사이버 보안은 단순히 악성 공격으로부터 컴퓨터 시스템을 보호하는 데 그치지 않습니다. 효과적인 방어를 위해 군사적 보안 관행을 도입하여 사이버 공격을 예방하고 대응하는 능력을 강화하고 있습니다. 이러한 관행 중 ‘심층 방어(Defense in Depth, DiD)’는 핵심적인 전략 중 하나입니다.
심층 방어는 중세 시대의 성곽 방어 시스템에서 유래한 군사적 개념입니다. 성을 보호하기 위해 도개교, 도랑, 해자, 성벽, 감시탑 등 여러 겹의 방어선을 구축하여 침입을 어렵게 만들었습니다. 이러한 다층적 방어 전략은 적의 침입을 지연시키고, 공격의 강도를 약화시키며, 아군에게 대응 시간을 벌어주는 효과적인 방법이었습니다.
1, 2차 세계 대전에서도 심층 방어 전략은 널리 활용되었습니다. 군대는 참호를 파고, 기관총 진지를 전략적으로 배치하고, 요새를 건설했으며, 대전차 장애물을 설치하여 적의 진격을 늦추고 사상자를 발생시켜 방어에 필요한 시간을 확보했습니다.
사이버 보안에서 심층 방어는 여러 보안 제품과 통제를 계층화하여 네트워크와 시스템을 보호하는 방법입니다. 방화벽, 암호화, 침입 탐지 시스템 등 다양한 보안 도구를 함께 사용하여 공격으로부터 시스템을 안전하게 지킵니다. 이러한 다층적 방어는 단일 보안 조치가 실패하더라도 다른 보안 계층이 작동하여 시스템을 안전하게 유지합니다.
심층 방어는 사이버 보안에서 중복성을 활용하는 중요한 전략입니다. 단일 보안 조치만으로는 모든 사이버 공격을 막을 수 없기 때문입니다. 다층적인 접근 방식은 다양한 공격으로부터 시스템을 보호하고, 시스템의 침투 가능성을 크게 줄여줍니다.
심층 방어의 핵심 요소
심층 방어는 크게 세 가지 핵심 요소로 구성됩니다.
물리적 통제
물리적 통제는 컴퓨터 시스템 자체를 보호하고 외부인이 시스템에 물리적으로 접근하는 것을 방지하는 데 초점을 맞춥니다. 예를 들어, 보안 카메라, 잠긴 출입문, ID 카드 스캐너, 생체 인식 시스템을 설치하여 시스템에 대한 물리적 접근을 제한할 수 있습니다. 중요한 시스템이 위치한 공간에 경비원을 배치하여 추가적인 보안을 확보할 수도 있습니다.
기술적 통제
기술적 통제는 악의적인 공격으로부터 시스템을 보호하기 위해 하드웨어 및 소프트웨어를 활용합니다. 방화벽, 다단계 인증, 침입 탐지 및 방지 시스템(IDS/IPS), 백신 프로그램, 구성 관리 등이 기술적 통제에 해당합니다. 이러한 도구들은 다양한 사이버 위협에 대응하여 시스템을 보호하는 데 중요한 역할을 합니다.
관리적 통제
관리적 통제는 조직의 정책과 절차를 통해 직원의 보안 의식을 높이고, 시스템에 대한 접근을 통제하여 인적 오류로 인한 보안 사고를 예방하는 데 목적이 있습니다. 사이버 보안 교육을 통해 직원들이 안전한 관행을 준수하도록 유도하고, 조직의 정보 자산에 대한 접근 권한을 관리하여 보안 취약성을 줄이는 것이 중요합니다.
심층 방어가 중요한 이유
한때 세계적으로 유명한 해커였던 케빈 미트닉은 “충분한 시간과 자원이 주어지면, 어떤 보안 시스템도 외부의 공격에 취약하다”고 말했습니다. 그의 말처럼 완벽한 사이버 보안 솔루션은 존재하지 않습니다. 특히 첨단 기술을 사용하는 공격자들이 존재하는 오늘날에는 더욱 그렇습니다.
심층 방어는 조직이 보안에 대해 적극적인 접근 방식을 취하고, 단일 보안 솔루션의 실패에도 대비하도록 합니다. 여러 보안 도구를 계층화하여 중요한 자산에 대한 강력한 보호를 제공하고, 시스템이 침해될 가능성을 크게 줄입니다. 심층 방어는 공격자가 시스템에 침투하는 과정을 더욱 어렵게 만듭니다.
심층 방어는 조직이 보안에 대한 포괄적인 접근 방식을 취하도록 유도하며, 시스템이 공격받을 수 있는 모든 잠재적 경로를 고려하게 합니다. 군대가 심층 방어를 통해 공격 속도를 늦추고 대응 시간을 확보하는 것처럼, 사이버 보안에서도 동일한 효과를 얻을 수 있습니다.
심층 방어는 공격자가 시스템에 접근하기 전에 공격 속도를 늦추고, 관리자가 공격을 감지하고 대응할 시간을 확보해줍니다. 또한, 여러 보안 조치를 통해 공격으로 인한 피해를 제한하고, 단일 보안 조치의 실패로 인해 발생할 수 있는 손실을 최소화합니다.
심층 방어 작동 방식
심층 방어의 핵심은 공격자가 침투하기 어렵도록 여러 보안 조치를 중복적으로 적용하는 것입니다. 예를 들어, 공격자가 감염된 USB를 사용하여 시스템에 침투하려 한다고 가정해 봅시다.
이러한 공격 시도는 건물 내 경비원을 배치하거나 생체 인식 시스템을 활용하여 컴퓨터 접근을 기록하고 제어함으로써 저지할 수 있습니다. 만약 공격자가 네트워크 공격을 시도하여 악성 코드를 네트워크에 전파하려 한다면, 네트워크 트래픽을 모니터링하는 방화벽이나 네트워크에 설치된 백신 프로그램을 통해 이러한 공격을 차단할 수 있습니다.
