마지막으로 피싱을 당한 것이 언제였나요? 방금 전? 오늘 일찍? 어제? 아마도 생각보다 최근에 피싱을 당했을 것입니다. 가장 일반적인 자격 증명 관련 공격 버라이즌 2024 데이터 유출 조사 보고서에 따르면 34억 개의 스팸 이메일 매일 외출하는 것으로 알려졌습니다.
더 흥미로운 질문이 있습니다: 언제 먼저 언제 피싱을 당하셨나요? 10년 전? 20년 전? 그 이상? 만약 2000년에 온라인에 접속해 있었다면 아이러브유 웜, 는 AT&T와 미 국방부 등의 이메일 시스템을 중단시킨 초기 피싱 수법입니다.
이 모든 것이 정말 중요한 질문으로 이어집니다: 도대체 왜 이런 일이 여전히 일어나고 있으며, 이를 막으려면 무엇이 필요할까요?
지금까지는 피싱에 효과적으로 대응할 수 있는 올바른 보안 패러다임이 없었습니다. 하지만 이제 좋은 소식이 있습니다: 바로 제로 트러스트입니다.
피싱이 지속되는 이유는 여러 가지가 있습니다. 쉽게 할 수 있고, 대처하기 어렵고, 큰 수익을 얻을 수 있다는 점입니다. 다른 사람인 것처럼 가장하여 피해자가 중요한 데이터 및 기타 리소스에 액세스할 수 있는 로그인 자격 증명을 제공하도록 속이기만 하면 되기 때문에 피싱의 방법론은 매우 간단합니다.
좋아요 루시를 신뢰하는 찰리 브라운 피싱 피해자들은 계속해서 같은 실수를 반복하는 것처럼 보입니다. 그 이유는 범죄자들의 수법이 계속 진화하고 있기 때문입니다. 예를 들면 다음과 같습니다., 초기 피싱 시도는 일반적으로 이메일을 통해 이루어졌지만, 이제는 문자 메시지와 다른 형태의 커뮤니케이션도 피싱에 포함될 가능성이 높습니다. 형태와 방법이 끊임없이 변화함에 따라 수신자가 피싱을 알아차리기가 점점 더 어려워지고 있습니다. 다양한 피싱 수법 받는 사람이 더 잘 알아야 하는 사람인 경우에도 마찬가지입니다.
피싱 수법이 계속 통하는 한 조직은 계속 손해를 보고 악의적인 공격자들은 계속 돈을 벌게 될 것입니다. 피싱으로 인한 침해 사고의 최근 평균 수치는 얼마입니까? $476만, IBM의 데이터 유출 비용 보고서 2023에 따르면.
하지만 다른 결과를 얻을 수 있는 방법이 있는데, 바로 제로 트러스트에 있습니다.
지난 수년간 피싱 공격으로 인해 수백만 달러의 피해를 입은 기업들은 이제 피싱, 랜섬웨어, 공급망 공격 및 기타 위협에 대한 방어 방식에 변화를 겪고 있으며, 이러한 변화는 피싱을 더욱 효과적으로 방어할 수 있는 좋은 징조입니다.
이러한 변화 속에서 제로 트러스트는 기존의 경계 기반 패러다임을 넘어 위협에 보다 효과적으로 대응함으로써 보안을 개선하는 가장 효과적인 방법 중 하나로 떠오르고 있습니다.
가트너에 명시된 바와 같이® 보고 "빠른 답변: 제로 트러스트의 핵심 원칙은 무엇인가요?": "제로 트러스트는 하나의 패러다임입니다. 암묵적 신뢰를 신원과 상황에 따라 지속적으로 평가되는 위험과 신뢰 수준으로 대체합니다."
제로 트러스트 보안 패러다임에서 누군가 또는 무언가를 신뢰할 수 없는지 확인하는 것은 더 이상 액세스 시도 또는 기타 잠재적으로 위험한 이벤트에 대한 응답으로만 발생하는 일회성 이벤트가 아닙니다. 대신, 조직은 다음과 같은 방법으로 신뢰성을 확인해야 합니다. 끊임없이. "신뢰하되 검증한다"는 보안의 기본 개념에서 벗어나 "절대 신뢰하지 말고 항상 검증한다"는 개념을 받아들인다고 생각하면 됩니다.
오늘날 세계에서 가장 보안 수준이 높은 조직 중 일부는 직간접적으로 정부에 소속되어 있으며, 보안을 강화하기 위해 제로 트러스트를 의무화하고 있습니다. 미국 관리예산처(OMB)의 행정 각서 M-22-09 는 정부를 위한 연방 제로 트러스트 아키텍처 전략을 제시합니다. 그리고 유럽에서는 사이버 보안에 대한 EU 차원의 법률인 NIS2 지침에 따라 제로 트러스트의 7가지 원칙-미국 국립표준기술연구소에서 정의한 대로(NIST).
