보안 스택의 근본적 문제, 허약한 기반 위의 계층적 구조

The Problem with the Modern Security Stack

The Problem with the Modern Security Stack

 

• 보안 스택의 정의와 현실
  • 많은 조직은 보안 스택을 EDR, SIEM, XDR, SOAR, DLP 등 도구들의 집합으로 정의함
  • 그러나 운영체제(OS)와 애플리케이션의 기본 설정 상태, 자산 파악 부족, 취약점 노출된 공격면 위에 이러한 스택을 올리는 것은 구조적으로 취약함
  • 보안 스택의 효과는 기초 보안 수준(Foundation Security)에 의해 결정됨
• 경고 사례: EDR이 학습한 악성행위
  • 한 조직은 EDR을 학습 모드로 부분 설치했으며, 우연히 해당 세그먼트에 침투한 공격자의 활동을 '정상'으로 인식
  • 학습형 보안 시스템은 기초 자산 통제 및 환경 이해 없이는 공격을 정당화하는 리스크를 초래할 수 있음
• 긍정적 사례: 조직별 맥락 반영한 탐지 룰 설정
  • 다른 조직은 net.exe를 통한 계정 생성 행위가 조직 내부에서는 사용되지 않는다는 점을 알고 100% 탐지율을 지닌 룰을 생성함
  • 이처럼 환경 기반 탐지 규칙 설정은 오탐을 줄이고 효율적인 탐지를 가능하게 함
• 외부 위탁의 한계 (MDR/XDR)
  • 수백 개 고객사의 다양한 로그 품질, 환경 차이로 인해 공통 탐지 룰 설정이 매우 어려움
  • 특정 고객에게는 악성으로 간주될 수 있는 활동(예: 매크로 실행)이 다른 고객의 정상 업무 흐름일 수 있음
  • MDR의 탐지 전략은 공격 이후 활동(post-exploitation)에 집중하거나, 고객 맞춤 탐지 기반을 수립해야 하는 과제에 직면
• 로그 부족 문제: 구성관리 실패의 증거
  • MSSQL 등 주요 시스템이 기본 설정으로는 중요한 로그를 수집하지 않음
    • 예: 성공한 로그인은 기본적으로 기록되지 않으며, 과도한 로깅 설정은 필요한 로그를 빠르게 덮어씀
  • 이는 구성 및 감사 설정 미흡에서 비롯된 문제로, 탐지 정확도 및 사고 대응 능력을 약화시킴
• 기술 부채와 보안 취약점 사례
  • 예시: 2025년에 여전히 CVE-2017-11882 취약점을 활용하는 공격 사례 존재
  • 이는 오래된 기술 스택, 패치 미적용, 기본값 기반 환경 유지의 결과
  • 시스템 하드닝 및 기본 취약점 제거의 필요성 강조
• 보안 권고
  • 보안 스택의 효과성을 위해 다음과 같은 기반 보안 확보 필수
    • 자산 식별 및 분류 (시스템, 애플리케이션 모두 포함)
    • 공격면 최소화 (Attack Surface Reduction): 불필요한 서비스 제거, 포트 제한, 계정 제어
    • 패치 및 구성관리 체계 수립: 운영체제, 미들웨어, 소프트웨어 버전 파악 및 정기적 관리
    • 모니터링 강화: 모든 주요 활동에 대한 로깅 설정, 특히 성공/실패 로그인 및 권한 변경 이벤트
    • 보안 솔루션의 맥락 기반 운영: 탐지 룰 설정 시 업무 특성과 예외 케이스를 고려해야 함
• 결론
  • 보안 스택은 단순히 도구를 나열하는 것이 아니라, 탄탄한 기초 보안 위에 계층화되어야 진정한 효과를 발휘
  • 경고음을 무시한 채 도구만 도입하면, "도구 피로(alert fatigue)"와 잘못된 정상화가 반복될 수 있음
  • 보안의 출발은 구성관리, 자산관리, 로그 수집 설정이며, 기술 스택은 이를 기반으로 동작해야 함