만약 공격자가 손상된 자격 증명을 사용하여 네트워크에 접근하려 한다면, 다단계 인증 시스템을 통해 접근을 막을 수 있습니다. 그럼에도 불구하고 시스템에 침투에 성공한다면, 침입 탐지 시스템(IDS)이 침입을 감지하고 보고하여 추가 피해를 막을 수 있습니다. 또는 침입 방지 시스템(IPS)을 사용하여 위협을 능동적으로 차단할 수도 있습니다.
이러한 모든 보안 조치를 우회해야 하는 상황에서는 전송 중이거나 저장된 데이터를 암호화하여 공격자가 민감한 정보에 접근하는 것을 막을 수 있습니다. 공격자가 공격 방식을 바꾸고 설치된 보안 조치를 우회하려 할 수 있지만, 심층 방어는 시스템 침투를 매우 어렵게 만들고 조직이 공격에 대응할 시간을 제공합니다.
심층 방어 활용 사례
심층 방어는 다양한 시나리오에 적용될 수 있습니다. 몇 가지 주요 활용 사례는 다음과 같습니다.
#1. 네트워크 보안
심층 방어는 네트워크를 공격으로부터 보호하는 데 매우 효과적입니다. 네트워크 트래픽을 모니터링하는 방화벽, 악성 네트워크 활동을 감지하고 침입을 방지하는 침입 방지 시스템을 함께 사용하는 것이 일반적입니다. 네트워크에 백신 프로그램을 설치하여 맬웨어가 네트워크에 침투하는 것을 막고, 침투한 맬웨어를 제거할 수도 있습니다.
데이터 암호화는 최종 보안 계층 역할을 합니다. 전송 중이거나 저장된 데이터를 암호화하면, 공격자가 앞선 보안 조치를 모두 우회하더라도 접근한 데이터가 암호화되어 사용할 수 없게 됩니다.
#2. 엔드포인트 보안
엔드포인트는 네트워크에 연결된 서버, 데스크톱, 가상 머신, 모바일 기기 등을 의미합니다. 엔드포인트 보안은 이러한 장치를 위협으로부터 보호하는 것을 목표로 합니다. 엔드포인트 보안을 위한 심층 방어 전략은 엔드포인트가 있는 위치를 물리적으로 보호하고, 강력한 비밀번호와 다단계 인증을 사용하여 장치에 대한 접근을 통제하며, 장치 활동을 기록하는 것을 포함합니다. 방화벽, 백신 프로그램, 데이터 암호화를 추가하여 보안을 강화할 수 있습니다.
#3. 애플리케이션 보안
심층 방어는 은행 계좌 정보, 개인 식별 번호, 주소와 같은 민감한 데이터를 처리하는 애플리케이션을 보호하는 데에도 효과적입니다. 보안 코딩 관행을 준수하고, 애플리케이션을 정기적으로 테스트하여 취약점을 찾고, 전송 및 저장 데이터를 암호화하며, 사용자 인증을 위해 다단계 인증을 사용하고, 사용자 활동 로그를 유지함으로써 애플리케이션 보안을 강화할 수 있습니다.
계층화된 보안 vs 심층 방어
계층화된 보안과 심층 방어는 모두 여러 보안 도구를 활용하여 시스템 보안을 강화하는 전략이지만, 구현 방식과 중점에 차이가 있습니다. 두 전략 모두 중복성을 활용하여 보안을 강화하는 데 목적을 두고 있습니다.
계층화된 보안은 조직의 보안에서 가장 취약한 부분을 보호하기 위해 여러 보안 도구를 배치하는 방식입니다. 이 전략에서는 여러 보안 접근 방식을 동일한 계층 또는 스택에 배치합니다. 예를 들어, 여러 백신 프로그램을 사용하여 하나의 백신이 놓친 바이러스를 다른 백신이 잡아낼 수 있도록 합니다. 또한, 여러 방화벽이나 침입 탐지 시스템을 사용하여 단일 제품의 실패에 대비할 수 있습니다. 계층화된 보안은 단일 제품의 실패가 시스템 보안에 영향을 미치지 않도록 합니다.
반면, 심층 방어는 여러 보안 계층 또는 잠재적 공격 경로에 걸쳐 중복성을 구축합니다. 이를 통해 다양한 공격으로부터 시스템을 보호합니다. 예를 들어 방화벽, 다단계 인증, 침입 탐지 시스템, 물리적 보안, 백신 프로그램을 함께 사용하여 서로 다른 보안 문제를 해결하고 광범위한 공격으로부터 시스템을 보호합니다.
결론
최근 사이버 공격은 악의적인 공격자들이 다양한 공격 벡터를 사용하여 시스템의 취약점을 찾으려 한다는 것을 보여줍니다. 따라서 조직은 단일 보안 도구에 의존하여 시스템의 안전을 보장할 수 없습니다. 공격자들이 다양한 방법을 사용하여 시스템을 침해할 수 있기 때문입니다.
심층 방어는 중요한 시스템을 광범위한 공격으로부터 보호하는 데 필수적입니다. 심층 방어를 통해 악의적인 공격자들이 시스템을 침해할 수 있는 모든 잠재적 경로를 차단할 수 있습니다. 또한 공격 속도를 늦추고 공격을 탐지할 수 있는 시간을 확보하여 시스템 침해 전에 공격에 대응할 수 있도록 합니다.
사이버 보안 분야에서는 허니팟(Honey Pot) 및 허니넷(Honey Net)과 같은 다른 보안 기술도 함께 고려해 볼 수 있습니다.