위에서 설명한 제로 트러스트에 대한 정부의 고위급 지침이 피싱 퇴치에 구체적으로 어떻게 적용되는지 궁금하실 것입니다. 가트너 보고 는 이렇게 주장합니다: "보안 및 위험 관리 리더는 조직의 제로 트러스트 전략을 발전시키기 위해 5가지 핵심 원칙을 표준화할 수 있습니다." 이러한 핵심 원칙 중 몇 가지는 피싱 방지 노력과 직접적인 관련이 있다고 생각합니다:
"정체성 확립" 이러한 제로 트러스트 원칙을 충족하기 위해서는 "조직은 '누가, 언제, 무엇에, 왜 액세스해야 하는가'에 대한 확립된 조직 정책이 필요하다"고 가트너 보고서는 지적합니다.
정책은 조직이 전반적인 보안을 강화하고 특히 피싱으로부터 자신을 방어하기 위해 취할 수 있는 가장 효과적인 조치 중 하나라고 생각합니다. 이러한 정책을 적용하면 피싱을 당한 사용자가 악의적인 공격자가 노리는 고가치 표적에 접근할 가능성이 줄어듭니다. 피싱된 계정은 또한 측면으로 이동하여 악용할 새로운 권한을 찾거나 요청할 수 있는 능력이 떨어집니다.
이 보고서는 또한 이 원칙을 충족하기 위해 필요한 또 다른 요건으로 "인증을 위한 멀티팩터 구현을 위한 기술 지원"을 언급하고 있습니다.
피싱은 자격 증명을 표적으로 삼기 때문에 RSA 멀티팩터 인증(MFA)과 같은 솔루션은 유출된 단일 자격 증명으로 인해 발생할 수 있는 피해를 상당히 제한할 수 있습니다.
"제한된 액세스." 조직은 신원을 파악하고 특정 사용자에게 필요한 권한을 미리 결정해야 할 뿐만 아니라 가능한 한 액세스를 제한하기 위해 노력해야 합니다. 피싱의 경우 액세스를 제한하면 악의적인 공격자가 사용자의 자격 증명을 사용하여 원하는 것을 얻을 수 없게 됩니다. 이것이 바로 가트너 보고서에서 제로 트러스트로 나아가기 위해 "사용자나 시스템은 필요한 기능을 수행해야 할 경우에만 리소스에 액세스할 수 있어야 한다"고 권고하는 이유입니다.
또한, 보고서는 액세스를 제한하려면 "암묵적 신뢰 영역과 사용자 계정에 부여된 권한을 줄여야 한다"고 지적합니다. 접근 권한이 적은 사람이 더 적게 접근하고 더 많이 잠그면 악의적인 행위자가 악용할 수 있는 여지가 줄어드는 환경이 조성된다고 생각합니다.
이러한 환경을 지원합니다, RSA 거버넌스 및 수명 주기 는 사용자가 어떤 항목에 액세스할 수 있는지 파악하는 것뿐만 아니라 사용자가 어떤 항목에 액세스할 수 있는지에 초점을 맞춘 액세스 관리 프레임워크를 제공합니다. do 액세스 권한이 있습니다.
"위험 기반 적응형 액세스를 제공하세요." 제로 트러스트에 관한 글을 읽어보셨다면 제로 트러스트 아키텍처의 핵심 아이디어 중 하나가 '절대 신뢰하지 않고 항상 확인'이라는 것을 알고 계실 것입니다. 이는 조직이 더 많은 권한이나 액세스 권한을 부여하기 전에 매 순간 모든 액세스 요청을 검증한다는 것을 의미합니다. 이러한 지속적인 검증에 대한 아이디어는 Gartner 보고서에서 다음과 같이 언급하고 있습니다: "일회성 게이트 검사에서 세션 중 지속적인 위험 평가로의 전환."
피싱된 자격 증명을 가진 사이버 범죄자는 새 디바이스를 등록하거나 새로운 위치에서 작업하거나 실제 사용자의 일반적인 근무 시간 외에 접속을 시도할 가능성이 높기 때문에 위험 기반 인증은 제로 트러스트로 전환하고 피싱을 방지하는 데 필수적입니다. RSA 리스크 AI 는 이러한 신호를 감지하고 그에 따라 액세스 시도를 차단할 수 있습니다. (그리고 악의적인 공격자가 초기에 어떻게든 침투하더라도 위험 기반 인텔리전스 기능으로 인해 공격자의 체류 시간이 제한됩니다.)
제로 트러스트로 피싱을 퇴치할 수 있다는 전망은 흥미롭지만, 피싱이 절대로 만 제로 트러스트를 사용하여 조직이 방어할 수 있는 위협 벡터입니다.
###
가트너 보고서를 다운로드하세요, 빠른 답변: 제로 트러스트의 핵심 원칙은 무엇인가요?
Gartner, Inc. 빠른 답변: 제로 트러스트의 핵심 원칙은 무엇인가요?, Wayne Hankins, Charlie Winckless, Andrew Lerner. 최초 게시: 2024년 5월 2일.
GARTNER는 미국 및/또는 그 계열사의 등록 상표 및 서비스 마크이며, 본 문서에서 허가를 받아 사용되었습니다. 모든 권리 보유.
