Google Cloud Security Day Seoul 2024 참관 후기

일시: 2024/03/19
장소: 용산 서울드래곤시티

 

 

전체 요약:

-많은 세션에서 나온 키워드 중 “사이버 레질리언스(복구)”가 많이 강조됨

-빅테크라서 가능한 백억 단위의 데이터 처리량 및 서비스 품질, 속도 등 자랑

-멀티클라우드를 지향하기 때문에 AWS, Azure등 에서도 구글 클라우드의 보안 서비스 사용 가능

-구글 클라우드는 보안에 진심이기 때문에 믿고 써라 

주제-발표자	요약
2024년 사이버 보안: 놓치면 후회할 이야기 Steve Ledzian CTO	많은 기업들이 EDR등으로 Telemetry(원격 측정), 모든 로그들을 수집하기 때문에 공격자들은 기존 Living off The Land를 벗어나 Living on The Edge로 넘어가고 있다. Edge는 EDR이 설치 되지 않은 네트워크의 가장자리를 말하며 예를 들어 이메일 또는 서드파티 서버의 애플리케이션 취약점을 악용한 침투 등이 있다. 이를 탐지, 대응하기 위해서는 모든 로그, 텔레미터를 보관을 하고 TI를 통해 IoC 매칭을 해야 하는데 구글의 Chronicle을 통해 바이러스토탈의 TI, 맨디언트의 TI, 구글 인텔리전스을 이용한 매칭이 가능하다. 그리고 현실적으로 이벤트가 탐지됐다고 바로 대응하기 어렵다. 왜냐하면 해당 이벤트의 정오탐 조사를 해야 하는데 공격자의 흔적인지 사용자의 흔적인지 구분을 할 줄 알아야 하는데 보안 전문가들이 만들어둔 서비스를 통해 구분할 수 있는 인사이트를 제공할 수 있다.
2024년 AI Security의 현주소와 보안 대응체계의 뉴 패러다임 김승준 아키텍처	많은 보안 분석 보고서를 읽어보면 대부분 제로데이, 사회공학, 공급망 공격을 이용한 기업보안을 우회, 무력화 시키는게 대부분이다. 이를 통해 알 수 있는 건 아직까지 Perimeter Security(경계보안)을 벗어나지 못하고 있다는 것이다. 이제는 외부->내부 탐지, 대응 관점을 넘어 이미 내부에 들어온 상황을 탐지 하는게 필요 해졌다. 선진화된 보안팀들은 우선 저장된 모든 로그를 가져와 회사에 들어온 공격 그룹의 정보를 TI에서 검색하여 최신 캠페인을 보고 각 단계별 TTP 기반으로 헌팅을 한다. 헌팅을 하려면 단순 IPS, WAF 등 보안장비 로그만 있으면 안되고 DNS, DHCP 등 모든 형태의 로그가 있어야 하고 숙련된 분석가가 필요하다. 구글 클라우드는 모든 형태의 로그를 전부 저장을 하고 각 단계별 Ai를 통해 분석, 조회를 서포팅 하고 맨디언트 전문가들이 최신 위협 정보를 제공하여 빠른 시간내 탐지, 대응이 가능하다.
실제 사이버 사고 현장, 그 경험으로 전하는 생생한 이야기 Amit Pradhan 리드	클라우드 서비스를 사용하지 않는 석유회사의 랜섬웨어 감염 사례를 공유했다. 공격자는 약 3개월 동안 피해자 네트워크에 머무르면서 조직과 시스템을 프로파일링하고 공격은 2일 동안 진행됐다. 결과적으로 325개의 시스템이 암호화 됐으며 580개의 서버가 해킹 당해 재무 시스템, 다중 인증 시스템, AD등 전부 바꿔야 했다. 공격자는 3개의 해킹 그룹이 참여한것으로 식별 됐지만 아직까진 어떤 그룹인지 분석이 되지 않고 있다. 해당 사건으로 알 수 있는 내용은 다음과 같다. 온프렘미스가 해킹 당한 경우 복구하는데 많은 시간이 걸린다. 이 회사는 AD복구만 4주가 걸렸고 새로운 서버 셋팅 하는데 두달이 걸렸다. 그리고 공격자가 정찰하는 3개월동안 탐지하지 못했다. TI를 통해 최신 IoC 정보 기반으로 공격자의 인프라가 회사의 리소스에 접근하고 있다는 것을 탐지하지 못해 결국 공격 차단을 하지 못했다.
보안에 진심인 Google Cloud: 안전한 클라우드 여정 서진원 스페셜리스트	구글 클라우드는 공동 책임 및 운명 모델로 고객이 안전한 구성으로 시작할 수 있도록 제공하여 잘못된 구성으로 인한 보안문제를 줄이고 있다. 그리고 구글 클라우드에 저장되는 데이터는 모두 암호화를 원칙으로 하고 SW, HW 공급망 공격을 방지 하기 위해 오픈소스 관리하는 전담팀을 통해 위협 관리를 하고 자체 개발한 타이탄 칩을 통해 HW무결성 검증을 하며 전 세계 40개의 리전과 121개의 가용영역, 187개의 캐시 서버를 통해 일개의 기업에서 감당하지 못하는 행성급 규모의 DDoS 방어가 가능하다. 그리고 Ai를 통해 사용자의 권한이 사용량에 적절한지 측정을 하여 알맞게 조정을 해준다.