에뮬레이션하여 보안 프로그램을 테스트할 수 있습니다.

이를 통해 취약점 및 텍스트 네트워크 제어를 식별하고 위반 대응을 분석할 수 있습니다. AttackIQ는 수행된 시뮬레이션에 대한 심층 보고서와 발견된 문제점을 수정하기 위해 구현할 수 있는 완화 기술을 제공합니다.

Kroll

Kroll은 BAS 솔루션 구현에 대해 독특한 접근 방식을 취합니다. 다른 제품들이 공격 시뮬레이션에 사용할 수 있는 다양한 공격 시나리오를 제공하는 것과 달리, Kroll은 다릅니다.

사용자가 서비스를 사용하기로 결정하면 Kroll의 전문가들이 자신의 기술과 경험을 바탕으로 시스템에 특화된 일련의 공격 시뮬레이션을 설계하고 제작합니다.

특정 사용자의 요구 사항을 고려하고 시뮬레이션을 MITRE ATT&CK 프레임워크에 맞춰 진행합니다. 공격 시나리오가 스크립팅되면, 시스템의 보안 상태를 테스트하고 재검증하는 데 사용할 수 있습니다. 여기에는 구성 변경 및 벤치마크 응답 준비가 포함되며, 시스템이 내부 보안 표준을 준수하는지 측정합니다.

SafeBreach

SafeBreach는 BAS 솔루션의 선구자로서, BAS 분야에 큰 공헌을 했다는 자부심을 가지고 있습니다. 그 결과 수상 경력과 특허로 이를 입증했습니다.

SafeBreach는 사용 가능한 공격 시나리오 수에서도 경쟁사를 압도합니다. 해커의 플레이북에는 악의적인 공격자가 일반적으로 사용하는 25,000개 이상의 공격 방법이 포함되어 있습니다.

SafeBreach는 모든 시스템과 쉽게 통합할 수 있으며 클라우드, 네트워크 및 엔드포인트 시뮬레이터를 제공합니다. 조직은 이를 통해 시스템에 침투하고 손상된 시스템에서 측면 이동하고 데이터 유출을 수행하는 데 사용될 수 있는 허점을 탐지할 수 있습니다.

또한 사용자 지정 가능한 대시보드와 유연한 보고서 기능을 통해 전체 보안 상태를 쉽게 이해하고 전달할 수 있도록 시각화 기능을 제공합니다.

Pentera

Pentera는 외부 공격면을 검사하여 최신 위협 행위자의 행동을 시뮬레이션하는 BAS 솔루션입니다. 이를 위해 악성 행위자가 시스템을 공격할 때 수행하는 모든 작업을 수행합니다.

여기에는 공격 영역을 매핑하기 위한 정찰, 취약점 스캔, 수집된 자격 증명에 대한 도전이 포함되며, 안전한 악성코드 복제본을 사용하여 조직의 엔드포인트에 대한 공격을 시뮬레이션합니다.

또한 시스템 내부를 측면 이동하고, 데이터를 유출하며, 테스트에 사용된 코드를 정리하는 등 유출 후 단계도 진행하여 흔적을 남기지 않습니다. 마지막으로 Pentera는 각 근본 원인 취약점의 심각도에 따라 수정 조치를 제시합니다.

Threat Simulator

Threat Simulator는 Keysight의 Security Operations Suite의 일부로 제공됩니다. Threat Simulator는 조직의 프로덕션 네트워크와 엔드포인트에서 공격을 시뮬레이션하는 SaaS(software-as-a-service) BAS 플랫폼입니다.

이를 통해 조직은 취약점이 악용되기 전에 해당 영역의 취약점을 식별하고 수정할 수 있습니다. 가장 큰 장점은 조직이 위협 시뮬레이터에서 발견한 취약점을 해결하는 데 도움이 되는 사용자 친화적인 단계별 지침을 제공한다는 점입니다.

또한 조직의 보안 상태를 한눈에 파악할 수 있는 대시보드를 제공합니다. 플레이북에 포함된 20,000개 이상의 공격 기술과 제로데이 업데이트를 갖춘 Threat Simulator는 BAS 플랫폼 시장에서 강력한 경쟁자입니다.

GreyMatter Verify

GreyMatter는 사용 가능한 보안 기술 스택과 쉽게 통합되고 전체 조직의 보안 상태와 사용 중인 보안 도구에 대한 통찰력을 제공하는 Reliaquest의 BAS 솔루션입니다.

Greymatter는 위협 헌팅을 통해 시스템에 존재할 수 있는 잠재적 위협을 찾고, 시스템을 침입한 위협이 있는 경우 위협 인텔리전스를 제공합니다. 또한 MITRE ATT&CK 프레임워크 매핑에 따라 위반 및 공격 시뮬레이션을 제공하고, 잠재적인 위협을 식별하기 위해 개방형, 심층 및 다크 웹 소스에 대한 지속적인 모니터링을 지원합니다.

위반 및 공격 시뮬레이션 이상의 기능을 제공하는 BAS 솔루션을 찾고 있다면 Greymatter를 고려해 볼 만합니다.

결론

오랫동안 중요한 시스템을 공격으로부터 보호하는 일은 사이버 보안 전문가가 공격이 발생하기를 기다리는 수동적인 활동이었습니다. 이러한 상황은 사이버 보안 전문가들을 불리한 위치에 놓았습니다. 하지만 BAS 솔루션을 도입함으로써 사이버 보안 전문가는 공격자의 관점에서 생각하고 공격보다 먼저 시스템의 취약점을 지속적으로 조사함으로써 우위를 점할 수 있습니다. 보안을 중시하는 모든 조직에게 BAS 솔루션은 필수품입니다.

보안 수준을 향상시키기 위해 일부 사이버 공격 시뮬레이션 도구를 탐색해 보는 것도 좋은 방법입니다.